Zasady ujawniania luk w zabezpieczeniach

Wprowadzenie

JLL dokłada wszelkich starań, aby otwierać przed klientami lepsze perspektywy w branży nieruchomości komercyjnych. Wymaga to zabezpieczenia naszych firmowych systemów i ochrony danych powierzonych nam przez klientów i partnerów. Niniejsze zasady mają na celu dostarczenie poszukiwaczom luk w zabezpieczeniach wyraźnych wytycznych odnośnie do sposobu wykrywania luk w zabezpieczeniach oraz przedstawienie naszych preferencji dotyczących sposobu zgłaszania nam stwierdzonych luk w zabezpieczeniach.

Należy mieć na uwadze, że JLL nie prowadzi programu typu bug bounty. Poszukiwacz luk w zabezpieczeniach potwierdza, że nie ma żadnych oczekiwań co do wynagrodzenia i że wyraźnie zrzeka się przyszłych roszczeń finansowych w stosunku do JLL w związku ze zgłoszonymi lukami.

Niniejszy dokument opisuje, jakie systemy i typy poszukiwań są objęte zakresem zasad, jak wysyłać zgłoszenia luk w zabezpieczeniach i jak długo chcielibyśmy, aby poszukiwacze luk w zabezpieczeniach odczekali, zanim publicznie ujawnią luki w zabezpieczeniach.

Zachęcamy do skontaktowania się z nami w celu zgłaszania możliwych luk w zabezpieczeniach naszych systemów.

Upoważnienie

Jeśli poszukiwacz luk w zabezpieczeniach podejmie w dobrej wierze starania, aby w okresie poszukiwania luk w zabezpieczeniach zachować zgodność z niniejszymi zasadami, JLL uzna te poszukiwania za uprawnione i będzie współpracować z poszukiwaczem w celu zrozumienia problemu i jego szybkiego rozwiązania, a także JLL nie będzie wnosić o podjęcie kroków prawnych ani podejmować kroków prawnych w związku z prowadzonym poszukiwaniem. Jeśli strona trzecia podejmie kroki prawne przeciwko poszukiwaczowi luk w zabezpieczeniach w związku z działaniami prowadzonymi w zgodzie z niniejszymi zasadami, ujawnimy niniejsze upoważnienie.

Wytyczne

Na potrzeby niniejszych zasad „poszukiwanie” oznacza działania, w ramach których poszukiwacz luk w zabezpieczeniach

  • Powiadomi nas jak najszybciej o stwierdzeniu faktycznego lub możliwego problemu związanego z bezpieczeństwem.
  • Podejmie wszelkie starania w kierunku uniknięcia naruszenia prywatności, pogorszenia komfortu użytkownika, zakłócenia pracy systemów produkcyjnych oraz zniszczenia danych lub manipulowania nimi.
  • Wykorzysta luki jedynie w zakresie niezbędnym do potwierdzenia obecność luk w zabezpieczeniach. Nie będzie używać programów wykorzystujących luki w celu naruszenia bezpieczeństwa lub wyprowadzenia danych, ustanowienia trwałego dostępu do wiersza poleceń, ani nie będzie wykorzystywać luki w celu przełączania się na inne systemy
  • Zapewni nam wystarczającą ilość czasu na rozwiązanie problemu przed jego publicznym ujawnieniem.
  • Nie będzie składać dużej liczby zgłoszeń o słabej jakości.

Po stwierdzeniu istnienia luki w zabezpieczeniach lub natrafieniu na dane wrażliwe (w tym informacje umożliwiające ujawnienie tożsamości, informacje finansowe lub informacje zastrzeżone czy tajemnice handlowe dowolnej strony) poszukiwacz luk w zabezpieczeniach musi przerwać testowanie, natychmiast nas powiadomić o takim fakcie i nie ujawniać tych danych nikomu innemu.

Metody testowania

Poniższe metody testowania nie są uprawnione:

  • Sieciowe testy typu odmowa usługi (DoS lub DDoS) lub inne testy, które pogarszają dostęp do systemu lub danych bądź uszkadzają system lub dane.
  • Testowanie fizyczne (np. dostęp do biura, otwarte drzwi, nieuprawnione wchodzenie do biura), inżynieria społeczna (np. phishing, vishing) i wszelkie inne nietechniczne metody testowania luk w zabezpieczeniach.
Zakres

Te zasady dotyczą tylko systemów i usług będących w całości własnością JLL i przez nią zarządzanych.

Wszelkie usługi, które nie zostały wyraźnie wymienione powyżej, takie jak usługi połączone, są wyłączone z zakresu niniejszych zasad i ich testowanie nie jest uprawnione. Dodatkowo luki w zabezpieczeniach stwierdzone w systemach naszych dostawców są poza zakresem tych zasad i należy je zgłaszać bezpośrednio u dostawcy zgodnie z jego zasadami ujawniania informacji (o ile takie istnieją). W razie braku pewności, czy system mieści się w zakresie niniejszych zasad, należy skontaktować się z nami pod adresem vulndisclosure@jll.com.

Mimo że możemy mieć udział w opracowywaniu i utrzymywaniu innych systemów lub usług dostępnych przez Internet, zwracamy się z prośbą, aby prowadzić aktywne poszukiwanie i testowanie tylko na systemach i usługach objętych zakresem niniejszych zasad. Jeśli zdaniem poszukiwacza zabezpieczeń istnieje system, który zasługuje na testowanie, ale nie mieści się w zakresie niniejszych zasad, powinien przed podjęciem czynności testowych skontaktować się z nami w celu omówienia tej kwestii. Zamierzamy z czasem weryfikować zakres niniejszych zasad.

Informacje zgłaszane na podstawie niniejszych zasad będą wykorzystywane wyłącznie do celów obronnych, tj. aby minimalizować lub naprawiać luki w zabezpieczeniach. Jeśli znalezione przez poszukiwacza luki w zabezpieczeniach obejmują nowo znalezione luki, które wpływają na wszystkich użytkowników produktu lub usługi, a nie tylko na JLL, możemy udostępnić dostarczone zgłoszenie odpowiednim organom administracji państwowej, gdzie zostanie poddane skoordynowanej procedurze dotyczącej ujawnianiu luk w zabezpieczeniach. Nie udostępnimy imienia i nazwiska ani danych kontaktowych poszukiwacza luk w zabezpieczeniach bez uzyskania wyraźnej zgody.

Zgłoszenia luk w zabezpieczeniach przyjmujemy pod adresem vulndisclosure@jll.com. Zgłoszenia można składać anonimowo. Jeśli poszukiwacz luk w zabezpieczeniach udostępni nam swoje dane osobowe, potwierdzimy odbiór zgłoszenia w ciągu 3 dni roboczych.

Nie obsługujemy wiadomości e-mail zaszyfrowanych w PGP.

Co chcielibyśmy otrzymywać od poszukiwacza luk w zabezpieczeniach

W celu umożliwienia nam klasyfikowania i ustalania priorytetów zgłoszeń zalecamy, aby zgłoszenia:

  • Opisywały lokalizację stwierdzonej luki w zabezpieczeniach i możliwy wpływ jej wykorzystania.
  • Zawierały szczegółowy opis kroków potrzebnych do odtworzenia luki w zabezpieczeniach (pomocne są skrypty weryfikacji koncepcji lub zrzuty ekranu).
  • W miarę możliwości prosimy o używanie języka angielskiego.
Czego można spodziewać się z naszej strony

W przypadku podania nam przez poszukiwacza luk w zabezpieczeniach danych kontaktowych zobowiązujemy się współpracować w sposób otwarty i reagować jak najszybciej.

  • W ciągu 3 dni roboczych potwierdzimy odbiór zgłoszenia.
  • Dołożymy wszelkich starań, aby przekazać poszukiwaczowi luk w zabezpieczeniach potwierdzenie istnienia luki i w jak najbardziej przejrzysty sposób informować o krokach podejmowanych podczas procesu naprawy, w tym o problemach lub wyzwaniach, które mogą opóźnić rozwiązanie.
  • Będziemy prowadzić otwarty dialog w celu omówienia problemów.
Pytania

Pytania dotyczące niniejszych zasad można wysyłać na adres vulndisclosure@jll.com. Zapraszamy również do kontaktu w sprawie sugestii dotyczących udoskonalania niniejszych zasad.