การรายงานช่องโหว่ด้านความปลอดภัย

• Amazon Web Services (AWS): หากคุณต้องการรายงานช่องโหว่หรือมีข้อกังวลด้านความปลอดภัยเกี่ยวกับ AWS Cloud Services หรือโปรเจกต์โอเพนซอร์ส โปรดส่งข้อมูลโดยติดต่อ aws-security@amazon.com หากคุณต้องการปกป้องเนื้อหาที่คุณส่งมา คุณสามารถใช้คีย์ PGP ของเราได้
• Amazon.com (การค้าปลีก): หากคุณมีข้อกังวลด้านความปลอดภัยของ Amazon.com (การค้าปลีก), Seller Central, Amazon Payments หรือปัญหาอื่นๆ ที่เกี่ยวข้อง เช่น คำสั่งซื้อที่น่าสงสัย การชำระเงินด้วยบัตรเครดิตที่ไม่ถูกต้อง อีเมลที่น่าสงสัย หรือการรายงานช่อ��โหว่ โปรดไปที่เว็บเพจการรักษาความปลอดภัยสำหรับการค้าปลีกของเรา
• นโยบายการสนับสนุนลูกค้าของ AWS สำหรับการทดสอบการเจาะข้อมูล: ลูกค้า AWS สามารถดำเนินการประเมินความปลอดภัยหรือการประเมินความเสี่ยงด้วยการทดสอบเจาะระบบโครงสร้างพื้นฐานของ AWS ของตนได้โดยไม่ต้องขออนุมัติล่วงหน้าสำหรับบริการที่ระบุ การขอใช้สิทธิ์สำหรับเหตุการณ์จำลองอื่นๆ ควรส่งคำขอผ่านแบบฟอร์มเหตุการณ์จำลอง สำหรับลูกค้าที่ปฏิบัติงานใน AWS Region จีน (หนิงเซี่ยและปักกิ่ง) โปรดใช้แบบฟอร์มเหตุการณ์จำลองนี้
• AWS Abuse: หากคุณสงสัยว่ามีการใช้งานทรัพยากร AWS (เช่น อินสแตนซ์ EC2 หรือบัคเก็ต S3) เพื่อกิจกรรมที่น่าสงสัย คุณสามารถรายงานให้ทีม AWS Abuse ทราบได้โดยใช้แบบฟอร์มรายงานการใช้งาน Amazon AWS ที่ไม่เหมาะสม หรือติดต่อ trustandsafety@support.aws.com
• AWS Compliance Information: สามารถเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ได้ผ่าน AWS Artifact หากคุณมีข้อสงสัยเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS โปรดติดต่อทีมงานผ่านแบบฟอร์มรับข้อมูล

เพื่อให้เราตอบสนองต่อรายงานของคุณได้อย่างมีประสิทธิภาพมากขึ้น โปรดแจ้งข้อมูลสนับสนุนทั้งหมด (โค้ดการพิสูจน์แนวคิด เอาต์พุตเครื่องมือ ฯลฯ) ที่จะเป็นประโยชน์และช่วยให้เราเข้าใจลักษณะและความรุนแรงของช่องโหว่ได้

ข้อมูลที่คุณแชร์กับ AWS ซึ่งเป็นส่วนหนึ่งของกระบวนการนี้จะถูกเก็บเป็นความลับภายใน AWS AWS จะแชร์ข้อมูลนี้กับบริษัทภายนอกก็ต่อเมื่อพบว่าช่องโหว่ที่คุณรายงานส่งผลกระทบต่อผลิตภัณฑ์ของบริษัทภายนอกเท่านั้น ซึ่งในกรณีดังกล่าว เราจะแชร์ข้อมูลนี้กับผู้สร้างหรือผู้ผลิตของผลิตภัณฑ์ของบริษัทภายนอก มิฉะนั้นแล้ว AWS จะแชร์ข้อมูลนี้ตามที่คุณอนุญาตเท่านั้น

AWS จะตรวจสอบรายงานที่ส่งมาและกำหนดหมายเลขติดตามให้กับรายงาน จากนั้นเราจะตอบคุณโดยแจ้งว่าได้รับรายงานแล้ว และแสดงข้อมูลขั้นตอนถัดไปในกระบวนการ

กิจกรรมต่อไปนี้อยู่นอกขอบเขตของโปรแกรมการรายงานช่องโหว่ของ AWS การดำเนินกิจกรรมใดๆ ด้านล่างนี้จะส่งผลให้ถูกตัดสิทธิ์จากโปรแกรมเป็นการถาวร

• การมุ่งเป้าไปที่สินทรัพย์ของลูกค้า AWS หรือเว็บไซต์ที่ไม่ใช่ของ AWS ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานของเรา
• ช่องโหว่ที่มาจากการเข้าถึงบัญชีของลูกค้าหรือพนักงาน AWS โดยไม่ได้รับอนุญาต
• การโจมตีโดยปฏิเสธการให้บริการ (DoS) ต่อผลิตภัณฑ์ของ AWS หรือลูกค้า AWS
• การโจมตีทางกายภาพต่อพนักงาน สำนักงาน และศูนย์ข้อมูลของ AWS
• การโจมตีแบบวิศวกรรมสังคมต่อพนักงาน ผู้รับจ้าง ผู้จำหน่าย หรือผู้ให้บริการของ AWS
• การโพสต์ การถ่ายทอด การอัปโหลด การลิงก์ไปยัง หรือการส่งมัลแวร์โดยรู้เท่าทัน
• การดำเนินการตามช่องโหว่ซึ่งส่งข้อความที่ไม่ได้ร้องขอเป็นจำนวนมาก (สแปม)

AWS มุ่งมั่นที่จะตอบสนองและแจ้งให้คุณทราบถึงความก้าวหน้าของเราอยู่เสมอ คุณจะได้รับการอัปเดตอย่างทันท่วงที ซึ่งเป็นการตอบกลับแบบไม่อัตโนมัติที่จะตรวจสอบการรับรายงานเบื้องต้นของคุณภายใน 24 ชั่วโมง และการเช็คอินทุกเดือนตลอดระยะเวลาการมีส่วนร่วม คุณสามารถขอข้อมูลอัปเดตได้ตลอดเวลา และเรายินดีรับการสนทนาที่ชี้แจงข้อกังวลหรือการประสานงานการเปิดเผยข้อมูล

AWS จะประสานงานการแจ้งต่อสาธารณะเกี่ยวกับช่องโหว่ที่ยืนยันแล้วกับคุณ หากสามารถทำได้ เราต้องการให้มีการโพสต์เปิดเผยต่อสาธารณะดังกล่าวพร้อมกันหากเป็นไปได้

เพื่อปกป้องลูกค้าของเรา AWS ขอให้คุณไม่โพสต์หรือแชร์ข้อมูลใดๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในพื้นที่สาธารณะใดๆ จนกว่าเราจะค้นหา ตอบสนอง และจัดการช่องโหว่ที่ได้รับรายงานและแจ้งให้ลูกค้าทราบแล้วตามความจำเป็น นอกจากนี้ เรายังต้องขอด้วยความเคารพไม่ให้คุณโพสต์หรือแชร์ข้อมูลใดๆ ของลูกค้า การจัดการกับช่องโหว่ที่ได้รับรายงานและมีการยืนยันแล้วเป็นสิ่งที่ต้องใช้เวลา และไทม์ไลน์จะขึ้นอยู่กับความรุนแรงของช่องโหว่และระบบที่ได้รับผลกระทบ

AWS จะแจ้งต่อสาธารณะในรูปแบบของกระดานข่าวด้านความปลอดภัย ซึ่งโพสต์ไว้ในเว็บไซต์ AWS Security โดยปกติ บุคคล บริษัท และทีมงานด้านความปลอดภัยจะโพสต์คำแนะนำของตนบนเว็บไซต์ของตนเองและในฟอรัมอื่นๆ เราจะระบุลิงก์ไปยังทรัพยากรของบุคคลภายนอกในกระดานข่าวด้านความปลอดภัยของ AWS เมื่อมีข้อมูลที่เกี่ยวข้อง  

เราเชื่อว่าการวินิจฉัยด้านความปลอดภัยที่ดำเนินการด้วยความสุจริตควรได้รับข้อยกเว้นความรับผิด เพื่อวัตถุประสงค์ในการรักษาความปลอดภัยสำหรับการวิจัยด้านความปลอดภัยและการรายงานช่องโหว่ เราได้นำ มาตรฐานข้อยกเว้นความรับผิด มาใช้ เราตั้งตารอที่จะได้ร่วมงานกับนักวิจัยด้านความปลอดภัยที่มีความหลงใหลในการปกป้องลูกค้าของเราเช่นเดียวกับเรา

มาตรฐานข้อยกเว้นความรับผิดสนับสนุนการปกป้ององค์กรและแฮกเกอร์ที่มีส่วนร่วมในการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดี “การวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดี” คือการเข้าถึงคอมพิวเตอร์เพื่อวัตถุประสงค์ในการทดสอบ ตรวจสอบและ/หรือแก้ไขข้อบกพร่องหรือช่องโหว่ด้านความปลอดภัย ในกรณีที่กิจกรรมดังกล่าวดำเนินการในลักษณะที่ออกแบบมาเพื่อหลีกเลี่ยงอันตรายต่อบุคคลหรือสาธารณชน และหากข้อมูลที่ได้จากกิจกรรมนี้ใช้เพื่อส่งเสริมความปลอดภัยหรือความปลอดภัยของประเภทของอุปกรณ์ เครื่องจักร หรือบริการออนไลน์ที่คอมพิวเตอร์ที่เข้าถึง หรือผู้ที่ใช้อุปกรณ์ดังกล่าว หรือบริการออนไลน์

เราถือว่าการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดีเป็นกิจกรรมที่ได้รับอนุญาตซึ่งได้รับการคุ้มครองจากการดำเนินการทางกฎหมายที่ขัดแย้งโดยเรา เรายกเว้นข้อจำกัดที่เกี่ยวข้องใน เงื่อนไขการให้บริการ (“TOS”) และ/หรือ นโยบายการใช้งานที่ยอมรับได้ (“AUP”) ที่ขัดแย้งกับมาตรฐานสำหรับการวิจัยด้านการรักษาความปลอดภัยด้วยเจตนาดีที่ระบุไว้ที่นี่

ซึ่งหมายความว่าสำหรับกิจกรรมที่ดำเนินการในขณะที่โปรแกรมนี้ใช้งานอยู่ เรา:

• จะไม่ ดำเนินการตามกฎหมายต่อคุณหรือรายงานคุณเพื่อการวิจัยด้านความปลอดภัยที่ดีศรัทธา รวมถึงการหลีกเลี่ยงมาตรการทางเทคโนโลยีที่เราใช้เพื่อปกป้องแอปพลิเคชันในขอบเขต และ
• จะ ดำเนินการตามขั้นตอนเพื่อแจ้งให้ทราบว่าคุณได้ทำการวิจัยด้านความปลอดภัยในความสุจริต หากมีคนอื่นดำเนินการตามกฎหมายกับคุณ

คุณควรติดต่อเราเพื่อขอชี้แจงก่อนที่จะมีส่วนร่วมในพฤติกรรมที่คุณคิดว่าอาจไม่สอดคล้องกับการวิจัยด้านความปลอดภัยในความเชื่อมั่นในความเชื่อมั่นหรือไม่ได้รับการแก้ไขโดยนโยบายของเรา

โปรดทราบว่าเราไม่สามารถอนุมัติการวิจัยด้านความปลอดภัยเกี่ยวกับโครงสร้างพื้นฐานของบุคคลที่สามและบุคคลที่สามจะไม่ผูกพันกับคำชี้แจงท่าเรือปลอดภัย