บทนำ


นโยบายนี้มีวัตถุประสงค์เพื่อกำหนดแนวทางที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัยที่ถูกต้องตามกฎหมายในการดำเนินกิจกรรมการค้นหาช่องโหว่และเพื่อถ่ายทอดการกำหนดค่าของ Pacific Gas & Electric Company ("PG&E") ในการส่งข้อมูลช่องโหว่ที่ค้นพบมาให้เรา


นโยบายนี้จะอธิบายถึงขอบเขตของระบบและประเภทการวิจัยภายใต้นโยบายนี้ วิธีในการส่งรายงานเกี่ยวกับช่องโหว่ถึงเรา และเราต้องให้นักวิจัยด้านความปลอดภัยรอนานเท่าใดก่อนที่จะเปิดเผยช่องโหว่ต่อสาธารณะ


เราสนับสนุนให้คุณติดต่อเราเพื่อรายงานช่องโหว่ที่เป็นไปได้ในระบบของเราตามระเบียบการต่อไปนี้



การอนุญาต

หากเราพิจารณาเห็นว่าคุณได้ใช้ความพยายามโดยสุจริตใจในการปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัยของคุณ เราจะถือว่าการวิจัยด้านความปลอดภัยของคุณนั้นได้รับอนุญาต เราจะทำงานร่วมกับคุณเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และ PG&E จะไม่ดำเนินการทางกฎหมายที่เกี่ยวข้องกับการวิจัยด้านความปลอดภัยของคุณในลักษณะที่สอดคล้องกับนโยบายนี้ คุณได้รับการคาดหวังให้ปฏิบัติตามกฎหมายที่บังคับใช้ทั้งหมด



แนวปฏิบัติ

ภายใต้นโยบายนี้ "การวิจัย" หมายถึงกิจกรรมดังต่อไปนี้ของคุณ:

  • แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่คุณค้นพบปัญหาในเรื่องความปลอดภัยที่เกิดขึ้นจริงหรือเป็นไปได้
  • พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัวหรือการเปิดเผยข้อมูล การลดระดับประสบการณ์ผู้ใช้ การหยุดชะงักของระบบการผลิต หรือการทำลายหรือการจัดการข้อมูล
  • ใช้ประโยชน์ในขอบเขตที่จำเป็นเท่านั้นเพื่อยืนยันการมีอยู่ของช่องโหว่ ห้ามใช้ช่องโหว่เพื่อเจาะระบบหรือกรองข้อมูล สร้างชุดคำสั่งเพื่อให้สามารถเข้าถึงได้ตลอดเวลา หรือใช้ประโยชน์จากช่องโหว่เพื่อเปลี่ยนระบบไปยังระบบอื่น
  • ให้เวลาเราพอสมควรในการแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ
  • อย่าส่งรายงานคุณภาพต่ำจำนวนมาก

เมื่อคุณพบว่ามีช่องโหว่หรือพบข้อมูลที่ไม่เปิดเผยต่อสาธารณะหรือข้อมูลที่สำคัญ (รวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ข้อมูลทางการเงิน หรือข้อมูลที่เป็นกรรมสิทธิ์หรือความลับทางการค้าของฝ่ายใดฝ่ายหนึ่ง) คุณต้องหยุดทำการวิจัย แจ้งให้เราทราบทันที และตกลงที่จะไม่เปิดเผยช่องโหว่หรือข้อมูลนี้ต่อบุคคลอื่น



วิธีการทดสอบ

ไม่อนุญาตให้ทำการทดสอบและการวิจัยดังต่อไปนี้ด้วยวิธีต่อไปนี้:

  • การทดสอบการโจมตีเครือข่ายโดยปฏิเสธการให้บริการการ (DoS หรือ DDoS) หรือการทดสอบอื่น ๆ ที่ลดประสิทธิภาพการเข้าถึงหรือสร้างความเสียหายต่อระบบหรือข้อมูล
  • การทดสอบทางกายภาพ (เช่น การเข้าใช้สำนักงาน เปิดประตู การเข้าถึงโดยไม่ได้รับอนุญาต) วิศวกรรมสังคม (เช่น ฟิชชิ่ง วิชชิง) หรือการทดสอบจุดอ่อนอื่น ๆ ที่ไม่ใช่ทางเทคนิค
  • การปรับเปลี่ยนหน้าตาหรือแก้ไขเว็บไซต์
  • การกรรโชกใด ๆ โดยการขอให้จ่ายเงินหรือข่มขู่ว่าจะเปิดเผยข้อมูล
  • สร้างบัญชีเป็นจำนวนที่ไม่สมเหตุสมผลเพื่อทำการทดสอบกับแอปพลิเคชันและบริการ



ขอบเขต

ก่อนที่จะเพิ่มระบบหรือบริการในขอบเขตการวิจัยของคุณ ควรตรวจสอบให้แน่ใจว่าคุณได้รับอนุญาตให้กระทำหรือได้รับอนุญาตให้ดำเนินการทดสอบความปลอดภัยโดยใช้ระบบหรือบริการนั้น ๆ ตัวอย่างเช่น หากคุณใช้บริการของผู้ให้บริการที่ได้รับการจัดการหรือซอฟต์แวร์บริการ ต้องตรวจสอบให้แน่ใจว่าผู้ขายได้อนุญาตการทดสอบดังกล่าวอย่างชัดแจ้ง เช่น การยืนยันว่ามีสิทธิ์ดังกล่าวมีอยู่ในสัญญาของตัวแทนของคุณกับผู้ให้บริการ หรือมีรายละเอียดนโยบายที่เปิดเผยต่อสาธารณะ หากไม่ได้เป็นเช่นนั้น คุณต้องประสานงานกับผู้ขายเพื่อขออนุญาตอย่างชัดแจ้ง หากไม่สามารถขออนุญาตจากผู้ขายได้ คุณไม่สามารถรวมระบบหรือบริการเหล่านั้นไว้ในขอบเขตการวิจัยของคุณได้


นโยบายนี้มีผลบังคับใช้กับระบบและบริการต่อไปนี้:

  • pge.com
  • marketplace.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

บริการใด ๆ ที่ไม่ได้ระบุไว้อย่างชัดแจ้งข้างต้น เช่น บริการที่เชื่อมต่อ จะไม่รวมอยู่ในขอบเขตของนโยบายนี้และไม่ได้รับอนุญาตให้ทำการทดสอบหรือการวิจัย นอกจากนี้ ช่องโหว่ใด ๆ ที่คุณพบในระบบจากผู้ขายของเราจะอยู่นอกเหนือขอบเขตของนโยบายนี้ และควรรายงานไปยังผู้ขายโดยตรงตามนโยบายการเปิดเผยข้อมูล (ถ้ามี) หากคุณไม่แน่ใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราได้ที่ pgecirt@pge.com ก่อนที่จะเริ่มทำการวิจัย (หรือตามข้อมูลการติดต่อในเรื่องการรักษาความปลอดภัยสำหรับชื่อโดเมนของระบบที่ระบุไว้ใน .gov WHOIS)


แม้ว่าเราจะพัฒนาและบำรุงรักษาระบบหรือบริการที่เข้าถึงได้ผ่านทางอินเทอร์เน็ต แต่ความปรารถนาและความคาดหวังของเราก็คือการวิจัยและการทดสอบเชิงรุกจะต้องดำเนินการเฉพาะกับระบบและบริการที่ขอบเขตของเอกสารนี้ครอบคลุมเท่านั้น หากมีระบบใดที่ไม่อยู่ภายในขอบเขตที่คุณคิดว่าเป็นการทดสอบโดยสุจริตใจ โปรดติดต่อเราเพื่อหารือเกี่ยวกับระบบก่อนเสมอ เราอาจจะเพิ่มขอบเขตของนโยบายนี้ในอนาคต



การรายงานช่องโหว่

ข้อมูลช่องโหว่ที่ส่งภายใต้นโยบายนี้จะใช้เพื่อวัตถุประสงค์ในการป้องกันเท่านั้น เพื่อลดหรือแก้ไขช่องโหว่นั้น หากสิ่งที่คุณค้นพบเป็นช่องโหว่ที่เพิ่งค้นพบซึ่งส่งผลกระทบต่อผู้ใช้ผลิตภัณฑ์หรือบริการทั้งหมดและไม่ใช่เฉพาะ PG&E เราอาจเปิดเผยรายงานของคุณต่อ Cybersecurity and Infrastructure Security Agency ซึ่งจะได้รับการจัดการภายใต้ กระบวนการเปิดเผยช่องโหว่ผ่านการประสานงานของหน่วยงาน เราจะไม่เปิดเผยชื่อหรือข้อมูลติดต่อของคุณโดยไม่ได้รับอนุญาตจากคุณ


หากต้องการรายงานช่องโหว่ โปรดติดต่อเราที่ pgecirt@pge.com


สามารถส่งรายงานโดยไม่เปิดเผยตัว หากคุณเปิดเผยข้อมูลการติดต่อ เราจะพยายามอย่างเต็มที่เพื่อรับทราบถึงการรับรายงานจากคุณภายในสาม (3) วันทำการ


การส่งรายงานช่องโหว่จะถือว่าว่าคุณรับทราบว่าคุณไม่ได้คาดหวังที่จะได้รับการชำระเงิน และคุณจะสละสิทธิ์อย่างชัดแจ้งในการเรียกร้องการจ่ายเงินในอนาคตจากรัฐบาลสหรัฐที่เกี่ยวข้องกับการส่งของคุณ



สิ่งที่เราอยากเห็นจากคุณ

เพื่อช่วยให้เราสามารถแยกแยะและจัดลำดับความสำคัญของการส่ง เราขอให้คุณติดต่อเราทางอีเมลก่อนที่ pgecirt@pge.com ซึ่งรวมถึง:

  • คำอธิบายระดับสูงเกี่ยวกับช่องโหว่ ขอบเขต และความรุนแรง
  • ตำแหน่งโดเมนของช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการแสวงหาประโยชน์

หลังจากที่เราตรวจสอบข้อมูลเบื้องต้นแล้ว เราจะส่งอีเมลที่เข้ารหัสถึงคุณ เพื่อให้คุณสามารถตอบกลับพร้อมรายละเอียดเฉพาะของช่องโหว่ รวมถึงคำอธิบายที่ครอบคลุมเกี่ยวกับขั้นตอนที่จำเป็นในการทำให้เกิดช่องโหว่ซ้ำ (การแนบสคริปต์การพิสูจน์แนวคิดหรือภาพหน้าจอจะเป็นประโยชน์อย่างยิ่ง)



สิ่งที่คุณคาดหวังได้จากเรา

เมื่อคุณส่งรายงานช่องโหว่ไปยังโปรแกรมนี้ตามนโยบายนี้ เรามีพันธกิจที่จะประสานงานกับคุณอย่างเปิดเผยและรวดเร็วที่สุด

  • เราจะพยายามอย่างเต็มที่เพื่อรับทราบว่าได้รับรายงานของคุณแล้วภายในสาม (3) วันทำการ
  • เราจะยืนยันกับคุณถึงการมีอยู่ของช่องโหว่ และอย่างโปร่งใสที่สุดเท่าที่จะเป็นไปได้เกี่ยวกับขั้นตอนที่เรากำลังดำเนินการในระหว่างกระบวนการแก้ไขอย่างสุดความสามารถ รวมถึงปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขเกิดความล่าช้า
  • เราจะจัดให้มีการสนทนาที่เปิดกว้างเพื่อหารือเกี่ยวกับประเด็นต่าง ๆ

ดุลยพินิจในเรื่องการเปิดเผยการชำระเงินจะขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว แต่ไม่ว่าในกรณีใด PG&E จะไม่ชำระเงินสำหรับการเปิดเผยข้อมูลให้แก่บุคคลที่อยู่ในชื่อการคว่ำบาตร หรือผู้ที่อยู่ในประเทศต่าง ๆ (เช่น คิวบา อิหร่าน เกาหลีเหนือ ซูดาน และซีเรีย) ที่อยู่ในรายชื่อการคว่ำบาตร



ข้อมูลทางกฎหมายของโปรแกรมการเปิดเผยช่องโหว่

โปรดทราบว่าอาจมีข้อจำกัดเพิ่มเติมเกี่ยวกับความสามารถของคุณในการส่งข้อมูลการเปิดเผยช่องโหว่ ซึ่งจะขึ้นอยู่กับกฎหมายในท้องถิ่นที่เกี่ยวข้องกับสถานที่คุณพำนักอาศัยหรือทำงาน


นโยบายนี้อาจมีการเปลี่ยนแปลงและโปรแกรมนี้สามารถยกเลิกได้ตลอดเวลา และการตัดสินใจว่าจะจ่ายชำระเงินสำหรับการเปิดเผยข้อมูลหรือไม่นั้นขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว