Política de divulgação de vulnerabilidade
Introdução
A JLL está empenhada em fazer parceria com nossos clientes para ver um caminho mais brilhante no setor imobiliário corporativo. Isso inclui a proteção de nossos sistemas corporativos e a proteção dos dados que nos são confiados por nossos clientes e parceiros. Esta política destina-se a fornecer aos pesquisadores de segurança diretrizes claras para conduzir atividades de descoberta de vulnerabilidades e transmitir nossas preferências sobre como enviar vulnerabilidades descobertas para nós.
Observe que a JLL não opera um programa de recompensas por bugs. Ao enviar uma vulnerabilidade, você reconhece que não tem expectativa de pagamento e que renuncia expressamente a qualquer reclamação de pagamento futuro contra a JLL relacionada ao seu envio.
Esta política descreve quais sistemas e tipos de pesquisa são cobertos por esta política, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que esperem antes de divulgar vulnerabilidades publicamente.
Incentivamos você a entrar em contato conosco para relatar possíveis vulnerabilidades em nossos sistemas.
Autorização
Se você fizer um esforço de boa fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada, trabalharemos com você para entender e resolver o problema rapidamente, e a JLL não recomendará ou tomará medidas legais relacionadas a sua pesquisa. Se uma ação legal for iniciada por um terceiro contra você por atividades que foram conduzidas de acordo com esta política, daremos esta autorização ao conhecimento.
Diretrizes
De acordo com esta política, “pesquisa” significa atividades nas quais você:
- Nos notifica o mais rápido possível após descobrir um problema de segurança real ou potencial.
- Faz todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados.
- Só usa as brechas de segurança na medida necessária para confirmar a presença de uma vulnerabilidade. Não usa uma brecha para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando nem usa a brecha para migrar para outros sistemas.
- Nos fornece um período de tempo razoável para resolver o problema antes de divulgá-lo publicamente.
- Não envia um grande volume de relatórios de baixa qualidade.
Depois de estabelecer que existe uma vulnerabilidade ou encontrar quaisquer dados confidenciais (incluindo informações de identificação pessoal, informações financeiras, informações proprietárias ou segredos comerciais de qualquer parte), você deve interromper seu teste, notificar-nos imediatamente e não divulgar esses dados para mais ninguém.
Métodos de teste
Os seguintes métodos de teste não são autorizados:
- Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados.
- Testes físicos (por exemplo, acesso ao escritório, portas abertas, uso não autorizado), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico.
Escopo
Esta política aplica-se apenas a sistemas e serviços gerenciados e de propriedade total da JLL.
Quaisquer serviços não listados expressamente acima, como quaisquer serviços conectados, são excluídos do escopo e não são autorizados para teste. Além disso, as vulnerabilidades encontradas nos sistemas de nossos fornecedores estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor de acordo com sua política de divulgação (se houver). Se você não tem certeza se um sistema está no escopo ou não, entre em contato conosco em vulndisclosure@jll.com.
Embora possamos ajudar no desenvolvimento e manutenção de outros sistemas ou serviços acessíveis pela Internet, pedimos que pesquisas e testes ativos sejam realizados apenas nos sistemas e serviços cobertos pelo escopo desta política. Se houver um sistema específico fora do escopo que você acha que merece ser testado, entre em contato conosco para discuti-lo antes de qualquer teste. Avaliaremos o escopo desta política ao longo do tempo.
As informações enviadas sob esta política serão usadas apenas para fins defensivos – para mitigar ou remediar vulnerabilidades. Se suas descobertas incluírem vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço e não apenas a JLL, podemos compartilhar seu relatório com a Agência de Segurança Cibernética e de Infraestrutura, onde ele será tratado de acordo com o processo coordenado de divulgação de vulnerabilidades. Não compartilharemos seu nome ou informações de contato sem permissão expressa.
Aceitamos relatórios de vulnerabilidade via vulndisclosure@jll.com. Os relatórios podem ser enviados anonimamente. Se você compartilhar informações de contato, acusaremos o recebimento de seu relatório em até 3 dias úteis.
Não oferecemos suporte a e-mails criptografados por PGP.
O que gostaríamos de ver de você
Para nos ajudar a triar e priorizar envios, recomendamos que seus relatórios:
- Descrevam o local em que a vulnerabilidade foi descoberta e o possível impacto da exploração.
- Ofereçam uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de tela são úteis).
- Estejam em inglês, se possível.
O que você pode esperar de nós
Quando você escolhe compartilhar suas informações de contato conosco, nos comprometemos a coordenar com você da forma mais aberta e rápida possível.
- Dentro de 3 dias úteis, confirmaremos que seu relatório foi recebido.
- Com o melhor de nossa capacidade, confirmaremos a existência da vulnerabilidade para você e seremos o mais transparentes possível sobre as etapas que estamos tomando durante o processo de remediação, inclusive sobre problemas ou desafios que podem atrasar a resolução.
- Manteremos um diálogo aberto para discutir questões.
Dúvidas
Dúvidas sobre esta política podem ser enviadas para vulndisclosure@jll.com. Também convidamos você a entrar em contato conosco com sugestões para melhorar esta política.