Pelaporan Kerentanan

• Amazon Web Services (AWS): Jika Anda ingin melaporkan kerentanan atau menemukan masalah keamanan yang terkait dengan layanan cloud AWS atau proyek sumber terbuka, harap kirim informasi tersebut dengan menghubungi aws-security@amazon.com. Jika Anda ingin melindungi isi kiriman Anda, Anda dapat menggunakan kunci PGP kami.
• Amazon.com (Ritel): Jika Anda mengalami masalah keamanan dengan Amazon.com (Ritel), Pusat Penjual, Amazon Payments, atau masalah terkait lainnya, seperti pesanan mencurigakan, kekeliruan tagihan kartu kredit, email mencurigakan, atau pelaporan kerentanan, buka halaman web Keamanan untuk Ritel.
• Kebijakan Dukungan Pelanggan AWS untuk Uji Penetrasi: Pelanggan AWS dipersilakan untuk melaksanakan penilaian keamanan atau uji penetrasi terhadap infrastruktur AWS mereka tanpa persetujuan terlebih dahulu untuk layanan yang ada dalam daftar. Permintaan Otorisasi untuk Kejadian Simulasi Lainnya harus dikirim melalui Formulir Kejadian Simulasi. Untuk pelanggan yang beroperasi di Wilayah Tiongkok AWS (Ningxia & Beijing), silakan menggunakan Formulir Kejadian Simulasi.
• Penyalahgunaan AWS: Jika Anda menduga bahwa sumber daya AWS (seperti instans EC2 atau bucket S3) digunakan untuk aktivitas yang mencurigakan, Anda dapat melaporkannya kepada Tim Penyalahgunaan AWS melalui formulir Laporkan penyalahgunaan Amazon AWS atau dengan menghubungi abuse@amazonaws.com.
• Informasi Kepatuhan AWS: Akses ke laporan kepatuhan AWS tersedia melalui AWS Artifact. Jika ada pertanyaan lain yang terkait dengan Kepatuhan AWS, silakan menghubungi melalui formulir masukan mereka.

Agar laporan Anda dapat ditindaklanjuti secara lebih efektif, berikan materi pendukung (kode bukti konsep, output alat, dll.) yang akan berguna untuk membantu kami memahami karakteristik dan keparahan kerentanan itu.

Informasi yang Anda bagikan kepada AWS sebagai bagian dari proses ini akan dirahasiakan di dalam AWS. AWS hanya akan membagikan informasi ini kepada pihak ketiga jika kerentanan yang Anda laporkan ternyata memengaruhi produk pihak ketiga. Jika demikian, kami akan membagikan informasi ini kepada penyusun atau produsen produk pihak ketiga tersebut. Jika tidak, AWS hanya akan membagikan informasi ini sebagaimana diizinkan oleh Anda.

AWS akan meninjau laporan yang dikirim dan memberinya nomor pelacakan. Selanjutnya, kami akan mengabari Anda tentang penerimaan laporan itu dan menguraikan langkah berikutnya dalam proses ini.

Aktivitas berikut berada di luar cakupan Program Pelaporan Kerentanan AWS. Melakukan salah satu aktivitas di bawah ini akan menyebabkan diskualifikasi dari program secara permanen.

• Menarget aset pelanggan AWS atau situs non-AWS yang di-host di infrastruktur kami
• Kerentanan apa pun yang diperoleh dengan cara yang membahayakan akun pelanggan atau karyawan AWS
• Setiap serangan Denial of Service (DoS) terhadap produk AWS atau pelanggan AWS
• Serangan fisik terhadap karyawan, kantor, dan pusat data AWS
• Rekayasa sosial terhadap karyawan, kontraktor, vendor, atau penyedia layanan AWS
• Dengan sengaja mengeposkan, mentransmisikan, mengunggah, menautkan, atau mengirim malware
• Mengejar kerentanan yang mengirim pesan massal yang tidak diminta (spam)

AWS berkomitmen untuk merespons dengan cepat dan terus mengabarkan perkembangan kami. Anda akan menerima respons nonotomatis yang mengonfirmasi penerimaan laporan awal Anda dalam 24 jam, informasi terkini yang tepat waktu, dan kabar bulanan di sepanjang interaksi ini. Anda dapat meminta info terkini kapan saja dan kami siap untuk berdiskusi jika ada persoalan atau koordinasi pengungkapan yang perlu diklarifikasi.

Jika berlaku, AWS akan mengoordinasikan pemberitahuan publik tentang setiap kerentanan yang divalidasi dengan Anda. Jika memungkinkan, kami lebih memilih agar masing-masing pengungkapan publik kami diposting secara serentak.

Untuk melindungi pelanggan kami, AWS meminta Anda untuk tidak memposting atau membagikan informasi apa pun tentang potensi kerentanan secara publik hingga kami telah meneliti, merespons, dan menangani kerentanan yang dilaporkan, dan memberi tahu pelanggan jika perlu. Selain itu, kami meminta dengan hormat kepada Anda untuk tidak memposting atau membagikan data apa pun milik pelanggan kami. Mengatasi kerentanan yang dilaporkan secara valid memerlukan waktu dan lini masanya akan bergantung pada tingkat keparahan kerentanan dan sistem yang terpengaruh.

AWS mengeluarkan pemberitahuan publik dalam bentuk Buletin Keamanan yang diposkan di situs web AWS Security. Individu, perusahaan, dan tim keamanan biasanya mengeposkan pengumuman resmi di situs web masing-masing dan di forum lain dan, jika diperlukan, kami akan menyertakan tautan ke sumber daya pihak ketiga tersebut dalam Buletin Keamanan AWS.  

AWS berpendapat bahwa penelitian keamanan yang dilakukan dengan iktikad baik harus disediakan secara safe harbor. Untuk keperluan safe harbor demi penelitian keamanan dan pelaporan kerentanan, AWS Security telah mengadopsi istilah utama dari disclose.io, khususnya "Safe Harbor" dan "Ekspektasi Kami". Kami berharap dapat bekerja sama dengan para peneliti keamanan yang sepemikiran untuk melindungi pelanggan AWS.

Karena itu, kami menganggap penelitian keamanan yang dilakukan berdasarkan kebijakan ini:

• Diizinkan menurut undang-undang antiperetasan yang berlaku dan kami tidak akan mengambil atau mendukung tindakan hukum terhadap Anda atas pelanggaran yang tidak disengaja dan beriktikad baik terhadap kebijakan ini;
• Diizinkan menurut undang-undang antipengelabuan yang terkait dan kami tidak akan mengajukan klaim terhadap Anda atas pengelabuan kontrol teknologi;
• Dikecualikan dari pembatasan dalam Ketentuan Layanan dan/atau Kebijakan Penggunaan yang Dapat Diterima yang akan mengganggu pelaksanaan penelitian keamanan dan kami mengesampingkan pembatasan itu secara terbatas; dan
• Sesuai hukum, membantu keamanan internet secara keseluruhan dan dilakukan dengan iktikad baik.

Anda diharapkan, sebagaimana biasanya, untuk mematuhi semua hukum yang berlaku. Jika tindakan hukum diambil oleh pihak ketiga terhadap Anda, sedangkan Anda telah mematuhi kebijakan ini, kami akan mengambil langkah untuk memberitahukan bahwa tindakan Anda dilakukan sesuai dengan kebijakan ini.

Jika sewaktu-waktu Anda memiliki kekhawatiran atau tidak yakin apakah penelitian keamanan Anda sesuai dengan kebijakan ini, silakan mengirim laporan melalui salah satu saluran yang telah kami sebutkan di bagian "Melaporkan Dugaan Kelemahan" sebelum melanjutkan.

Harap diperhatikan bahwa safe harbor hanya berlaku untuk klaim hukum yang berada di bawah kendali organisasi yang berpartisipasi dalam kebijakan ini dan bahwa kebijakan ini tidak mengikat pihak ketiga yang independen.

Dalam berpartisipasi dalam program pengungkapan kerentanan dengan iktikad baik ini, kami meminta Anda untuk:

• Mematuhi peraturan, termasuk mengikuti kebijakan ini dan perjanjian lain yang terkait. Jika terdapat ketidaksesuaian antara kebijakan ini dan ketentuan lain yang berlaku, ketentuan dalam kebijakan ini akan berlaku;
• Segera laporkan kerentanan apa pun yang Anda temukan;
• Jangan melanggar privasi orang lain, mengganggu sistem kami, memusnahkan data, dan/atau mengganggu kenyamanan pengguna;
• Gunakan hanya saluran yang telah disebutkan untuk mendiskusikan informasi kerentanan dengan kami;
• Beri kami waktu yang wajar sejak laporan awal untuk menyelesaikan masalah itu sebelum Anda mengungkapkannya kepada publik;
• Laksanakan pengujian hanya pada sistem yang berada di dalam cakupan dan hargai sistem dan aktivitas yang berada di luar cakupan;
• Jika kerentanan itu tanpa sengaja membuat Anda dapat mengakses data, akses data itu sesedikit mungkin untuk menunjukkan bukti konsep secara efektif; lalu hentikan uji dan segera kirim laporan jika Anda menemukan data pengguna selama pengujian, seperti Informasi Pengenal Pribadi (PII), Informasi Perawatan Kesehatan Pribadi (PHI), data kartu kredit, atau informasi hak milik;
• Hanya berinteraksi dengan akun uji coba yang Anda miliki atau dengan izin yang tegas dari pemegang akun; dan
• Jangan terlibat dalam pemerasan.