Cyflwyniad
Senedd Cymru yw’r corff sy’n cael ei ethol yn ddemocrataidd i gynrychioli buddiannau Cymru a’i phobl. Mae’r Senedd, fel y’i gelwir, yn deddfu ar gyfer Cymru, yn cytuno ar drethi yng Nghymru, ac yn dwyn Llywodraeth Cymru i gyfrif.
Mae Comisiwn y Senedd yn gwasanaethu’r Senedd i hwyluso ei llwyddiant yn y tymor hir fel senedd gryf, hygyrch, gynhwysol a blaengar sy’n cyflawni’n effeithiol ar gyfer pobl Cymru.
Darllenwch fwy am yr hyn rydyn ni'n ei wneud yn https://senedd.cymru/busnes-y-senedd/.
Mae'r polisi datgelu gwendidau TGCh hwn yn berthnasol i unrhyw wendidau yr ydych yn ystyried rhoi gwybod i ni amdanynt (y "sefydliad"). Rydym yn argymell darllen y polisi datgelu gwendidau TGCh hwn yn llawn cyn i chi roi gwybod am wendid, a dylech weithredu bob amser yn unol â’r polisi hwn.
Rydym yn gwerthfawrogi'r rheini sy’n rhoi o’u hamser a’u hymdrech i adrodd am wendidau TGCh yn unol â’r polisi hwn. Fodd bynnag, nid ydym yn cynnig gwobrau ariannol am ddatgeliadau gwendidau TGCh.
Adrodd
Os ydych yn credu eich bod wedi dod o hyd i wendid diogelwch TGCh, anfonwch eich adroddiad atom gan ddefnyddio'r linc a ganlyn:
Yn eich adroddiad, dylech gynnwys manylion am:
- Y wefan, IP, neu'r dudalen lle gellir gweld y gwendid.
- Disgrifiad byr o'r math o wendid, er enghraifft; "gwendid XSS".
- Camau i atgynhyrchu. Dylai'r rhain fod yn brawf o gysyniad anfalaen, anddinistriol. Mae hyn yn helpu i sicrhau y gellir brysbennu'r adroddiad yn gyflym ac yn gywir. Mae hefyd yn lleihau'r tebygolrwydd o adroddiadau dyblyg, neu ecsbloetio maleisus o rai gwendidau, megis trosfeddiannu is-barthau.
Beth i'w ddisgwyl
Ar ôl i chi gyflwyno eich adroddiad, byddwn yn ymateb o fewn pum niwrnod gwaith ac yn anelu at frysbennu eich adroddiad o fewn deg diwrnod gwaith. Byddwn hefyd yn ceisio rhoi gwybod i chi am ein cynnydd.
Rydym yn asesu blaenoriaeth ar gyfer gwaith adfer drwy ystyried yr effaith, difrifoldeb a lefel y cymhlethdod o ran gallu ymosodwr i fanteisio ar y gwendid. Efallai y bydd adroddiadau gwendidau yn cymryd peth amser i brysbennu neu fynd i’r afael â nhw. Mae croeso i chi holi am y statws, ond dylech osgoi gwneud hynny fwy nag unwaith bob 14 diwrnod. Mae hyn yn caniatáu i'n timau ganolbwyntio ar y gwaith adfer.
Byddwn yn eich hysbysu pan fydd y gwendid yr adroddir amdano yn cael ei gywiro, ac efallai y cewch eich gwahodd i gadarnhau bod y datrysiad yn cywiro’r gwendid yn ddigonol.
Unwaith y bydd eich gwendid wedi'i ddatrys, rydym yn croesawu ceisiadau i ddatgelu eich adroddiad. Hoffem uno canllawiau i ddefnyddwyr yr effeithir arnynt, felly parhewch i gydlynu rhyddhad cyhoeddus o’r adroddiad gyda ni.
Canllawiau
NI chewch wneud y canlynol:
- Torri unrhyw gyfraith neu reoliadau perthnasol.
- Cael mynediad at symiau diangen, gormodol neu sylweddol o ddata.
- Addasu data yn systemau neu wasanaethau'r sefydliad.
- Defnyddio meddalwedd sganio ymledol neu ddinistriol dwysedd uchel i ddod o hyd i wendidau.
- Ceisio neu adrodd am unrhyw fath o wrthod gwasanaeth, e.e. gorlethu gwasanaeth gyda nifer fawr o geisiadau.
- Tarfu ar wasanaethau neu systemau'r sefydliad.
- Cyflwyno adroddiadau sy'n rhoi manylion gwendidau na ellir eu hecsbloetio, neu adroddiadau sy'n nodi nad yw'r gwasanaethau'n cyd-fynd yn llawn ag "arfer gorau", er enghraifft penawdau diogelwch sydd ar goll.
- Cyflwyno adroddiadau sy'n manylu ar wendidau cyfluniad TLS, er enghraifft cymorth cyfres cipher "gwan" neu bresenoldeb cymorth TLS1.0.
- Cyfleu unrhyw wendidau neu fanylion cysylltiedig ac eithrio drwy gyfrwng a ddisgrifir yn y security.txt cyhoeddedig.
- Trefnu’n gymdeithasol, ‘gwe-rwydo’ neu ymosod yn ffisegol ar staff neu seilwaith y sefydliad.
- Mynnu iawndal ariannol er mwyn datgelu unrhyw wendidau.
Mae’n rhaid i chi wneud y canlynol:
- Cydymffurfio â rheolau diogelu data bob amser, a rhaid i chi beidio â thorri preifatrwydd defnyddwyr, staff, contractwyr, gwasanaethau neu systemau'r sefydliad. Rhaid i chi, er enghraifft, beidio â rhannu, ailddosbarthu neu fethu â diogelu data a adferwyd yn gywir o'r systemau neu'r gwasanaethau.
- Dileu'r holl ddata a gasglwyd yn ddiogel yn ystod eich ymchwil cyn gynted ag nad oes eu hangen arnoch mwyach neu o fewn un mis i'r gwendid gael ei ddatrys, pa un bynnag sy'n digwydd gyntaf (neu fel sy'n ofynnol fel arall gan gyfraith diogelu data).
Cyfreithlondebau
Mae'r polisi hwn wedi'i gynllunio i fod yn gydnaws ag arfer da datgelu gwendid cyffredin. Nid yw'n rhoi caniatâd i chi weithredu mewn unrhyw ffordd sy'n anghyson â'r gyfraith, neu a allai beri i'r sefydliad neu sefydliadau partner dorri unrhyw rwymedigaethau cyfreithiol.
Fodd bynnag, os caiff camau cyfreithiol eu cychwyn gan drydydd parti yn eich erbyn a'ch bod wedi cydymffurfio â'r polisi hwn, gallwn gymryd camau i'w gwneud yn hysbys bod eich gweithredoedd wedi'u cyflawni yn unol â'r polisi hwn.