महत्वपूर्ण

अरक्षितता प्रकटन नीति

जानें कि कौन-से सिस्टम और अनुसंधान के प्रकार शामिल हैं

 

यह नीति वैध सुरक्षा शोधकर्ताओं को अरक्षितता खोज गतिविधियां संचालित करने के लिए स्पष्ट दिशानिर्देश प्रदान करने और, पैसिफ़िक गैस इलेक्ट्रिक कंपनी (Pacific Gas & Electric Company, "PG&E") को खोजी गई अरक्षितताएं कैसे भेजी जाएं इस बारे में कंपनी की प्राथमिकताएं बताने के लिए है।

 

यह नीति यह वर्णन करती है कि इस नीति में शोध के किन सिस्टम और प्रकारों को कवर किया जाता है, हमें अरक्षितता की रिपोर्ट कैसे भेजी जाती है, और अरक्षितताओं का सार्वजनिक प्रकटन करने से पहले हम सुरक्षा शोधकर्ताओं के लिए कितने समय की प्रतीक्षा आवश्यक करते हैं।

 

हम आपको प्रोत्साहित करते हैं कि आप निम्नलिखित प्रोटोकॉल्स का अनुसरण करते हुए, हमारी प्रणालियों में मौजूद संभावित अरक्षितताओं की सूचना देने के लिए हमसे संपर्क करें।

 

प्राधिकरण

यदि हम पाते हैं कि आपने अपने सुरक्षा शोध के दौरान इस नीति का अनुपालन करने के लिए एक सद्भावनापूर्ण तरीके से प्रयास किया है, तो हम आपके सुरक्षा शोध को प्राधिकृत करने पर विचार करेंगे, हम मसले को समझने और तेज़ी से हल करने के लिए आपके साथ मिलकर कार्य करेंगे, और PG&E, इस नीति के अनुरूप ढंग से किए गए आपके सुरक्षा शोध के संबंध में कानूनी कार्रवाई की अनुशंसा नहीं करेगी। हमेशा की तरह आपसे अपेक्षित है कि आप सभी लागू कानूनों का अनुपालन करें।



दिशानिर्देश

इस नीति के अंतर्गत, “शोध” का अर्थ उन गतिविधियों से है जिनमें आप:

 

  • अपने द्वारा किसी वास्तविक या संभावित सुरक्षा मुद्दे की खोज होने के बाद जल्द-से-जल्द हमें सूचित करते हैं।
  • निजता उल्लंघनों या प्रकटनों से, उपयोक्ता अनुभव के निम्नीकरण से, उत्पादन सिस्टम को बाधित करने से, या आंकड़ों में हेर-फेर से बचने का हर संभव प्रयास करते हैं।
  • शोषण के कृत्यों का उपयोग केवल उस सीमा तक करें जिस सीमा तक वह किसी अरक्षितता की उपस्थिति की पुष्टि के लिए आवश्यक हो। शोषण के कृत्य का उपयोग आंकड़ों को नुकसान पहुंचाने या बाहर निकालने, अथवा स्थायी कमांड लाइन एक्सेस स्थापित करने के लिए न करें, या शोषण के कृत्य का उपयोग प्रणाली की दिशा को बुनियादी रूप से बदल कर अन्य प्रणालियों की ओर न करें।
  • इससे पहले कि आप मुद्दे का सार्वजनिक प्रकटन करें, हमें उसके समाधान के लिए उचित समय प्रदान करें।
  • बड़ी संख्या में कम गुणवत्ता वाली रिपोर्ट्स न भेजें।

 

जब आप यह सिद्ध कर लें कि कोई अरक्षितता मौजूद है या जब आपका सामना किसी असार्वजनिक या संवेदनशील आंकड़ों (जिनमें किसी भी पक्ष की व्यक्तिगत पहचान योग्य जानकारी, वित्तीय जानकारी या स्वामित्वाधीन जानकारी अथवा व्यापारिक रहस्य शामिल हैं) से हो, तो आपको अपना शोध रोक देना होगा, तुरंत हमें सूचित करना होगा, और किसी के भी अन्य के समक्ष इस अरक्षितता या आंकड़ों को प्रकट नहीं करने पर सहमति देनी होगी।

सुरक्षा अरक्षितता की सूचना देना

परीक्षण के तरीके

निम्नलिखित परीक्षण विधियां और शोध अधिकृत नहीं हैं:

 

  • नेटवर्क उन सेवा परीक्षणों (DoS या DDoS) या अन्य परीक्षणों से इनकार करता है जो किसी सिस्टम या डेटा के एक्सेस को बाधित करता है या उसे नुकसान पहुंचाता है
  • शारीरिक परीक्षण (उदाहरण के लिए, कार्यालय तक पहुंच, खुले दरवाजे, बहुत कम फासला रख किसी गाड़ी के पीछे चलना (टेलगेटिंग)), सोशल इंजीनियरिंग (उदाहरण के लिए, फ़िशिंग, विशिंग), या कोई अन्य गैर-तकनीकी अरक्षितता परीक्षण
  • वेबसाइटों को विकृत करना या उनमें बदलाव करना
  • पैसे मांगकर या सूचना सार्वजनिक करने की धमकी देकर किसी भी प्रकार की जबरन वसूली
  • एप्लिकेशन और सेवाओं के परीक्षण करने के लिए हद से ज़्यादा संख्या में खाते बनाएं

 

दायरा

अपने शोध के दायरे में कोई सिस्टम या सेवा जोड़ने से पहले, सुनिश्चित करें कि आपको उस सिस्टम या सेवा का उपयोग करके सुरक्षा परीक्षण करने की अनुमति या अधिकार प्राप्त है। उदाहरण के लिए, यदि आप किसी प्रबंधित सेवा प्रदाता का या सेवा के रूप में किसी सॉफ़्टवेयर का उपयोग करते हैं, तो यह पुष्टि करना सुनिश्चित करें कि वेंडर ने उक्त परीक्षण को स्पष्ट रूप से प्राधिकृत किया हो, जैसे कि यह पुष्टि करना कि प्रदाता के साथ किए गए आपकी एजेंसी के अनुबंध में इस प्रकार का प्राधिकार मौजूद हो या उनकी सार्वजनिक रूप से उपलब्ध नीति में उसका वर्णन किया गया हो। यदि नहीं, तो आपको स्पष्ट प्राधिकरण प्राप्त करने के लिए वेंडर के साथ कार्य करना होगा। यदि वेंडर से प्राधिकरण प्राप्त करना संभव नहीं है, तो आप उन प्रणालियों या सेवाओं को अपने शोध के दायरे के अंदर नहीं ला सकते हैं।

 

यह नीति निम्नलिखित प्रणालियों और सेवाओं पर लागू होती है:

 

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

 

कोई भी सेवा जो स्पष्ट रूप से ऊपर सूचीबद्ध नहीं है, जैसे कोई भी जुड़ी हुई सेवाएँ, उन्हें इस नीति के दायरे से बाहर रखा गया है और परीक्षण या शोध के लिए अधिकृत नहीं हैं। इसके अतिरिक्त, आपको हमारे वेंडर्स के सिस्टम में जो भी अरक्षितताएं मिलती हैं वे इस नीति के दायरे के बाहर हैं और उनकी सूचना वेंडर की प्रकटन नीति (यदि कोई हो) के अनुसार सीधे वेंडर को दी जानी चाहिए। यदि आप संशय में हैं कि कोई सिस्टम दायरे में है या नहीं, तो अपना शोध शुरू करने से पहले हमसे pgecirt@pge.com पर (या .gov WHOIS में सूचीबद्ध प्रणाली के डोमेन नाम के सुरक्षा संपर्क से) संपर्क करें।

 

हालांकि हम इंटरनेट से एक्सेस हो सकने वाले अन्य सिस्टम या सेवाओं का विकास और रखरखाव करते हैं, पर हमारी यह इच्छा और अपेक्षा है कि सक्रिय शोध एवं परीक्षण केवल उन सिस्टम और सेवाओं पर किया जाए जो इस दस्तावेज़ के दायरे में आती हैं। यदि कोई सिस्टम विशेष, जो दायरे के भीतर नहीं है, आपके विचार में परीक्षण के योग्य है तो कृपया पहले उस पर चर्चा के लिए हमसे संपर्क करें। हम समय के साथ इस नीति का दायरा बढ़ा सकते हैं।

 

अरक्षितता की सूचना देना

इस नीति के अंतर्गत जमा की गई अरक्षितता सूचना का उपयोग केवल बचाव के प्रयोजनों से, अरक्षितता की गंभीरता घटाने या उसे ठीक करने के लिए किया जाएगा। यदि आपके जांच-परिणामों में ऐसी नई खोजी गईं अरक्षितताएं हैं जो केवल PG&E को नहीं बल्कि किसी उत्पाद या सेवा के सभी उपयोक्ताओं को प्रभावित करती हैं, तो हम आपकी रिपोर्ट Cybersecurity and Infrastructure Security Agency से साझा करेंगे, जहां इसका संचालन उनके अधीन किया जाएगा। हम आपकी स्पष्ट अनुमति के बिना आपका नाम या संपर्क जानकारी साझा नहीं करेंगे। सूचना गुमनाम रूप से प्रस्तुत की जा सकती है। यदि आप संपर्क जानकारी साझा करते हैं, तो हम आपकी रिपोर्ट की प्राप्ति की अभिस्वीकृति तीन (3) कार्य दिनों के अंदर देने का हर संभव प्रयास करेंगे।

 

अरक्षितता रिपोर्ट जमा करने के द्वारा, आप यह अभिस्वीकृति देते हैं कि आप किसी भी भुगतान की अपेक्षा नहीं रखते हैं और यह कि आप अपनी प्रस्तुति के संबंध में अमेरिकी सरकार के विरुद्ध किन्हीं भी भावी भुगतान दावों का अधित्याग करते हैं।

 

हम आपसे क्या पाना पसंद करेंगे

प्रस्तुतिकरण का परीक्षण और प्राथमिकता के निर्धारण में हमारी मदद के लिए, हमारा सुझाव है कि pgecirt@pge.com से किए गए आपके पहले ईमेल संपर्क में निम्नलिखित शामिल हो:

  • अरक्षितता, उसके दायरे और उसकी गंभीरता का एक उच्च-स्तरीय वर्णन।
  • अरक्षितता का डोमेन स्थान और शोषण का संभावित प्रभाव।

 

आरंभिक जानकारी की समीक्षा कर चुकने पर हम आपको एक एन्क्रिप्टेड ईमेल भेजेंगे ताकि आप उसके उत्तर में अरक्षितता के विशिष्ट विवरण भेज सकें, जिनमें अरक्षितता को पुनः उत्पन्न करने के लिए आवश्यक चरणों का व्यापक वर्णन शामिल है (अवधारणा के प्रमाण के स्क्रिप्ट्स या स्क्रीनशॉट्स मददगार होते हैं)।



आप हमसे क्या अपेक्षा कर सकते हैं

जब आप इस नीति के अनुसरण में इस कार्यक्रम को कोई अरक्षितता रिपोर्ट भेजते हैं, तो हम जितना हो सके उतने खुलेपन और तेज़ी के साथ आपका सहयोग करने के लिए प्रतिबद्ध होते हैं।

  • तीन (3) कार्य दिनों के अंदर, हम यह अभिस्वीकृति भेजने के हर संभव प्रयास करेंगे कि आपकी रिपोर्ट प्राप्त हो गई है।
  • हमारी योग्यता की सीमा तक, हम आपको अरक्षितता की मौजूदगी की पुष्टि भेजेंगे और इस बारे में अधिकतम संभव पारदर्शी रहेंगे कि समाधान की प्रक्रिया के दौरान हम कौनसे कदम उठा रहे हैं, इसमें ऐसे मसलों या चुनौतियों के संबंध में उठाए जाने वाले कदम भी शामिल हैं जो समाधान में विलंब कर सकती हैं।
  • हम मसलों पर चर्चा के लिए खुला संवाद बनाए रखेंगे।

 

प्रकटन भुगतानों पर निर्णय का अधिकार केवल और केवल PG&E के पास है पर किसी भी परिस्थिति में PG&E ऐसे व्यक्तियों को प्रकटन के भुगतान जारी नहीं करेगी जो प्रतिबंधित सूचियों में हैं या जो प्रतिबंधित सूचियों में शामिल देशों (उदाहरण के लिए, क्यूबा, ईरान, उत्तरी कोरिया, सुडान और सीरिया) में हैं।

 

अरक्षितता प्रकटन कार्यक्रम की कानूनी जानकारी

कृपया ध्यान दें कि आप जहां रहते या कार्य करते हैं वहां के लागू स्थानीय कानूनों के आधार पर, प्रकटित अरक्षितताओं को हमें भेजने की आपकी योग्यताओं पर अतिरिक्त सीमाबंधन हो सकते हैं।

 

इस नीति को बदला जा सकता है और इस कार्यक्रम को रद्द किया जा सकता है, और कोई प्रकटन भुगतान करना है या नहीं इस बात का निर्णय केवल और केवल PG&E करेगी।

 

अतिरिक्त सुरक्षा संसाधन

Cybersecurity and Infrastructure Security Agency (CISA)

यदि आपके नतीजों में नई खोजी गई कमजोरियां शामिल हैं जो केवल PG&E को ही नहीं बल्कि किसी उत्पाद या सेवा के सभी उपयोगकर्ताओं को प्रभावित करता है, तो CISA से संपर्क करें।