Panimula


Ang patakarang ito ay nilalayong magbigay ng malinaw na mga gabay sa lehitimong mga mananaliksik sa seguridad para sa pagsasagawa ng mga aktibidad sa pagtuklas ng kahinaan at ipaalam sa Pacific Gas & Electric Company ("PG&E") ang mga gusto kung paano isusumite sa amin ang natuklasang mga kahinaan.


Inilalarawan ng patakarang ito kung anong mga sistema at uri ng pananaliksik ang saklaw ng patakarang ito, paano ipapadala sa amin ang mga ulat ng kahinaan, at gaano katagal namin hinihiling sa mga mananaliksik sa seguridad na maghintay bago isiwalat sa publiko ang mga kahinaan.


Hinihikayat ka naming kontakin kami para iulat ang potensiyal na mga kahinaan sa aming mga sistema alinsunod sa sumusunod na mga protokol.



Awtorisasyon

Kapag natiyak namin na nakagawa ka ng pagsisikap na tapat sa paniniwala upang sumusunod sa patakarang ito sa panahon ng iyong pananaliksik sa seguridad, ituturing naming awtorisado ang iyong pananaliksik sa seguridad, makikipagtrabaho kami sa iyo upang maunawaan at maresolba nang mabilis ang isyu, at hindi magrerekomenda ng legal na aksiyon ang PG&E na kaugnay ng iyong pananaliksik sa seguridad na isinagawa sa isang paraan na naaayon sa patakarang ito. Inaasahan ka, tulad ng dati, na sumunod sa lahat ng naaayong mga batas.



Mga Gabay

Sa ilalim ng patakarang ito, nangangahulugan ang “pananaliksik” ng mga aktibidad kung saan ikaw ay:

  • Ipinapaalam sa amin sa lalong madaling panahon pagkaraang matuklasan mo ang isang tunay o potensiyal na isyu ng seguridad.
  • Gagawin ang bawat pagsisikap upang maiwasan ang mga paglabag o pagsiwalat sa pagkapribado, pagkasira sa karanasan ng user, pagkaabala sa mga sistema ng produksiyon, o pagwasak o manipulasyon ng data.
  • Gagamitin lang ang mga paghahanap sa hangganang kinakailangan upang kumpirmahin ang pagkakaroon ng kahinaan. Hindi gagamitin ang paghahanap upang magkumpromiso o mag-exfiltrate ng data, bumuo ng paulit-ulit na utos sa linya ng pag-akses, o gamitin ang paghahanap para lumipat sa ibang sistema.
  • Bibigyan kami ng makatwirang haba ng panahon upang resolbahin ang isyu bago mo isiwalat ito sa publiko.
  • Hindi magsusumite ng maraming ulat na mababa ang kalidad.

Sa sandaling napatunayan mong mayroong kahinaan o nakatagpo ng anumang hindi pampubliko o sensitibong data (kasama ang personal na nakikilalang impormasyon, impormasyon sa pananalapi, o impormasyon sa pag-aari o mga sikreto ng kalakalan ng anumang partido), dapat mong ihinto ang iyong pananaliksik, sabihan kami kaagad, at pumayag na hindi isiwalat ang kahinaan o data na ito sa sinumang iba pang tao.



Mga paraan ng pagsusuri

Ang sumusunod na mga paraan ng pagsusuri at pananaliksik ay hindi awtorisado:

  • Network denial of service (DoS o DDoS) na mga pagsusuri o iba pang mga pagsusuri na nakasisira sa akses sa o nakapipinsala sa sistema o data
  • Pisikal na pagsusuri (hal., akses sa opisina, bukas na mga pinto, o tailgating), social engineering (hal., phishing, vishing), o anumang ibang hindi teknikal na pagsusuri sa kahinaan
  • Pagpunit o pagpalit ng mga website
  • Pangingikil ng anumang uri sa pamamagitan ng paghingi ng pera o pagbabanta ng pagsisiwalat ng impormasyon
  • Paglikha ng hindi makatwirang bilang ng mga account upang magsagawa ng pagsusuri sa ibang aplikasyon at serbisyo



Saklaw

Bago magdagdag ng isang sistema o serbisyo sa saklaw ng iyong pananaliksik, tiyaking pinahihintulutan o awtorisado kang magsagawa ng pagsusuri sa seguridad nang gamit ang sistema o serbisyiong iyon. Halimbawa, kung gagamit ka ng isang pinamamahalaang tagapagbigay ng serbisyo o software bilang serbisyo, siguraduhing nakumpirmang hayagang awtorisado ng vendor ang gayong pagsusuri. tulad ng pagkumpirma na umiiral ang naturang awtoridad sa kontrata ng iyong ahensiya sa provider o idinetalye ang kanilang pampublikong makukuhang patakaran. Kung hindi, dapat kang makipagtrabaho sa vendor upang makamit ang hayagang awtorisasyon. Kung hindi posibleng makuha ang awtorisasyon ng vendor, hindi mo maaaring isama ang mga sistema o serbisyong iyon sa saklaw ng iyong pananaliksik.


Ang patakarang ito ay magagamit sa sumusunod na mga sistema at serbisyo:

  • pge.com
  • marketplace.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

Anumang serbisyong hindi lantarang nakalista sa itaas, tulad ng anumang konektadong mga serbisyo ay hindi kasama sa saklaw ng patakarang ito at hindi awtorisado para sa pagsusuri o pananaliksik. Bilang dagdag, ang anumang kahinaang makita mo sa mga sistema mula sa aming mga vendor ay nasa labas ng saklaw ng patakarang ito at dapat iulat nang direkta sa vendor alinsunod sa kanilang patakaran sa pagsisiwalat (kung mayroon man). Kung hindi ka sigurado kung ang isang sistema ay saklaw o hindi, kontakin kami sa pgecirt@pge.com bago simulan ang iyong pananaliksik (o ang kontak sa seguridad para sa domain name ng sistemang nakalista sa .gov WHOIS).


Kahit nagpapaunlad at napapanatili namin ang mga sistema o serbisyong maaakses ng internet, kagustuhan at inaasahan namin ito na ang aktibong pananaliksik at pagsusuri ay isasagawa lamang sa mga sistema at serbisyong saklaw ng dokumentong ito. Kung may partikular na sistemang hindi saklaw na iniisip mong dapat suriin, mangyaring kontakin kami upang talakayin muna ito. Maaari naming palawakin ang saklaw ng patakarang ito sa pagdaan ng panahon.



Pag-uulat ng isang kahinaan

Ang impormasyon sa kahinaang isinumite sa ilalim ng patakarang ito ay gagamitin para sa mga layuning pangdepensa lamang, upang mapagaan o malunasan ang mga kahinaan. Kung kabilang sa iyong mga napag-alaman ay ang mga bagong tuklas na kahinaang nakakaapekto sa lahat ng user ng isang produkto o serbisyo at hindi sa PG&E lang, maaari naming ibahagi ang iyong ulat sa Cybersecurity and Infrastructure Security Agency, kung saan ito hahawakan sa ilalim ng kanilang proseso ng pagsisiwalat nang nakaugnay na kahinaan. Hindi namin ibabahagi ang iyong pangalan o impormasyon sa pagkontak nang wala kang hayag na pahintulot.


Upang mag-ulat ng kahinaan kontakin kami sa pgecirt@pge.com.


Ang mga ulat ay maaaring isumite nang walang pangalan. Kapag nagbahagi ka ng impormasyon sa pagkontak, gagawin namin ang pinakamabuting pagsisikap na kilalanin ang pagkatanggap ng iyong ulat sa loob ng tatlong (3) araw ng negosyo.


Sa pagsumite ng isang ulat ng kahinaan, kinikilala mo na wala kang inaasahang kabayaran at hayagan mong isinasaisantabi ang anumang paghahabol ng bayad sa hinaharap laban sa Gobyerno ng U.S. kaugnay ng iyong pagsusumite.



Ano ang gusto naming makita mula sa iyo

Upang matulungan kaming panimulang suriin at bigyan ng prayoridad ang mga pagsusumite, inirerekomenda naming isama ng iyong unang pagkontak sa email sa pgecirt@pge.com ang:

  • Isang paglalarawan sa kahinaang mataas ang antas, saklaw at tindi nito.
  • Ang domain na lokasyon ng kahinaan at ang potensiyal na epekto ng paghahanap.

Kapag narebyu na namin sa inisyal na impormasyon, padadalhan ka namin ng encrypted na email para puwede kang tumugon nang may partikular na mga detalye ng kahinaan, kasama ang komprehensibong paglalarawan ng mga hakbang na kailangan upang maparami ang kahinaan (makatutulong ang pruweba ng mga iskrip ng konsepto o mga screenshot).



Ano ang iyong maaasahan mula sa amin

Kapag nagsumite ka ng ulat ng kahinaan sa programang ito alinsunod sa patakarang ito, paninindigan namin ang pakikipag-ugnayan sa iyo nang kasimbukas at kasimbilis hanggang maaari.

  • Sa loob ng tatlong (3) araw ng negosyo, gagawin namin ang pinakamabuting pagsisikap na kilalaning natanggap ang iyong ulat.
  • Sa abot ng aming kakayahan, kukumpirmahin namin sa iyo ang pagkakaroon ng kahinaan at magiging bukas kami hanggang maaari tungkol sa mga hakbang na gagawin namin sa proseso ng pagbibigay ng lunas, kabilang ang mga isyu o hamon na maaaring makaantala sa resolusyon.
  • Pananatilihin namin ang bukas na diyalogo upang talakayin ang mga isyu.

Ang diskresyon sa pagsiwalat ng mga kabayaran ay tanging nasa PG&E ngunit walang pagkakataon na ang PG&E ay maglalabas ng pagsiwalat ng mga kabayaran sa mga indibidwal na nasa mga listahan ng hindi pinapahintulutan, o nasa mga bansa (hal., Cuba, Iran, North Korea, Sudan at Syria) na nasa mga listahan ng hindi pinapahintulutan.



Legal na Impormasyon sa Programa ng Pagsisiwalat sa Kahinaan

Mangyaring pansinin na maaaring mayroong karagdagang mga paghihigpit sa iyong kakayahang magsumite ng nakasiwalat na mga kahinaan depende sa magagamit na lokal na mga batas kung saan ka nakatira o nagtratrabaho.


Ang patakarang ito ay maaaring mapalitan at ang programang ito ay maaaring kanselahin anumang oras, at ang desisyon na magbayad sa pagsisiwalat ay tanging nasa PG&E.