在线服务

负责信息披露

AGL非常重视安全问题，并不断努力保护我们的资产、信息和系统。我们重视安全研究人员、客户和其他公众成员，以及你们在道德原则范围内的调查努力。

如果您认为您在AGL或我们的某项服务或产品中发现了潜在的安全漏洞，我们希望您根据下面的“如何报告潜在的安全漏洞”一节，通过电子邮件尽快告知我们。

我们承诺在合理的时间范围内审查所有电子邮件，并在必要时补救或减轻潜在的安全漏洞。

未经我们明确书面同意，请不要公开披露任何潜在安全漏洞的细节。

AGL不会宽恕在识别及报告保安漏洞方面的任何恶意或非法行为，你也不得从事任何违反适用法律的活动。

请注意，AGL不能提供任何形式的补偿(包括但不限于金钱补偿或其他经济利益)供披露。

AGL的责任披露计划

对我们产品和服务的任何漏洞研究都必须按照负责任的披露计划指导方针和所有适用的法律进行。我们只允许您对已授权访问的我们的服务和产品进行漏洞研究和测试。

严禁进行以下类型的研究:

1.任何使AGL系统和/或产品不可用、降级或影响可用性的企图，包括拒绝服务攻击

2.访问或试图访问不属于您的帐户或数据

3.任何修改或破坏任何数据的企图。

4.发送或试图发送未经请求或未经授权的电子邮件、垃圾邮件或任何其他形式的未经请求的信息。

5.对AGL集团员工、承包商、客户或任何其他方进行社会工程(包括网络钓鱼)。

6.任何试图抢夺财产的行为。

7.发布、传输、上传、链接、发送或存储可能影响我们的服务、产品、客户或任何其他方的恶意软件、病毒或类似有害软件。

8.测试与我们的服务或产品集成的第三方网站、应用程序或服务。

9.使用自动漏洞扫描器。

10.在任何情况下窃取任何数据。

12.任何将您描述为代表AGL、其客户或关联公司行事的活动。

13.任何违反法律的行为。

以下发现类型特别超出了范围:

1.缺少HTTP或Cookie安全标头/标志

2.TLS/SSL问题，除非CVSS v3.0基础评分高于9.0

3.CVSS v3.0基础分数低于4.0

您同意我们可将您披露给我们的任何信息或材料用于任何目的，包括但不限于复制、披露、传输、出版、广播和进一步张贴。我们可以自由使用您发送给我们的任何通信或材料中包含的任何想法、概念、专有技术或技术，用于任何目的，包括但不限于安装、开发、制造和营销产品。通过提交任何信息，您即授予我们使用、复制、修改、改编、出版、翻译、分发、传输、公开展示、公开表演、再授权、从该等信息创建衍生作品、转让和销售该等信息的永久、免版税和不可撤销的权利和许可。

如何报告潜在的安全漏洞

您可以通过电子邮件向AGL的全球安全行动中心负责任地披露潜在的安全漏洞security@agl.com.au．如果可以，请使用加密邮件。通过发送电子邮件给我们，您将被视为接受了AGL的责任披露计划条款。
请确保您包含潜在安全漏洞和利用的详细信息，并提供足够的信息，使AGL的网络安全团队能够复制您的步骤。
在报告潜在的安全漏洞时，请尽可能多地提供信息，包括:

1.观察到漏洞的日期;

2.漏洞的位置(例如URL、域名等)

3.对潜在安全漏洞的解释;

4.可能受影响的产品和服务清单(如有可能);

5.重现漏洞的步骤;

6.以前的情况(如已登录、未登录、以前的操作等);

7.任何上传到我们系统的文件名称;

8.您所创建的任何测试帐户的名称(如适用);而且

9.你的联系信息。

你所提供的任何个人资料将会根据本公司的私隐政策加以管理。www.rinmanee.com隐私政策．或者，您可以选择匿名或提供一个化名。

接下来会发生什么?

一旦您报告了一个潜在的安全漏洞，我们将在72小时内确认您的报告。我们会努力让你了解我们在解决潜在安全漏洞方面的进展，并会在问题解决后通知你。
根据任何监管和法律要求，所有报告都将严格保密，包括潜在安全漏洞的细节以及参与报告的所有研究人员的身份。一旦我们的调查结束，在征得您的同意后，我们可能会在本页下方公开承认您。如果一份报告被发现是副本或我们已经知道的其他情况，该报告将不符合公开承认的资格。
我们要求您保持机密，请不要在没有得到我们明确的书面同意的情况下公开您的研究，以确保我们已经完成我们的
请注意，我们不会为识别潜在或已确认的安全漏洞的个人或组织提供任何形式的补偿(包括但不限于金钱补偿或经济利益)。任何形式的赔偿要求将被视为违反本责任披露计划。

向我们披露了漏洞的人

以下是识别并向我们披露漏洞的人员的姓名或别名:

研究员	脆弱性
Kinshuk库马尔	姿势改善
Gaurav Popalghat	内部配置信息披露