Zásady zpřístupnění informací o chybách zabezpečení

Úvod

Společnost JLL je odhodlána spolupracovat se svými klienty, aby nalezla lepší cestu v oblasti podnikových nemovitostí. To zahrnuje zabezpečení našich podnikových systémů a ochranu údajů, které nám svěřili naši klienti a partneři. Účelem těchto zásad je poskytnout výzkumným pracovníkům v oblasti zabezpečení jasné pokyny k provádění činností odhalujících ohrožení zabezpečení a sdělit naše volby ohledně toho, jak nám zjištěné chyby zabezpečení předat.

Upozorňujeme, že společnost JLL neprovozuje žádný program odměn za nalezené chyby. Odesláním chyby zabezpečení berete na vědomí, že nemůžete očekávat žádnou platbu a že se v souvislosti s vaším podáním výslovně vzdáváte veškerých budoucích finančních nároků vůči společnosti JLL.

Tyto zásady popisují, na jaké systémy a typy výzkumu se tyto zásady vztahují, jak se nám mají zasílat zprávy o chybách zabezpečení a jak dlouho mají výzkumníci v oblasti zabezpečení před zveřejněním chyb zabezpečení počkat.

Doporučujeme, abyste nás kontaktovali a možné chyby zabezpečení našich systémů nám nahlásili.

Schválení

Pokud se během svého bezpečnostního výzkumu v dobré víře pokusíte tyto zásady dodržovat, budeme váš výzkum považovat za schválený, budeme s vámi spolupracovat na rychlém pochopení a vyřešení problému a společnost JLL nebude doporučovat ani podnikat právní kroky související s vaším výzkumem. Pokud by proti vám třetí strana zahájila právní kroky za činnosti, které byly provedeny v souladu s těmito zásadami, zveřejníme toto schválení.

Pokyny

V rámci těchto zásad se „výzkumem“ rozumí činnosti, při kterých provádíte následující:

  • Jakmile zjistíte skutečný nebo možný bezpečnostní problém, co nejdříve nás o tom informujete.
  • Vynaložíte veškeré úsilí, abyste zabránili narušení ochrany osobních údajů, zhoršení uživatelského prostředí, narušení výrobních systémů a zničení dat nebo manipulaci s nimi.
  • Zabezpečení budete testovat pouze v rozsahu, který je nezbytný k potvrzení přítomnosti chyby zabezpečení. Neprovádějte testování zabezpečení za účelem ohrožení nebo úniku dat, vytvoření trvalého přístupu z příkazového řádku ani k pivotingu vůči jiným systémům.
  • Poskytujete nám přiměřené množství času k vyřešení problému před tím, než ho zveřejníte.
  • Neodesíláte velké množství zpráv nízké kvality.

Jakmile zjistíte existenci chyby zabezpečení nebo narazíte na citlivé údaje (včetně osobně identifikovatelných informací, finančních informací, chráněných informací nebo obchodních tajemství jakékoli strany), jste povinni test zastavit, okamžitě nás informovat a nesdělovat tyto údaje nikomu jinému.

Zkušební metody

Následující zkušební metody nejsou povoleny:

  • Testy odmítnutí služby (DoS nebo DDoS) v síti nebo jiné testy, které zhoršují přístup k systému nebo datům nebo je poškozují.
  • Fyzické testování (např. přístup do kanceláře, otevřené dveře, tailgating), sociální inženýrství (např. phishing, vishing) nebo jakékoli jiné netechnické testování chyb zabezpečení.
Rozsah

Tyto zásady platí pouze pro plně vlastněné a spravované systémy a služby společnosti JLL.

Jakákoli služba, která není výslovně uvedena výše, například jakékoli připojené služby, je z rozsahu vyloučena a není schválena pro testování. Kromě toho chyby zabezpečení nalezené v systémech našich dodavatelů nespadají do oblasti působnosti těchto zásad a musí být nahlášeny přímo dodavateli v souladu s jeho zásadami pro zveřejňování (pokud existují). Pokud si nejste jisti, zda systém do rozsahu spadá nebo nespadá, kontaktujte nás na adrese vulndisclosure@jll.com.

Ačkoli můžeme pomáhat při vývoji a údržbě jiných systémů nebo služeb přístupných z internetu, žádáme, aby byl aktivní výzkum a testování prováděno pouze u systémů a služeb, na které se vztahují tyto zásady. Pokud existuje konkrétní systém, který není zahrnut v rozsahu, ale vy se domníváte, že si zaslouží testování, před jakýmkoli testováním nás kontaktujte a prodiskutujte to s námi. Rozsah těchto zásad budeme průběžně přehodnocovat.

Informace odeslané v rámci těchto zásad budou použity pouze pro obranné účely – ke zmírnění nebo nápravě chyb zabezpečení. Pokud vaše zjištění obsahují nově zjištěné chyby zabezpečení, které postihují všechny uživatele produktu nebo služby, a nikoli pouze společnost JLL, můžeme vaše hlášení sdílet s agenturou CISA (Cybersecurity and Infrastructure Security Agency), kde bude zpracováno v rámci koordinovaného procesu zpřístupnění chyb zabezpečení. Vaše jméno nebo kontaktní údaje nebudeme bez výslovného souhlasu sdílet.

Zprávy o chybách zabezpečení přijímáme prostřednictvím e-mailu vulndisclosure@jll.com. Zprávy mohou být zasílány anonymně. Pokud uvedete své kontaktní informace, potvrdíme přijetí vaší zprávy do tří pracovních dnů.

Nepodporujeme e-maily šifrované pomocí PGP.

Co bychom od vás rádi získali

Abychom mohli posuzovat jednotlivá podání a určovat jejich priority, doporučujeme, aby vaše zprávy:

  • popisovaly místo, kde byla chyba zabezpečení objevena, a možný dopad jejího zneužití,
  • uváděly podrobný popis kroků potřebných k reprodukci chyby zabezpečení (připojte důkaz konceptu, skripty a snímky obrazovky),
  • byly pokud možno psány v angličtině.
Co od nás můžete očekávat

Pokud nám sdělíte své kontaktní údaje, zavazujeme se, že s vámi budeme spolupracovat co nejotevřeněji a nejrychleji.

  • Do tří pracovních dnů potvrdíme, že vaše zpráva byla přijata.
  • V rámci svých možností existenci chyby zabezpečení potvrdíme a budeme co nejtransparentnější ohledně toho, jaké kroky při procesu nápravy podnikáme, včetně problémů nebo výzev, které mohou řešení zpozdit.
  • Při diskusi o problémech budeme udržovat otevřený dialog.
Otázky

Dotazy týkající se těchto zásad můžete zaslat na adresu vulndisclosure@jll.com. Uvítáme také vaše návrhy na zlepšení těchto zásad.