Política de divulgación de vulnerabilidad

Introducción

JLL se compromete a asociarse con nuestros clientes para abrir un camino más brillante en el sector de los bienes raíces corporativos. Esto incluye proteger nuestros sistemas corporativos y los datos que nuestros clientes y socios nos confían. Esta política persigue brindar a los investigadores de seguridad unas directrices claras para llevar a cabo actividades de descubrimiento de vulnerabilidades y transmitir nuestras preferencias en cuanto a cómo presentarnos dichas vulnerabilidades.

Tenga en cuenta que JLL no emplea ningún programa de recompensas por errores. Al presentar una vulnerabilidad, reconoce que no tiene expectativas de pago y que renuncia expresamente a cualquier reclamo de pago futuro contra JLL relacionado con esa presentación.

Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidades y cuánto tiempo les pedimos a los investigadores de seguridad que esperen antes de divulgar vulnerabilidades públicamente.

Le alentamos a que se ponga en contacto con nosotros para informarnos sobre posibles vulnerabilidades en nuestros sistemas.

Autorización

Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y JLL no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero emprenda una acción legal contra usted por actividades realizadas de acuerdo con esta política, le daremos a conocer esta autorización.

Directrices

En esta política, «investigación» significa actividades en las que usted:

  • Nos notifica lo antes posible después de descubrir un problema de seguridad real o potencial.
  • Hace todo lo posible para evitar las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
  • Utiliza exploits solo en la medida necesaria para confirmar la existencia de una vulnerabilidad. No utiliza un exploit para comprometer o filtrar datos, establecer un acceso persistente a la línea de comandos o para pivotar a otros sistemas.
  • Nos brinda una cantidad de tiempo razonable para resolver el problema antes de divulgarlo públicamente.
  • No envía una alta cantidad de informes de baja calidad.

Una vez que haya determinado que existe una vulnerabilidad o encuentre datos confidenciales (incluida información de identificación personal, información financiera, información patentada o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos de inmediato y no divulgar esos datos a nadie más.

Métodos de prueba

Los siguientes métodos de prueba no están autorizados:

  • Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que impidan el acceso o dañen un sistema o datos.
  • Pruebas físicas (por ejemplo, acceso a la oficina, puertas abiertas, seguimiento), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica.
Ámbito

Esta política se aplica solo a los sistemas y servicios administrados y de propiedad exclusiva de JLL.

Cualquier servicio que no esté expresamente mencionado anteriormente, por ejemplo, cualquier servicio conectado, está excluido del ámbito y no está autorizado para la prueba. Asimismo, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del ámbito de esta política y deben informarse directamente al proveedor de acuerdo con su política de divulgación (si corresponde). Si no tiene claro si un sistema está dentro del ámbito o no, póngase en contacto con nosotros en vulndisclosure@jll.com.

Si bien podemos ayudar en el desarrollo y mantenimiento de otros sistemas o servicios accesibles por Internet, solicitamos que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el ámbito de esta política. Si existe un sistema en particular que no está dentro del ámbito y cree que merece la pena probarlo, póngase en contacto con nosotros para discutirlo antes de realizar ninguna prueba. Evaluaremos el ámbito de esta política con el tiempo.

La información enviada bajo esta política se utilizará solo con fines defensivos, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recientemente descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a JLL, podemos compartir su informe con la Agencia de Seguridad de Infraestructura y Ciberseguridad, donde se gestionará según su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre o información de contacto sin su permiso expreso.

Puede enviarnos informes de vulnerabilidades a vulndisclosure@jll.com. Pueden enviarse de forma anónima. Si comparte información de contacto, acusaremos recibo de su informe en un plazo de 3 días hábiles.

No admitimos correos electrónicos con cifrado PGP.

Lo que nos gustaría ver de su parte

Para ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:

  • Describan la ubicación en la que se descubrió la vulnerabilidad y el impacto potencial de su explotación.
  • Ofrezcan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts con prueba de concepto o las capturas de pantalla resultan útiles).
  • Estén en inglés, si es posible.
Lo que usted puede esperar de nuestra parte

Si elige compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la manera más abierta y rápida posible.

  • En un plazo de 3 días hábiles, acusaremos recibo de su informe.
  • En la medida de lo posible, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de resolución, incluidos los problemas o desafíos que pueden retrasarlo.
  • Mantendremos un diálogo abierto para discutir los problemas.
Preguntas

Puede enviar las preguntas relacionadas con esta política a vulndisclosure@jll.com. También le invitamos a enviarnos sugerencias para mejorar esta política.