Neidio i'r prif gynnwys

Croeso i’n gwefan newydd. Efallai y byddwch yn gweld rhai tudalennau o’n hen wefan wrth i ni symud pethau draw.

Sut i adrodd am wendid diogelwch ar ein gwefan

Os ydych chi'n credu eich bod wedi dod o hyd i wendid diogelwch yn ein gwefan, rhowch wybod am y gwendid i ni.

Rhowch wybod am wendid diogelwch ar ein gwefan (Saesneg)

Beth yw gwendid diogelwch?

Mae gwendid diogelwch yn ddiffyg neu wendid yng nghod, dyluniad neu gyfluniad ein gwefan y gallai rhywun ei ddefnyddio i ymosod yn llwyddiannus ar y Gronfa. Mae hyn yn cynnwys unrhyw wendidau a allai adael i rywun:

  • cael mynediad anawdurdodedig at wasanaethau neu wybodaeth
  • cyfaddawdu data
  • tarfu ar wasanaethau

Ynglŷn â'n polisi datgelu gwendid

Mae'r polisi datgelu gwendid hwn yn berthnasol i unrhyw wendidau rydych chi'n ystyried eu hadrodd i ni ('y Gronfa'). Rydym yn argymell darllen y polisi datgelu gwendid hwn yn llawn cyn i chi adrodd am wendid a gweithredu bob amser yn unol ag ef.

Rydym yn gwerthfawrogi'r rhai sy'n cymryd yr amser a'r ymdrech i adrodd am wendidau diogelwch yn ôl y polisi hwn. Fodd bynnag, nid ydym yn cynnig gwobrau ariannol na 'bug bounties' ar gyfer datgeliadau gwendid.

Adrodd am wendidau diogelwch: beth i'w ddweud wrthym

Yn eich adroddiad, cynhwyswch:

  • manylion y wefan, IP neu'r dudalen lle gwnaethoch ddod o hyd i'r gwendid (gan gynnwys unrhyw URLau perthnasol)
  • disgrifiad byr o'r math o wendid, er enghraifft; "Gwendid XSS"
  • camau y gallem eu cymryd i atgynhyrchu'r gwendid

Dylai'r camau rydych chi'n eu hamlinellu fod yn brawf cysyniad anfalaen, nad yw'n ddinistriol. Mae hyn yn ein helpu i brysbennu eich adroddiad yn gyflym ac yn gywir. Mae hefyd yn lleihau'r tebygolrwydd o adroddiadau dyblyg, neu ecsbloetio maleisus o rai gwendidau, fel meddiannu is-barth.

Ar ôl i chi gyflwyno'ch adroddiad

Byddwn ni’n:

  • ymateb i'ch adroddiad o fewn 5 diwrnod gwaith
  • anelu at brysbennu eich adroddiad o fewn 28 diwrnod gwaith
  • anelu at eich hysbysu am ein cynnydd

Rydym yn blaenoriaethu pa wendidau i'w trwsio trwy edrych ar yr effaith, difrifoldeb a chymhlethdod ecsbloetio. Efallai y bydd adroddiadau gwendid yn cymryd peth amser i brysbennu neu fynd i'r afael â nhw.

Byddwn yn rhoi gwybod i chi pan fyddwn wedi trwsio'r gwendid rydych chi wedi dweud wrthym amdano. Efallai y byddwn hefyd yn eich gwahodd i gadarnhau bod ein datrysiad yn cwmpasu'r gwendid yn ddigonol.

Unwaith y byddwn yn trwsio'r gwendid, efallai y byddwn yn rhannu gwybodaeth amdano i adrannau eraill y gwasanaeth sifil a allai gael eu heffeithio.

Awgrymiadau ar gyfer adrodd am wendidau

Rhaid i chi beidio â:

  • torri unrhyw gyfraith neu reoliadau perthnasol
  • cyrchu symiau diangen neu sylweddol o ddata – ni ddylech echdynnu mwy na 10 cofnod at ddibenion prawf cysyniad
  • addasu data yn systemau neu wasanaethau'r Gronfa.
  • defnyddio offer sganio ymledol neu ddinistriol dwysedd uchel i ddod o hyd i wendidau
  • ceisio neu adrodd am unrhyw fath o wrthod gwasanaeth, megis llethu gwasanaeth gyda nifer uchel o geisiadau
  • amharu ar wasanaethau neu systemau'r Gronfa
  • cyflwyno adroddiadau sy'n manylu ar wendidau na ellir eu hecsbloetio, neu adroddiadau sy'n nodi nad yw'r gwasanaethau yn cyd-fynd yn llawn â'r 'arfer gorau', er enghraifft penawdau diogelwch ar goll
  • cyflwyno adroddiadau sy'n manylu ar wendidau cyfluniad TLS, er enghraifft cefnogaeth cyfres seiffr 'gwan' neu bresenoldeb cefnogaeth TLS1.0
  • cyfathrebu unrhyw wendidau neu fanylion cysylltiedig heblaw drwy ddulliau a ddisgrifir yn y security.txt cyhoeddedig
  • peiriannyddu’n gymdeithasol, 'phish', 'vish', 'smish' neu ymosod yn gorfforol ar staff neu seilwaith y Gronfa
  • amgryptio gwybodaeth rydych chi wedi'i echdynnu, fel na allwn ei gyrchu mwyach (hyd yn oed fel rhan o brawf o gysyniad)
  • gofyn am iawndal ariannol er mwyn datgelu unrhyw wendidau

Rhaid i chi bob amser:

  • cydymffurfio â rheolau diogelu data a pheidio â thorri preifatrwydd defnyddwyr, staff, contractwyr, gwasanaethau neu systemau'r Gronfa. Er enghraifft, rhaid i chi beidio â rhannu, ailddosbarthu neu fethu â diogelu data a adferwyd o'r systemau neu'r gwasanaethau yn briodol
  • dileu'n ddiogel yr holl ddata a adalwyd yn ystod eich ymchwil cyn gynted ag nad oes ei angen mwyach neu o fewn 1 mis i'r gwendid gael ei ddatrys, pa un bynnag sy'n digwydd gyntaf (neu fel sy'n ofynnol fel arall gan gyfraith diogelu data)

Y gyfraith a gwendidau adrodd

Mae'r polisi hwn wedi'i gynllunio i fod yn gydnaws ag arfer da datgelu gwendid cyffredin. Nid yw'n rhoi caniatâd i chi weithredu mewn unrhyw ffordd sy'n anghyson â'r gyfraith, neu a allai achosi i'r Gronfa neu sefydliadau partner fod yn torri unrhyw rwymedigaethau cyfreithiol.

Mae'r Gronfa’n ymrwymo i beidio â mynd ar drywydd camau cyfreithiol yn erbyn ymchwilwyr sydd wedi gweithredu mewn ewyllys da ac wedi cydymffurfio'n llawn â'r polisi hwn.