مقدمه


هدف از این سیاست، ارائه دستورالعمل‌های روشن به محققان امنیتی مجاز برای انجام فعالیت‌های کشف آسیب‌پذیری و نیز اعلام اولویت‌های Pacific Gas & Electric Company's ("PG&E") در نحوه ارائه آسیب‌پذیری‌های کشف شده به ما است.


این سیاست توضیح می‌دهد که کدام سیستم‌ها و انواع تحقیق تحت پوشش این سیاست هستند، چگونه باید گزارش‌های آسیب‌پذیری را برای ما ارسال شوند، و از محققان امنیتی می‌خواهیم که قبل از افشای عمومی آسیب‌پذیری‌ها تا چه مدت صبر کنند.


از شما می‌خواهیم که با ما تماس بگیرید و طبق پروتکل‌های زیر آسیب‌پذیری‌های بالقوه در سیستم ما را گزارش دهید.



مجوز

اگر تشخیص دهیم که شما در طول تحقیق امنیتی خود با حسن نیت تلاش کرده‌اید این سیاست را رعایت کنید، تحقیق امنیتی شما را مجاز خواهیم شمرد، با شما همکاری خواهیم کرد تا این مسئله را به سرعت درک و حل و فصل کنید، و PG&E اقدام قانونی را در مقابل تحقیقات امنیتی شما که مطابق با این سیاست انجام شده است، توصیه نخواهد کرد. طبق معمول، از شما انتظار می‌رود که تمام قوانین حاکم را رعایت کنید.



دستورالعمل‌ها

طبق این سیاست، "تحقیق" به فعالیت‌هایی گفته می‌شود که در آن شما:

  • بعد از کشف یک مسئله امنیتی واقعی یا احتمالی هر چه سریعتر ما را مطلع می‌کنید.
  • تمام تلاش خود را به کار می‌گیرید تا از نقض یا افشای حریم خصوصی، تخریب تجربه کاربر، اختلال در سیستم‌های تولید، یا تخریب یا دستکاری داده خودداری کنید.
  • فقط به مقداری که برای تایید وجود آسیب‌پذیری لازم است، بهره‌گیری کنید. برای به خطر انداختن یا حذف داده، ایجاد دسترسی مداوم به خط فرمان، یا برای روی برگرداندن به سایر سیستم‌ها بهره‌گیری نکنید.
  • قبل از افشای عمومی آن، به ما به اندازه کافی فرصت دهید تا این مسئله را حل کنیم.
  • حجم زیادی از گزارش‌های بی‌کیفیت را ارائه ندهید.

به محض اینکه از وجود یک آسیب‌پذیری مطلع می‌شوید یا با هر نوع داده غیر-عمومی یا حساس برخورد می کنید (اعم از اطلاعات شخصی، اطلاعات مالی، یا اطلاعات اختصاصی یا اسرار تجاری هر یک از طرفین)، باید تحقیق خود را متوقف کنید، بلافاصله به ما اطلاع دهید، و موافقت کنید که این آسیب‌پذیری یا داده را در اختیار فرد دیگری قرار نمی‌دهید.



روش‌های آزمایش

روش‌های آزمایش و تحقیق زیر مجاز نیستند:

  • آزمایش محروم‌سازی شبکه از سرویس (DoS یا DDoS) یا سایر آزمایش‌هایی که دسترسی به یک سیستم یا داده را مختل می‌کنند یا به آن آسیب می‌رسانند
  • آزمایش فیزیکی (مثلاً، دسترسی اداری، درب‌های باز، دنباله‌روی)، مهندسی اجتماعی (مثلاً فیشینگ، ویشینگ)، یا هر آزمایش آسیب‌پذیری غیر-فنی دیگر
  • تخریب یا تغییر وبسایت‌ها
  • اخاذی از هر نوع از طریق درخواست پول یا تهدید به افشای اطلاعات
  • ایجاد تعداد نامعقولی حساب برای انجام آزمایش علیه برنامه‌ها و خدمات



محدوده

قبل از افزودن یک سیستم یا خدمات به محدوده تحقیق خود، مطمئن شوید که مجوز دارید یا مجاز هستید با استفاده از آن سیستم یا خدمات آزمایش امنیتی انجام دهید. مثلاً، اگر از یک ارائه‌دهنده خدمات مدیریت‌شده یا نرم‌افزار به عنوان خدمات استفاده می‌کنید، مطمئن شوید که فروشنده صراحتاً چنین آزمایشی را مجاز اعلام کرده است، از قبیل تایید اینکه این مجوز در قرارداد آژانس شما با ارائه‌دهنده وجود دارد یا سیاست دسترسی عمومی را شرح می‌دهد. در غیر این صورت، باید برای اخذ مجوز صریح خود با فروشنده همکاری کنید. اگر امکان اخذ مجوز فروشنده وجود ندارد، نمی‌توانید آن سیستم‌ها یا خدمات را در محدوده تحقیقات خود بگنجانید.


این سیاست برای سیستم‌ها و خدمات زیر اعمال می‌شود:

  • pge.com
  • marketplace.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

هر خدماتی که در بالا صراحتاً قید نشده است، از قبیل هر گونه خدمات متصل، از محدوده این سیاست خارج است و آزمایش یا تحقیق روی آن مجاز نیست. به علاوه، هر گونه آسیب‌پذیری که شما در سیستم‌های فروشندگان ما پیدا می‌کنید، خارج از محدوده این سیاست هستند و طبق سیاست افشای اطلاعات (در صورت وجود)، باید مستقیماً به فروشنده گزارش داده شوند. اگر مطمئن نیستید که آیا یک سیستم در محدوده قرار دارد یا خیر، قبل از شروع تحقیقات خود از طریق pgecirt@pge.com (یا از طریق مسئول امنیت مربوط به نام دامنه سیستم مندرج در .gov WHOIS) با ما تماس بگیرید.


گرچه ما سایر سیستم‌ها یا خدمات قابل دسترسی به اینترنت را توسعه می‌دهیم و حفظ می‌کنیم، می‌خواهیم و انتظار داریم که تحقیقات و آزمایش فعال فقط روی سیستم‌ها و خدمات تحت پوشش محدوده این سند انجام گیرند. اگر یک سیستم خاص در محدوده‌ای نیست که از نظر شما ارزش آزمایش داشته باشد، لطفاً با ما تماس بگیرید تا قبل از هر چیز درباره آن گفتگو کنیم. ممکن است ما محدوده این سیاست را به مرور زمان افزایش دهیم.



گزارش یک آُسیب‌پذیری

از اطلاعات آسیب‌پذیری ارائه شده طبق این سیاست فقط برای اهداف دفاعی استفاده خواهد شد، تا آسیب‌پذیری‌ها کاهش بیابند یا رفع شوند. اگر یافته‌های شما شامل آسیب‌پذیری‌هایی باشد که تازه کشف شده‌اند و نه فقط روی PG&E بلکه روی تمام کاربران یک محصول یا خدمات تاثیر می‌گذارند، ما گزارش شما را در اختیار Cybersecurity and Infrastructure Security Agency قرار می‌دهیم، که در آنجا طبق فرآیند افشای آسیب‌پذیری هماهنگ‌شده آنها به آن رسیدگی خواهد شد. ما بدون اجازه صریح شما، نام یا اطلاعات تماس شما را به اشتراک نخواهیم گذاشت.


برای گزارش یک آسیب‌پذیری، از طریق pgecirt@pge.com با ما تماس بگیرید.


می‌توانید گزارش‌ها را به طور ناشناس ارائه دهید. اگر اطلاعات تماس را ارائه دهید، ما تمام تلاش خود را به کار می‌گیریم تا ظرف سه (3) روز کاری دریافت گزارشتان را به شما اطلاع دهیم.


با ارائه یک گزارش آسیب‌پذیری، شما تایید می‌کنید که انتظار دریافت وجه ندارید و صراحتاً از اقامه دعوی علیه دولت آمریکا در آینده برای دریافت وجه در قبال ارائه گزارش خود صرف‌نظر می‌کنید.



آنچه می‌خواهیم از شما ببینیم

برای کمک به ما در ترسیم و اولویت‌بندی ارائه‌ها، توصیه می‌کنیم که موارد زیر را در اولین تماس خود از طریق ایمیل به pgecirt@pge.com بگنجانید:

  • توضیحات مهم درباره آسیب‌پذیری، محدوده و شدت آن.
  • مکان دامنه آسیب‌پذیری و تاثیر بالقوه بهره‌برداری.

پس از اینکه اطلاعات اولیه را بررسی کردیم، یک ایمیل رمزگذاری‌شده برای شما ارسال خواهیم کرد تا بتوانید در پاسخ به آن جزئیات ویژه آسیب‌پذیری، اعم از یک توضیح جامع درباره مراحل مورد نیاز برای بازتولید آسیب‌پذیری را ارائه دهید (مدرک متن‌های مفهومی یا عکس از صفحات مفید هستند).



آنچه می‌توانید از ما انتظار داشته باشید

وقتی مطابق با این سیاست یک گزارش آسیب‌پذیری را به این برنامه ارائه می‌دهید، ما متعهد هستیم که به طور علنی و در اسرع وقت با شما هماهن‏‏گ کنیم.

  • ظرف سه (3) روز کاری، ما تمام تلاش خود را به کار می‌گیریم تا اعلام کنیم که گزارش شما را دریافت کرده‌ایم.
  • تا جاییکه در حد توان ما است، وجود آسیب‌پذیری را نزد شما تایید خواهیم کرد و تا حد امکان درباره مراحلی که در طول روند بهبود انجام می‌دهیم، اعم از مسائل یا چالش‌هایی که ممکن است حل مسئله را به تاخیر بیاندازند، شفاف‌سازی می‌کنیم.
  • ما یک گفتگوی آزاد برای بحث درباره مسائل خواهیم داشت.

اختیارات مربوط به وجوه پرداختی افشا منحصراً در اختیار PG&E است اما PG&E در هیچ شرایطی برای افرادی که در فهرست تحریم‌ها قرار دارند، یا در کشورهایی هستند که در فهرست تحریم قرار دارند (مثلاً کوبا، ایران، کره شمالی، سودان و سوریه) وجوه پرداختی افشا صادر نمی‌کند.



اطلاعات حقوقی برنامه افشای آسیب‌پذیری

لطفاً توجه کنید که ممکن است بسته به قوانین محلی جاییکه در آن زندگی یا کار می‌کنید، محدودیت‌های دیگری برای توانایی شما در ارائه آسیب‌پذیری‌های افشا‌ شده وجود داشته باشد.


ممکن است این سیاست تغییر کند و این برنامه در هر زمانی لغو شود، و تصمیم درباره پرداخت یا عدم پرداخت وجه افشا فقط با PG&E است.