परिचय


यह नीति वैध सुरक्षा शोधकर्ताओं को अरक्षितता खोज गतिविधियां संचालित करने स्पष्ट दिशानिर्देश प्रदान करने और, पैसिफ़िक गैस & इलेक्ट्रिक कंपनी (Public Safety Power Shutoff ("PG&E") को खोजी गई अरक्षितताएं कैसे भेजी जाएं इस बारे में कंपनी की प्राथमिकताएं बताने के लिए है।


यह नीति यह वर्णन करती है कि इस नीति में शोध की किन प्रणालियों और किन प्रकारों को कवर किया जाता है, हमें अरक्षितता की रिपोर्ट कैसे भेजें, और अरक्षितताओं का सार्वजनिक प्रकटन करने से पहले हम सुरक्षा शोधकर्ताओं के लिए कितने समय की प्रतीक्षा आवश्यक करते हैं।


हम आपको प्रोत्साहित करते हैं कि आप निम्नलिखित प्रोटोकॉल्स का अनुसरण करते हुए, हमारी प्रणालियों में मौजूद संभावित अरक्षितताओं की सूचना देने के लिए हमसे संपर्क करें।



प्राधिकरण

यदि हम पाते हैं कि आपने अपने सुरक्षा शोध के दौरान इस नीति का अनुपालन करने के लिए एक सदाशयी प्रयास किया है, तो हम आपके सुरक्षा शोध को प्राधिकृत करने पर विचार करेंगे, हम मसले को समझने और तेज़ी से हल करने के लिए आपके साथ मिलकर कार्य करेंगे, और PG&E, इस नीति के अनुरूप ढंग से किए गए आपके सुरक्षा शोध के संबंध में कानूनी कार्रवाई की अनुशंसा नहीं करेगी। हमेशा की तरह आपसे अपेक्षित है कि आप सभी लागू कानूनों का अनुपालन करें।



दिशानिर्देश

इस नीति के अंतर्गत, “शोध” का अर्थ उन गतिविधियों से है जिनमें आप:

  • आपके द्वारा किसी वास्तविक या संभावित सुरक्षा मुद्दे की खोज होने के बाद जल्द-से-जल्द हमें सूचित करते हैं।
  • निजता उल्लंघनों या प्रकटनों से, उपयोक्ता अनुभव के निम्नीकरण से, उत्पादन प्रणालियों को बाधित करने से, या आंकड़ों में हेर-फेर से बचने का हर संभव प्रयास करते हैं।
  • शोषण के कृत्यों का उपयोग केवल उस सीमा तक करें जिस सीमा तक वह किसी अरक्षितता की उपस्थिति की पुष्टि के लिए आवश्यक हो। शोषण के कृत्य का उपयोग आंकड़ों को नुकसान पहुंचाने या बाहर निकालने, अथवा स्थायी कमांड लाइन एक्सेस स्थापित करने के लिए न करें, या शोषण के कृत्य का उपयोग प्रणाली की दिशा को बुनियादी रूप से बदल कर अन्य प्रणालियों की ओर न करें।
  • इससे पहले कि आप मुद्दे का सार्वजनिक प्रकटन करें, हमें उसके समाधान के लिए उचित समय प्रदान करें।
  • बड़ी संख्या में कम गुणवत्ता वाली रिपोर्ट्स न भेजें।

जब आप यह सिद्ध कर लें कि कोई अरक्षितता मौजूद है या जब आपका सामना किसी असार्वजनिक या संवेदनशील आंकड़ों (जिनमें किसी भी पक्ष की व्यक्तिगत पहचान योग्य जानकारी, वित्तीय जानकारी या स्वामित्वाधीन जानकारी अथवा व्यापारिक रहस्य शामिल हैं) से हो, तो आपको अपना शोध रोक देना होगा, तुरंत हमें सूचित करना होगा, और किसी के भी अन्य के समक्ष इस अरक्षितता या आंकड़ों को प्रकट नहीं करने पर सहमति देनी होगी।



परीक्षण विधियां

निम्नलिखित परीक्षण विधियां और शोध अधिकृत नहीं हैं:

  • नेटवर्क डिनायल ऑफ़ सर्विस (DoS या DDoS) परीक्षण या ऐसे अन्य परीक्षण जो किसी प्रणाली या आंकड़ों की एक्सेस को कमज़ोर बनाते हों या उन्हें नुकसान पहुंचाते हों
  • भौतिक परीक्षण (उदाहरण के लिए, कार्यालयों में प्रवेश, खुले दरवाज़े, पीछा करना), सोशल इंजीनियरिंग (उदाहरण के लिए, फिशिंग, विशिंग), या कोई अन्य अतकनीकी अरक्षितता परीक्षण
  • वेबसाइट्स को बिगाड़ना या उनमें बदलाव करना
  • धन की मांग करके या जानकारी के प्रकटन की धमकी देकर किसी प्रकार की जबरन वसूली करना
  • एप्लिकेशन्स और सेवाओं का परीक्षण करने के लिए अनुचित रूप से बड़ी संख्या में खाते बनाना



दायरा

किसी प्रणाली या सेवा को अपने शोध के दायरे के अंदर लाने से पहले, सुनिश्चित करें कि आपके पास उस प्रणाली या सेवा का उपयोग करते हुए सुरक्षा परीक्षण करने की अनुमति या प्राधिकार हो। उदाहरण के लिए, यदि आप किसी प्रबंधित सेवा प्रदाता का या सेवा के रूप में किसी सॉफ़्टवेयर का उपयोग करते हैं, तो यह पुष्टि करना सुनिश्चित करें कि वेंडर ने उक्त परीक्षण को स्पष्ट रूप से प्राधिकृत किया हो, जैसे कि यह पुष्टि करना कि प्रदाता के साथ किए गए आपकी एजेंसी के अनुबंध में इस प्रकार का प्राधिकार मौजूद हो या उनकी सार्वजनिक रूप से उपलब्ध नीति में उसका वर्णन किया गया हो। यदि नहीं, तो आपको स्पष्ट प्राधिकरण प्राप्त करने के लिए वेंडर के साथ कार्य करना होगा। यदि वेंडर से प्राधिकरण प्राप्त करना संभव नहीं है, तो आप उन प्रणालियों या सेवाओं को अपने शोध के दायरे के अंदर नहीं ला सकते हैं।


यह नीति निम्नलिखित प्रणालियों और सेवाओं पर लागू होती है:

  • pge.com
  • guide.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

जो भी सेवा ऊपर स्पष्टतः सूचीबद्ध नहीं है, जैसे कि कोई भी संयोजित (कनेक्टेड) सेवाएं, वह इस नीति के दायरे से बाहर रखी गई हैं और परीक्षण या शोध के लिए अधिकृत नहीं हैं। इसके अतिरिक्त, आपको हमारे वेंडर्स की प्रणालियों में जो भी अरक्षितताएं मिलती हैं वे इस नीति के दायरे के बाहर हैं और उनकी सूचना वेंडर की प्रकटन नीति (यदि कोई हो) के अनुसार सीधे वेंडर को दी जानी चाहिए। यदि आप संशय में हैं कि कोई प्रणाली दायरे में है या नहीं, तो अपना शोध शुरू करने से पहले हमसे pgecirt@pge.com पर (या .gov WHOIS में सूचीबद्ध प्रणाली के डोमेन नाम के सुरक्षा संपर्क से) संपर्क करें।


हालांकि हम इंटरनेट से एक्सेस हो सकने वाली अन्य प्रणालियों या सेवाओं का विकास और रखरखाव करते हैं, पर हमारी यह इच्छा और अपेक्षा है कि सक्रिय शोध एवं परीक्षण केवल उन प्रणालियों और सेवाओं पर किया जाए जो इस दस्तावेज़ के दायरे में आती हैं। यदि कोई प्रणाली विशेष, जो दायरे के भीतर नहीं है, आपके विचार में परीक्षण के योग्य है तो कृपया पहले उस पर चर्चा के लिए हमसे संपर्क करें। हम समय के साथ इस नीति का दायरा बढ़ा सकते हैं।



अरक्षितता की सूचना देना

इस नीति के अंतर्गत जमा की गई अरक्षितता सूचना का उपयोग केवल बचाव के प्रयोजनों से, अरक्षितता की गंभीरता घटाने या उसे ठीक करने के लिए किया जाएगा। यदि आपके जांच-परिणामों में ऐसी नई खोजी गईं अरक्षितताएं हैं जो केवल PG&E को नहीं बल्कि किसी उत्पाद या सेवा के सभी उपयोक्ताओं को प्रभावित करती हैं, तो हम आपकी रिपोर्ट Cybersecurity and Infrastructure Security Agency से साझा करेंगे, जहां उसे उनकी समन्वित अरक्षितता प्रकटन प्रक्रिया के अंतर्गत संभाला जाएगा। हम आपकी स्पष्ट अनुमति के बिना आपका नाम या संपर्क जानकारी साझा नहीं करेंगे।


किसी भी अरक्षितता की सूचना देने के लिए हमसे pgecirt@pge.com पर संपर्क करें।


रिपोर्ट्स बेनामी ढंग से भेजी जा सकती हैं। यदि आप संपर्क जानकारी साझा करते हैं, तो हम आपकी रिपोर्ट की प्राप्ति की अभिस्वीकृति तीन (3) कार्य दिनों के अंदर देने का हर संभव प्रयास करेंगे।


अरक्षितता रिपोर्ट जमा करने के द्वारा, आप यह अभिस्वीकृति देते हैं कि आप किसी भी भुगतान की अपेक्षा नहीं रखते हैं और यह कि आप अपनी प्रस्तुति के संबंध में अमेरिकी सरकार के विरुद्ध किन्हीं भी भावी भुगतान दावों का अधित्याग करते हैं।



हम आपसे क्या पाना पसंद करेंगे

हमें भेजी गई रिपोर्ट्स की छंटाई और प्राथमिकता के निर्धारण में हमारी मदद के लिए, हमारा सुझाव है कि pgecirt@pge.com से किए गए आपके पहले ईमेल संपर्क में निम्नलिखित शामिल हो:

  • अरक्षितता, उसके दायरे और उसकी गंभीरता का एक उच्च-स्तरीय वर्णन।
  • अरक्षितता का डोमेन स्थान और शोषण का संभावित प्रभाव।

आरंभिक जानकारी की समीक्षा कर चुकने पर हम आपको एक एन्क्रिप्टेड ईमेल भेजेंगे ताकि आप उसके उत्तर में अरक्षितता के विशिष्ट विवरण भेज सकें, जिनमें अरक्षितता को पुनः उत्पन्न करने के लिए आवश्यक चरणों का व्यापक वर्णन शामिल है (अवधारणा के प्रमाण के स्क्रिप्ट्स या स्क्रीनशॉट्स मददगार होते हैं)।



आप हमसे क्या अपेक्षा कर सकते हैं

जब आप इस नीति के अनुसरण में इस कार्यक्रम को कोई अरक्षितता रिपोर्ट भेजते हैं, तो हम जितना हो सके उतने खुलेपन और तेज़ी के साथ आपका सहयोग करने के लिए प्रतिबद्ध होते हैं।

  • तीन (3) कार्य दिनों के अंदर, हम यह अभिस्वीकृति भेजने के हर संभव प्रयास करेंगे कि आपकी रिपोर्ट प्राप्त हो गई है।
  • हमारी योग्यता की सीमा तक, हम आपको अरक्षितता की मौजूदगी की पुष्टि भेजेंगे और इस बारे में अधिकतम संभव पारदर्शी रहेंगे कि समाधान की प्रक्रिया के दौरान हम कौनसे कदम उठा रहे हैं, इसमें ऐसे मसलों या चुनौतियों के संबंध में उठाए जाने वाले कदम भी शामिल हैं जो समाधान में विलंब कर सकती हैं।
  • हम मसलों पर चर्चा के लिए खुला संवाद बनाए रखेंगे।

प्रकटन भुगतानों पर निर्णय का अधिकार केवल और केवल PG&E के पास है पर किसी भी परिस्थिति में PG&E ऐसे व्यक्तियों को प्रकटन के भुगतान जारी नहीं करेगी जो प्रतिबंधित सूचियों में हैं या जो प्रतिबंधित सूचियों में शामिल देशों (उदाहरण के लिए, क्यूबा, ईरान, उत्तरी कोरिया, सूदान और सीरिया) में हैं।



अरक्षितता प्रकटन कार्यक्रम की कानूनी जानकारी

कृपया ध्यान दें कि आप जहां रहते या कार्य करते हैं वहां के लागू स्थानीय कानूनों के आधार पर, प्रकटित अरक्षितताओं को हमें भेजने की आपकी योग्यताओं पर अतिरिक्त सीमाबंधन हो सकते हैं।


किसी भी समय इस नीति को बदला जा सकता है और इस कार्यक्रम को रद्द किया जा सकता है, और कोई प्रकटन भुगतान करना है या नहीं इस बात का निर्णय केवल और केवल PG&E करेगी।