Rhoi gwybod am wendid ar wasanaeth neu system Cofrestrfa Tir EF
Canllawiau ar sut i roi gwybod am wendid ar wasanaeth neu system Cofrestrfa Tir EF.
1. Cyflwyniad
1.1 Mae data Cofrestrfa Tir EF yn chwarae rhan hollbwysig yng ngweithrediad y farchnad eiddo domestig a masnachol yng Nghymru a Lloegr.
1.2 Darllenwch ragor am yr hyn mae Cofrestrfa Tir EF yn ei wneud ar GOV.UK.
2. Pwrpas
2.1 Mae’r polisi datgelu gwendid hwn yn gymwys i unrhyw wendidau diogelwch rydych yn ystyried eu hysbysu i Gofrestrfa Tir EF.
2.2 Dylech ddarllen y polisi datgelu hwn yn llawn cyn rhoi gwybod am unrhyw wendidau diogelwch, er mwyn sicrhau eich bod yn deall y polisi ac yn gallu gweithredu yn unol ag ef.
2.3 Mae Cofrestrfa Tir EF yn cymeradwyo ac yn cefnogi gweithio gyda’r gymuned ymarferwyr ymchwil a diogelwch i wella diogelwch ar-lein y sefydliad. Mae’r sefydliad yn croesawu gwaith ymchwiliol i wendidau diogelwch, a wneir gan ymchwilwyr diogelwch moesegol sydd â bwriadau da.
3. Cwmpas
3.1 Mae’r polisi hwn yn gymwys i wendidau diogelwch yng nghynnyrch a gwasanaethau Cofrestrfa Tir EF.
4. Amodau
4.1 Wrth dderbyn rheolau ac egwyddorion y polisi hwn rydych yn cytuno na fyddwch yn datgelu’n gyhoeddus y gwendidau a hysbyswyd inni oni bai bod Cofrestrfa Tir EF wedi cymeradwyo hyn. Rydych hefyd yn cytuno na fyddwch yn ceisio manteisio ar unrhyw wendid y daethpwyd o hyd iddo i gael unrhyw ddata neu gofnodion Cofrestrfa Tir EF.
4.2 Mae’r polisi hwn yn gymwys i bob defnyddiwr gan gynnwys staff Cofrestrfa Tir EF, cyflenwyr trydydd parti a defnyddwyr cyffredinol gwasanaethau cysylltu â’r rhyngrwyd Cofrestrfa Tir EF.
4.3 Rydym yn gwerthfawrogi’r rheini sy’n cymryd yr amser a’r ymdrech i roi gwybod am wendidau diogelwch yn unol â’r polisi hwn, fodd bynnag, nid ydym yn cynnig gwobrau (ariannol neu fel arall) am ddatgelu gwendidau.
5. Sut i roi gwybod am wendidau technegol
5.1 Mae Cofrestrfa Tir EF yn cymryd diogelwch ei systemau o ddifrif. Os ydych yn credu eich bod wedi dod o hyd i wendid technegol ar unrhyw un o systemau Cofrestrfa Tir EF, gallwch roi gwybod amdano.
5.2 Nid yw’r polisi hwn yn darparu unrhyw indemniad ar gyfer unrhyw gamau gweithredu os ydynt yn erbyn y gyfraith. Nid yw’n darparu indemniad gan Gofrestrfa Tir EF nac unrhyw drydydd parti.
5.3 Dylid cynnwys y manylion canlynol yn eich adroddiad:
- y wefan, protocol y rhyngrwyd (IP) neu dudalen lle gellir gweld y gwendid
- disgrifiad byr o’r math o wendid, er enghraifft gwendid sgriptio traws-safle; a’r
- camau i atgynhyrchu’r gwendid, a ddylai fod yn gyfeillgar, yn annistrywiol, ac yn brawf o gysyniad yn unig. Mae hyn yn helpu i sicrhau y gellir brysbennu’r adroddiad yn gyflym ac yn gywir. Mae hefyd yn lleihau’r tebygolrwydd o adroddiadau dyblyg, neu fanteisio’n faleisus ar rai gwendidau, megis trosfeddiannau is-barthau
5.4 Os nad ydych yn siwr a yw Cofrestrfa Tir EF yn gyfrifol am wasanaeth neu brotocol y rhyngrwyd (IP) lle rydych wedi dod o hyd i wendid o ran diogelwch, dylech roi gwybod i’r Ganolfan Seiberddiogelwch Genedlaethol (NCSC). Mae rhagor o wybodaeth am sut i wneud hyn ar gael ar dudalen rhoi gwybod am wendid y Ganolfan.
6. Yr hyn i’w ddisgwyl
6.1 Ar ôl ichi gyflwyno’ch adroddiad, byddwn yn cydnabod ein bod wedi ei gael o fewn 5 niwrnod gwaith ac yn ymateb cyn gynted â phosibl (o fewn 10 niwrnod gwaith fel rheol) i roi gwybod ichi a oes angen rhagor o wybodaeth arnom, a yw’r gwendid yn rhan o’n cyfrifoldeb ai peidio, neu a yw’n adroddiad dyblyg.
6.2 Asesir y flaenoriaeth ar gyfer cywiro trwy edrych ar yr effaith, difrifoldeb a chymhlethdod ymelwa. Gall gymryd peth amser i frysbennu neu fynd i’r afael ag adroddiadau am wendidau. Mae croeso ichi holi am y sefyllfa ond dylech osgoi gwneud hynny fwy nag unwaith bob 14 diwrnod. Mae hyn yn galluogi ein timau i ganolbwyntio ar unrhyw waith cywiro.
6.3 Byddwn yn rhoi gwybod ichi pan gaiff y gwendid yr adroddwyd yn ei gylch ei gywiro, ac efallai cewch eich gwahodd i gadarnhau bod yr ateb yn cwmpasu’r gwendid yn ddigonol.
7. Adborth
7.1 Rydym yn croesawu adborth ar y broses o drin datgeliadau ac effeithiolrwydd y broses o ddatrys gwendidau. Gellir rhoi adborth i securityadvicecentre@landregistry.gov.uk. Caiff eich adborth ei drin yn gyfrinachol a’i ddefnyddio i wella prosesau sefydliadol ar gyfer trin adroddiadau, datblygu gwasanaethau, a datrys gwendidau.
8. Cydnabyddiaethau
8.1 Mae’r polisi hwn wedi ei addasu o bolisi datgelu gwendid y Weinyddiaeth Gyfiawnder, sydd ar gael o dan Drwydded Llywodraeth Agored fersiwn 3.0.
Canllawiau polisi
Wrth roi gwybod am wendidau, ni ddylech wneud y canlynol:
- torri unrhyw gyfraith neu reoliad cymwys
- ceisio manteisio ar wendid y daethpwyd o hyd iddo i gael data
- defnyddio offer sganio diogelwch technegol ymosodol neu ddinistriol dwys iawn i ddod o hyd i wendidau
- torri preifatrwydd defnyddwyr, staff, contractwyr, gwasanaethau neu systemau Cofrestrfa Tir EF, er enghraifft, trwy rannu, ailddosbarthu a/neu beidio â sicrhau’n gywir y data a adalwyd o’n systemau neu’n gwasanaethau
- rhoi gwybod am unrhyw wendidau neu fanylion cysylltiedig gan ddefnyddio dulliau nad ydynt yn cael eu disgrifio yn y polisi hwn, neu roi gwybod i unrhyw un heblaw’r cyswllt diogelwch penodedig yng Nghofrestrfa Tir EF
- addasu data yn systemau neu wasanaethau Cofrestrfa Tir EF nad yw’n perthyn i’r ymchwilydd
- amharu ar wasanaethau neu systemau Cofrestrfa Tir EF
- teilwra cymdeithasol, gwe-rwydo neu ymosod yn gorfforol ar staff neu seilwaith Cofrestrfa Tir EF
- datgelu unrhyw wendidau yn systemau neu wasanaethau Cofrestrfa Tir EF i drydydd partïon neu’r cyhoedd, cyn i Gofrestrfa Tir EF gadarnhau bod y gwendidau hynny wedi eu lliniaru neu eu hunioni
- gofyn am iawndal ariannol i ddatgelu unrhyw wendidau (fel dal sefydliad i bridwerth)
Nid yw hyn wedi ei fwriadu i’ch atal rhag hysbysu trydydd parti am wendid lle mae’n uniongyrchol berthnasol iddynt.
Enghraifft fyddai lle mae’r gwendid sy’n cael ei nodi mewn llyfrgell meddalwedd neu fframwaith. Rhaid peidio â chyfeirio at fanylion y gwendid penodol sy’n gymwys i Gofrestrfa Tir EF mewn adroddiadau o’r fath. I gael eglurhad ynghylch a allwch neu pa bryd y gallwch hysbysu trydydd parti, cysylltwch â ni, gan wneud yn siwr mai’r pwnc yw “VDP”.
Gofynnwn ichi ddileu’n ddiogel unrhyw ddata a gafwyd yn ystod eich ymchwil cyn gynted y bydd yn ddiangen neu o fewn mis i ddatrys y gwendid, pa un bynnag sy’n digwydd gyntaf.
Os ydych yn ansicr ar unrhyw adeg a yw eich gweithredoedd bwriadedig neu wirioneddol yn unol â’r polisi hwn, cysylltwch â ni am arweiniad (gan ddefnyddio’r pwnc “VDP”) gan ddefnyddio’r cyswllt adborth securityadvicecentre@landregistry.gov.uk
Cyfreithlondeb
Mae’r polisi hwn wedi ei gynllunio i fod yn gydnaws ag arfer da cyffredin ymhlith ymchwilwyr diogelwch sydd â bwriadau da. Nid yw’n rhoi caniatâd ichi weithredu mewn unrhyw fodd sy’n anghyson â’r gyfraith, neu a allai achosi i Gofrestrfa Tir EF fod yn torri unrhyw un o’i rhwymedigaethau cyfreithiol, gan gynnwys ond heb fod yn gyfyngedig i’r canlynol (fel y’u diweddarir o bryd i’w gilydd):
- Deddf Camddefnyddio Cyfrifiaduron (1990)
- Rheoliad Diogelu Data Cyffredinol 2016/679 a Deddf Diogelu Data 2018
- Deddf Hawlfraint, Dyluniadau a Phatentau (1988)
- Deddf Cyfrinachau Swyddogol (1989)
Mae Cofrestrfa Tir EF yn cadarnhau na fydd yn ceisio erlyn unrhyw ymchwilydd diogelwch sy’n rhoi gwybod am unrhyw wendid diogelwch yn un o wasanaethau neu systemau Cofrestrfa Tir EF lle mae’r ymchwilydd wedi gweithredu’n ddidwyll ac yn unol â’r polisi hwn.