Skip To Main Content
ดูการค้นหา PGE.COM ซึ่งเป็นที่นิยม
CARE (California Alternate Rates for Energy) ดูว่าคุณมีสิทธิ์ได้รับส่วนลดหรือไม่ ส่วนลด สำรวจส่วนลด PG&E สำหรับบ้านของคุณไฟฟ้าดับ รายงานและดูกระแสไฟฟ้าดับงินช่วยเหลือพื้นฐานทางการแพทย์ เรียนรู้วิธีการสมัครงาน/อาชีพ ค้นหางานที่ PG&Eพลังงานแสงอาทิตย์ เริ่มต้นกับพลังงานสะอาดการเรียกเก็บเงินแบบปราศจากการใช้กระดาษ เรียนรู้วิธีการลงทะเบียน
บทนำ
นโยบายนี้มีวัตถุประสงค์เพื่อกำหนดแนวทางที่ชัดเจนสำหรับนักวิจัยด้านความปลอดภัยที่ถูกต้องตามกฎหมายในการดำเนินกิจกรรมการค้นหาช่องโหว่และเพื่อถ่ายทอดการกำหนดค่าของ Pacific Gas & Electric Company ("PG&E") ในการส่งข้อมูลช่องโหว่ที่ค้นพบมาให้เรา
นโยบายนี้จะอธิบายถึงขอบเขตของระบบและประเภทการวิจัยภายใต้นโยบายนี้ วิธีในการส่งรายงานเกี่ยวกับช่องโหว่ถึงเรา และเราต้องให้นักวิจัยด้านความปลอดภัยรอนานเท่าใดก่อนที่จะเปิดเผยช่องโหว่ต่อสาธารณะ
เราสนับสนุนให้คุณติดต่อเราเพื่อรายงานช่องโหว่ที่เป็นไปได้ในระบบของเราตามระเบียบการต่อไปนี้
การอนุญาต
หากเราพิจารณาเห็นว่าคุณได้ใช้ความพยายามโดยสุจริตใจในการปฏิบัติตามนโยบายนี้ในระหว่างการวิจัยด้านความปลอดภัยของคุณ เราจะถือว่าการวิจัยด้านความปลอดภัยของคุณนั้นได้รับอนุญาต เราจะทำงานร่วมกับคุณเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว และ PG&E จะไม่ดำเนินการทางกฎหมายที่เกี่ยวข้องกับการวิจัยด้านความปลอดภัยของคุณในลักษณะที่สอดคล้องกับนโยบายนี้ คุณได้รับการคาดหวังให้ปฏิบัติตามกฎหมายที่บังคับใช้ทั้งหมด
แนวปฏิบัติ
ภายใต้นโยบายนี้ "การวิจัย" หมายถึงกิจกรรมดังต่อไปนี้ของคุณ:
- แจ้งให้เราทราบโดยเร็วที่สุดหลังจากที่คุณค้นพบปัญหาในเรื่องความปลอดภัยที่เกิดขึ้นจริงหรือเป็นไปได้
- พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัวหรือการเปิดเผยข้อมูล การลดระดับประสบการณ์ผู้ใช้ การหยุดชะงักของระบบการผลิต หรือการทำลายหรือการจัดการข้อมูล
- ใช้ประโยชน์ในขอบเขตที่จำเป็นเท่านั้นเพื่อยืนยันการมีอยู่ของช่องโหว่ ห้ามใช้ช่องโหว่เพื่อเจาะระบบหรือกรองข้อมูล สร้างชุดคำสั่งเพื่อให้สามารถเข้าถึงได้ตลอดเวลา หรือใช้ประโยชน์จากช่องโหว่เพื่อเปลี่ยนระบบไปยังระบบอื่น
- ให้เวลาเราพอสมควรในการแก้ไขปัญหาก่อนที่คุณจะเปิดเผยต่อสาธารณะ
- อย่าส่งรายงานคุณภาพต่ำจำนวนมาก
เมื่อคุณพบว่ามีช่องโหว่หรือพบข้อมูลที่ไม่เปิดเผยต่อสาธารณะหรือข้อมูลที่สำคัญ (รวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ ข้อมูลทางการเงิน หรือข้อมูลที่เป็นกรรมสิทธิ์หรือความลับทางการค้าของฝ่ายใดฝ่ายหนึ่ง) คุณต้องหยุดทำการวิจัย แจ้งให้เราทราบทันที และตกลงที่จะไม่เปิดเผยช่องโหว่หรือข้อมูลนี้ต่อบุคคลอื่น
วิธีการทดสอบ
ไม่อนุญาตให้ทำการทดสอบและการวิจัยดังต่อไปนี้ด้วยวิธีต่อไปนี้:
- การทดสอบการโจมตีเครือข่ายโดยปฏิเสธการให้บริการการ (DoS หรือ DDoS) หรือการทดสอบอื่น ๆ ที่ลดประสิทธิภาพการเข้าถึงหรือสร้างความเสียหายต่อระบบหรือข้อมูล
- การทดสอบทางกายภาพ (เช่น การเข้าใช้สำนักงาน เปิดประตู การเข้าถึงโดยไม่ได้รับอนุญาต) วิศวกรรมสังคม (เช่น ฟิชชิ่ง วิชชิง) หรือการทดสอบจุดอ่อนอื่น ๆ ที่ไม่ใช่ทางเทคนิค
- การปรับเปลี่ยนหน้าตาหรือแก้ไขเว็บไซต์
- การกรรโชกใด ๆ โดยการขอให้จ่ายเงินหรือข่มขู่ว่าจะเปิดเผยข้อมูล
- สร้างบัญชีเป็นจำนวนที่ไม่สมเหตุสมผลเพื่อทำการทดสอบกับแอปพลิเคชันและบริการ
ขอบเขต
ก่อนที่จะเพิ่มระบบหรือบริการในขอบเขตการวิจัยของคุณ ควรตรวจสอบให้แน่ใจว่าคุณได้รับอนุญาตให้กระทำหรือได้รับอนุญาตให้ดำเนินการทดสอบความปลอดภัยโดยใช้ระบบหรือบริการนั้น ๆ ตัวอย่างเช่น หากคุณใช้บริการของผู้ให้บริการที่ได้รับการจัดการหรือซอฟต์แวร์บริการ ต้องตรวจสอบให้แน่ใจว่าผู้ขายได้อนุญาตการทดสอบดังกล่าวอย่างชัดแจ้ง เช่น การยืนยันว่ามีสิทธิ์ดังกล่าวมีอยู่ในสัญญาของตัวแทนของคุณกับผู้ให้บริการ หรือมีรายละเอียดนโยบายที่เปิดเผยต่อสาธารณะ หากไม่ได้เป็นเช่นนั้น คุณต้องประสานงานกับผู้ขายเพื่อขออนุญาตอย่างชัดแจ้ง หากไม่สามารถขออนุญาตจากผู้ขายได้ คุณไม่สามารถรวมระบบหรือบริการเหล่านั้นไว้ในขอบเขตการวิจัยของคุณได้
นโยบายนี้มีผลบังคับใช้กับระบบและบริการต่อไปนี้:
- pge.com
- guide.pge.com
- recreation.pge.com
- esft.pge.com
- lyncdiscover.pge.com
- safetyactioncenter.pge.com
- wbt.firstresponder.pge.com
- *.pge.com
บริการใด ๆ ที่ไม่ได้ระบุไว้อย่างชัดแจ้งข้างต้น เช่น บริการที่เชื่อมต่อ จะไม่รวมอยู่ในขอบเขตของนโยบายนี้และไม่ได้รับอนุญาตให้ทำการทดสอบหรือการวิจัย นอกจากนี้ ช่องโหว่ใด ๆ ที่คุณพบในระบบจากผู้ขายของเราจะอยู่นอกเหนือขอบเขตของนโยบายนี้ และควรรายงานไปยังผู้ขายโดยตรงตามนโยบายการเปิดเผยข้อมูล (ถ้ามี) หากคุณไม่แน่ใจว่าระบบอยู่ในขอบเขตหรือไม่ โปรดติดต่อเราได้ที่ pgecirt@pge.com ก่อนที่จะเริ่มทำการวิจัย (หรือตามข้อมูลการติดต่อในเรื่องการรักษาความปลอดภัยสำหรับชื่อโดเมนของระบบที่ระบุไว้ใน .gov WHOIS)
แม้ว่าเราจะพัฒนาและบำรุงรักษาระบบหรือบริการที่เข้าถึงได้ผ่านทางอินเทอร์เน็ต แต่ความปรารถนาและความคาดหวังของเราก็คือการวิจัยและการทดสอบเชิงรุกจะต้องดำเนินการเฉพาะกับระบบและบริการที่ขอบเขตของเอกสารนี้ครอบคลุมเท่านั้น หากมีระบบใดที่ไม่อยู่ภายในขอบเขตที่คุณคิดว่าเป็นการทดสอบโดยสุจริตใจ โปรดติดต่อเราเพื่อหารือเกี่ยวกับระบบก่อนเสมอ เราอาจจะเพิ่มขอบเขตของนโยบายนี้ในอนาคต
การรายงานช่องโหว่
ข้อมูลช่องโหว่ที่ส่งภายใต้นโยบายนี้จะใช้เพื่อวัตถุประสงค์ในการป้องกันเท่านั้น เพื่อลดหรือแก้ไขช่องโหว่นั้น หากสิ่งที่คุณค้นพบเป็นช่องโหว่ที่เพิ่งค้นพบซึ่งส่งผลกระทบต่อผู้ใช้ผลิตภัณฑ์หรือบริการทั้งหมดและไม่ใช่เฉพาะ PG&E เราอาจเปิดเผยรายงานของคุณต่อ Cybersecurity and Infrastructure Security Agency ซึ่งจะได้รับการจัดการภายใต้ กระบวนการเปิดเผยช่องโหว่ผ่านการประสานงานของหน่วยงาน เราจะไม่เปิดเผยชื่อหรือข้อมูลติดต่อของคุณโดยไม่ได้รับอนุญาตจากคุณ
หากต้องการรายงานช่องโหว่ โปรดติดต่อเราที่ pgecirt@pge.com
สามารถส่งรายงานโดยไม่เปิดเผยตัว หากคุณเปิดเผยข้อมูลการติดต่อ เราจะพยายามอย่างเต็มที่เพื่อรับทราบถึงการรับรายงานจากคุณภายในสาม (3) วันทำการ
การส่งรายงานช่องโหว่จะถือว่าว่าคุณรับทราบว่าคุณไม่ได้คาดหวังที่จะได้รับการชำระเงิน และคุณจะสละสิทธิ์อย่างชัดแจ้งในการเรียกร้องการจ่ายเงินในอนาคตจากรัฐบาลสหรัฐที่เกี่ยวข้องกับการส่งของคุณ
สิ่งที่เราอยากเห็นจากคุณ
เพื่อช่วยให้เราสามารถแยกแยะและจัดลำดับความสำคัญของการส่ง เราขอให้คุณติดต่อเราทางอีเมลก่อนที่ pgecirt@pge.com ซึ่งรวมถึง:
- คำอธิบายระดับสูงเกี่ยวกับช่องโหว่ ขอบเขต และความรุนแรง
- ตำแหน่งโดเมนของช่องโหว่และผลกระทบที่อาจเกิดขึ้นจากการแสวงหาประโยชน์
หลังจากที่เราตรวจสอบข้อมูลเบื้องต้นแล้ว เราจะส่งอีเมลที่เข้ารหัสถึงคุณ เพื่อให้คุณสามารถตอบกลับพร้อมรายละเอียดเฉพาะของช่องโหว่ รวมถึงคำอธิบายที่ครอบคลุมเกี่ยวกับขั้นตอนที่จำเป็นในการทำให้เกิดช่องโหว่ซ้ำ (การแนบสคริปต์การพิสูจน์แนวคิดหรือภาพหน้าจอจะเป็นประโยชน์อย่างยิ่ง)
สิ่งที่คุณคาดหวังได้จากเรา
เมื่อคุณส่งรายงานช่องโหว่ไปยังโปรแกรมนี้ตามนโยบายนี้ เรามีพันธกิจที่จะประสานงานกับคุณอย่างเปิดเผยและรวดเร็วที่สุด
- เราจะพยายามอย่างเต็มที่เพื่อรับทราบว่าได้รับรายงานของคุณแล้วภายในสาม (3) วันทำการ
- เราจะยืนยันกับคุณถึงการมีอยู่ของช่องโหว่ และอย่างโปร่งใสที่สุดเท่าที่จะเป็นไปได้เกี่ยวกับขั้นตอนที่เรากำลังดำเนินการในระหว่างกระบวนการแก้ไขอย่างสุดความสามารถ รวมถึงปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขเกิดความล่าช้า
- เราจะจัดให้มีการสนทนาที่เปิดกว้างเพื่อหารือเกี่ยวกับประเด็นต่าง ๆ
ดุลยพินิจในเรื่องการเปิดเผยการชำระเงินจะขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว แต่ไม่ว่าในกรณีใด PG&E จะไม่ชำระเงินสำหรับการเปิดเผยข้อมูลให้แก่บุคคลที่อยู่ในชื่อการคว่ำบาตร หรือผู้ที่อยู่ในประเทศต่าง ๆ (เช่น คิวบา อิหร่าน เกาหลีเหนือ ซูดาน และซีเรีย) ที่อยู่ในรายชื่อการคว่ำบาตร
ข้อมูลทางกฎหมายของโปรแกรมการเปิดเผยช่องโหว่
โปรดทราบว่าอาจมีข้อจำกัดเพิ่มเติมเกี่ยวกับความสามารถของคุณในการส่งข้อมูลการเปิดเผยช่องโหว่ ซึ่งจะขึ้นอยู่กับกฎหมายในท้องถิ่นที่เกี่ยวข้องกับสถานที่คุณพำนักอาศัยหรือทำงาน
นโยบายนี้อาจมีการเปลี่ยนแปลงและโปรแกรมนี้สามารถยกเลิกได้ตลอดเวลา และการตัดสินใจว่าจะจ่ายชำระเงินสำหรับการเปิดเผยข้อมูลหรือไม่นั้นขึ้นอยู่กับ PG&E แต่เพียงฝ่ายเดียว