Giới thiệu


Chính sách này nhằm cung cấp cho các nhà nghiên cứu bảo mật hợp pháp những hướng dẫn rõ ràng để tiến hành các hoạt động khám phá lỗ hổng bảo mật và các tùy chọn truyền đạt thông tin của Pacific Gas & Electric Company ("PG&E ") về cách thức gửi các lỗ hổng bảo mật được phát hiện cho chúng tôi.


Chính sách này mô tả những hệ thống và loại hình nghiên cứu nào nằm trong chính sách này, cách gửi cho chúng tôi báo cáo về lỗ hổng bảo mật và thời gian chúng tôi yêu cầu các nhà nghiên cứu bảo mật đợi trước khi tiết lộ công khai các lỗ hổng bảo mật.


Chúng tôi khuyến khích bạn liên hệ với chúng tôi để báo cáo các lỗ hổng bảo mật có thể có trong hệ thống của chúng tôi theo quy trình sau.



Ủy quyền

Nếu chúng tôi xác định rằng bạn đã thực hiện một nỗ lực thiện chí để tuân thủ chính sách này trong quá trình nghiên cứu bảo mật, chúng tôi sẽ xem nghiên cứu bảo mật của bạn là được ủy quyền, chúng tôi sẽ hợp tác với bạn để tìm hiểu và giải quyết vấn đề một cách nhanh chóng, đồng thời PG&E sẽ không đề xuất hành động pháp lý liên quan đến nghiên cứu bảo mật của bạn được thực hiện phù hợp với chính sách này. Trong mọi trường hợp, bạn phải tuân thủ tất cả các luật hiện hành.



Nguyên tắc

Theo chính sách này, "nghiên cứu" có nghĩa là các hoạt động trong đó bạn:

  • Thông báo cho chúng tôi càng sớm càng tốt sau khi bạn phát hiện ra sự cố bảo mật thực sự hoặc có thể xảy ra.
  • Cố gắng hết sức để tránh vi phạm hoặc tiết lộ quyền riêng tư, làm suy giảm trải nghiệm người dùng, gián đoạn hệ thống sản xuất hoặc hủy hoặc thao túng dữ liệu.
  • Chỉ sử dụng các khai thác trong phạm vi cần thiết để xác nhận sự hiện diện của lỗ hổng bảo mật. Không sử dụng khai thác để xâm phạm hoặc lấy cắp dữ liệu, thiết lập quyền truy cập dòng lệnh liên tục hoặc sử dụng khai thác để xoay vòng sang các hệ thống khác.
  • Cung cấp cho chúng tôi một khoảng thời gian hợp lý để giải quyết vấn đề trước khi bạn tiết lộ sự cố một cách công khai.
  • Không gửi số lượng lớn các báo cáo chất lượng thấp.

Sau khi bạn đã xác định rằng lỗ hổng bảo mật tồn tại hoặc gặp bất kỳ dữ liệu nhạy cảm hoặc không công khai nào (bao gồm thông tin nhận dạng cá nhân, thông tin tài chính hoặc thông tin độc quyền hoặc bí mật thương mại của bất kỳ bên nào), bạn phải dừng nghiên cứu, thông báo cho chúng tôi ngay lập tức và đồng ý không được tiết lộ lỗ hổng bảo mật hoặc dữ liệu này cho bất kỳ ai khác.



Phương pháp kiểm tra

Các phương pháp kiểm tra và nghiên cứu sau đây là không được phép:

  • Kiểm tra từ chối dịch vụ mạng (denial of service, DoS hoặc DDoS) hoặc các kiểm tra khác làm giảm khả năng truy cập hoặc làm hỏng hệ thống hoặc dữ liệu
  • Kiểm tra vật lý (ví dụ: ra vào văn phòng, cửa mở, bám đuôi vào cửa), kỹ thuật xã hội (ví dụ: tấn công lừa đảo qua mạng, tấn công lừa đảo qua điện thoại) hoặc bất kỳ kiểm tra lỗ hổng bảo mật phi kỹ thuật nào khác
  • Phá hoại hoặc thay đổi các trang web
  • Tống tiền dưới bất kỳ hình thức nào bằng cách đòi tiền hoặc đe dọa tiết lộ thông tin
  • Tạo một số lượng tài khoản không hợp lý để thực hiện kiểm tra các ứng dụng và dịch vụ



Phạm vi

Trước khi thêm một hệ thống hoặc dịch vụ vào phạm vi nghiên cứu của bạn, hãy đảm bảo rằng bạn được phép hoặc được ủy quyền để tiến hành kiểm tra bảo mật bằng cách sử dụng hệ thống hoặc dịch vụ đó. Ví dụ: nếu bạn sử dụng nhà cung cấp dịch vụ được quản lý hoặc phần mềm dưới dạng dịch vụ, hãy đảm bảo xác nhận rằng nhà cung cấp đã phê duyệt rõ ràng cho kiểm tra đó, chẳng hạn như xác nhận quyền hạn đó tồn tại trong hợp đồng của đại lý của bạn với nhà cung cấp hoặc nêu chi tiết chính sách có sẵn công khai của họ. Nếu không, bạn phải làm việc với nhà cung cấp xin phê duyệt rõ ràng. Nếu không thể có được ủy quyền của nhà cung cấp, bạn không thể đưa các hệ thống hoặc dịch vụ đó vào phạm vi nghiên cứu của mình.


Chính sách này áp dụng cho các hệ thống và dịch vụ sau:

  • pge.com
  • marketplace.pge.com
  • recreation.pge.com
  • esft.pge.com
  • lyncdiscover.pge.com
  • safetyactioncenter.pge.com
  • wbt.firstresponder.pge.com
  • *.pge.com

Bất kỳ dịch vụ nào không được liệt kê rõ ràng ở trên, chẳng hạn như bất kỳ dịch vụ được kết nối nào, đều bị loại trừ khỏi phạm vi của chính sách này và không được phép kiểm tra hoặc nghiên cứu. Ngoài ra, bất kỳ lỗ hổng bảo mật nào bạn tìm thấy trong hệ thống từ các nhà cung cấp của chúng tôi đều nằm ngoài phạm vi của chính sách này và phải được báo cáo trực tiếp cho nhà cung cấp theo chính sách tiết lộ lỗ hổng bảo mật của họ (nếu có). Nếu bạn không chắc liệu một hệ thống có nằm trong phạm vi hay không, hãy liên hệ với chúng tôi theo địa chỉ pgecirt@pge.com trước khi bắt đầu nghiên cứu của bạn (hoặc tại địa chỉ liên hệ bảo mật cho tên miền của hệ thống được liệt kê trong .gov WHOIS).


Mặc dù chúng tôi phát triển và duy trì các hệ thống hoặc dịch vụ có thể truy cập internet khác, chúng tôi mong muốn và kỳ vọng rằng nghiên cứu và kiểm tra tích cực sẽ chỉ được thực hiện trên các hệ thống và dịch vụ được đề cập trong phạm vi của tài liệu này. Nếu có một hệ thống cụ thể không nằm trong phạm vi mà bạn cho rằng đáng để kiểm tra, vui lòng liên hệ với chúng tôi để thảo luận trước. Chúng tôi có thể tăng phạm vi của chính sách này theo thời gian.



Báo cáo lỗ hổng bảo mật

Thông tin về lỗ hổng bảo mật được gửi theo chính sách này sẽ chỉ được sử dụng cho mục đích phòng thủ, để giảm thiểu hoặc khắc phục các lỗ hổng bảo mật. Nếu phát hiện của bạn bao gồm các lỗ hổng bảo mật mới được phát hiện ảnh hưởng đến tất cả người dùng sản phẩm hoặc dịch vụ và không chỉ PG&E, chúng tôi có thể chia sẻ báo cáo của bạn với Cybersecurity and Infrastructure Security Agency, mà báo cáo sẽ được xử lý theo quy trình tiết lộ lỗ hổng bảo mật được phối hợp của họ. Chúng tôi sẽ không chia sẻ tên hoặc thông tin liên hệ của bạn mà không có sự cho phép rõ ràng của bạn.


Để báo cáo một lỗ hổng bảo mật, hãy liên hệ với chúng tôi theo địa chỉ pgecirt@pge.com.


Các báo cáo có thể được gửi ẩn danh. Nếu bạn chia sẻ thông tin liên hệ, chúng tôi sẽ cố gắng hết sức để xác nhận đã nhận được báo cáo của bạn trong vòng ba (3) ngày làm việc.


Khi gửi báo cáo về lỗ hổng bảo mật, bạn xác nhận rằng bạn không có kỳ vọng được thanh toán và bạn thể hiện rõ ràng từ bỏ mọi khiếu nại về khoản thanh toán trong tương lai đối với Chính phủ Hoa Kỳ liên quan đến nội dung bạn gửi.



Những gì chúng tôi muốn thấy từ bạn

Để giúp chúng tôi phân loại và ưu tiên các nội dung gửi, chúng tôi đề nghị email liên hệ đầu tiên của bạn đến pgecirt@pge.com nên bao gồm:

  • Mô tả cấp cao về lỗ hổng bảo mật, phạm vi và mức độ nghiêm trọng.
  • Vị trí miền của lỗ hổng bảo mật và tác động khai thác có thể có.

Sau khi chúng tôi xem xét thông tin ban đầu, chúng tôi sẽ gửi cho bạn một email được mã hóa để bạn có thể trả lời kèm theo thông tin chi tiết cụ thể về lỗ hổng bảo mật, bao gồm mô tả toàn diện về các bước cần thiết để vá lỗ hổng bảo mật (các tập lệnh bằng chứng về khái niệm hoặc ảnh chụp màn hình đều hữu ích).



Những gì bạn có thể kỳ vọng từ chúng tôi

Khi bạn gửi báo cáo về lỗ hổng bảo mật cho chương trình này theo chính sách này, chúng tôi cam kết phối hợp với bạn một cách cởi mở và nhanh nhất có thể.

  • Trong vòng ba (3) ngày làm việc, chúng tôi sẽ cố gắng hết sức để xác nhận rằng chúng tôi đã nhận được báo cáo của bạn.
  • Với nỗ lực tốt nhất, chúng tôi sẽ xác nhận sự tồn tại của lỗ hổng bảo mật cho bạn và minh bạch nhất có thể về những bước chúng tôi đang thực hiện trong quá trình khắc phục, bao gồm những vấn đề hoặc thách thức có thể trì hoãn việc giải quyết.
  • Chúng tôi sẽ duy trì một cuộc đối thoại cởi mở để thảo luận về các vấn đề.

Quyền quyết định đối với các khoản thanh toán tiết lộ thông tin chỉ thuộc về PG&E nhưng trong mọi trường hợp PG&E sẽ không cấp các khoản thanh toán tiết lộ thông tin cho các cá nhân nằm trong danh sách trừng phạt hoặc những người ở các quốc gia (ví dụ: Cuba, Iran, Triều Tiên, Sudan và Syria) trong danh sách trừng phạt.



Thông tin Pháp lý về Chương trình Tiết lộ Lỗ hổng Bảo mật

Xin lưu ý rằng có thể có các hạn chế bổ sung đối với khả năng bạn gửi các lỗ hổng bảo mật được phát hiện tùy thuộc vào luật hiện hành của địa phương nơi bạn sinh sống hoặc làm việc.


Chính sách này có thể được thay đổi và chương trình này có thể bị hủy bất kỳ lúc nào và quyết định có thanh toán cho việc tiết lộ thông tin hay không chỉ thuộc về PG&E.