Chính sách tiết lộ lỗ hổng

Giới thiệu

JLL cam kết hợp tác với khách hàng để hướng đến tương lai tươi sáng hơn trong lĩnh vực bất động sản doanh nghiệp. Điều này bao gồm việc bảo mật các hệ thống doanh nghiệp của chúng tôi cũng như bảo vệ dữ liệu được khách hàng và đối tác của chúng tôi giao phó. Chính sách này nhằm cung cấp cho các nhà nghiên cứu bảo mật những nguyên tắc rõ ràng khi tiến hành các hoạt động phát hiện lỗ hổng và để truyền đạt lựa chọn ưu tiên của chúng tôi về cách gửi thông tin lỗ hổng đã phát hiện cho chúng tôi.

Xin lưu ý rằng JLL không vận hành chương trình săn lỗi nhận thưởng. Bằng cách gửi thông tin lỗ hổng, bạn xác nhận rằng bạn không mong đợi khoản thanh toán nào và bạn từ bỏ một cách rõ ràng mọi khiếu nại về khoản thanh toán trong tương lai đối với JLL liên quan đến việc bạn gửi thông tin.

Chính sách này mô tả những hệ thống và loại nghiên cứu được đề cập trong chính sách này, cách gửi cho chúng tôi bản báo cáo về lỗ hổngkhoảng thời gian chúng tôi yêu cầu các nhà nghiên cứu bảo mật chờ trước khi tiết lộ công khai về các lỗ hổng.

Bạn nên liên hệ với chúng tôi để báo cáo về các lỗ hổng tiềm ẩn trong hệ thống của chúng tôi.

Sự cho phép

Nếu bạn nỗ lực một cách có thiện chí để tuân thủ chính sách này trong quá trình nghiên cứu bảo mật, chúng tôi sẽ coi nghiên cứu của bạn là được phép và sẽ làm việc với bạn để hiểu và giải quyết vấn đề một cách nhanh chóng. Đồng thời, JLL sẽ không khuyến nghị hoặc theo đuổi hành động pháp lý liên quan đến nghiên cứu của bạn. Nếu bên thứ ba khởi xướng hành động pháp lý chống lại bạn đối với các hoạt động được thực hiện theo chính sách này, chúng tôi sẽ thông báo về sự cho phép này.

Nguyên tắc

Theo chính sách này, “nghiên cứu” có nghĩa là các hoạt động mà bạn:

  • Thông báo cho chúng tôi sớm nhất có thể sau khi bạn phát hiện ra sự cố bảo mật thực tế hoặc tiềm ẩn.
  • Cố gắng hết sức để tránh vi phạm quyền riêng tư, làm suy giảm trải nghiệm người dùng, làm gián đoạn hệ thống sản xuất và phá hủy hoặc thao tác dữ liệu.
  • Chỉ sử dụng các biện pháp khai thác trong phạm vi cần thiết để xác nhận sự hiện diện của lỗ hổng. Không sử dụng biện pháp khai thác nhằm xâm phạm hoặc đánh cắp dữ liệu, thiết lập quyền truy cập dòng lệnh liên tục hoặc sử dụng biện pháp khai thác để xâm nhập các hệ thống khác.
  • Cung cấp cho chúng tôi một khoảng thời gian hợp lý để giải quyết sự cố trước khi bạn tiết lộ công khai sự cố đó.
  • Không gửi một lượng lớn các bản báo cáo có chất lượng thấp.

Sau khi bạn xác định rằng có lỗ hổng tồn tại hoặc gặp bất kỳ dữ liệu nhạy cảm nào (bao gồm thông tin nhận dạng cá nhân, thông tin tài chính hoặc thông tin sở hữu độc quyền hoặc bí mật thương mại của bất kỳ bên nào), bạn phải dừng việc kiểm tra, thông báo ngay cho chúng tôi và không tiết lộ dữ liệu này cho ai khác.

Phương thức kiểm tra

Không được phép sử dụng các phương thức kiểm tra sau đây:

  • Bài kiểm tra từ chối dịch vụ mạng (DoS hoặc DDoS) hoặc các bài kiểm tra khác làm suy giảm quyền truy cập vào hoặc làm hỏng hệ thống hoặc dữ liệu.
  • Hình thức kiểm tra vật lý (ví dụ: vào văn phòng, mở cửa, bám đuôi), tấn công phi kỹ thuật (ví dụ: lừa đảo qua mạng, lừa đảo qua điện thoại) hoặc bất kỳ hình thức kiểm tra lỗ hổng phi kỹ thuật nào khác.
Phạm vi

Chính sách này chỉ áp dụng cho các hệ thống và dịch vụ do JLL sở hữu và quản lý hoàn toàn.

Bất kỳ dịch vụ nào không được liệt kê rõ ràng ở trên, chẳng hạn như dịch vụ được kết nối bất kỳ, đều bị loại trừ khỏi phạm vi và không được phép đưa vào quá trình kiểm tra. Ngoài ra, các lỗ hổng được tìm thấy trong hệ thống của các nhà cung cấp của chúng tôi nằm ngoài phạm vi của chính sách này và phải được báo cáo trực tiếp cho nhà cung cấp theo chính sách tiết lộ thông tin của họ (nếu có). Nếu bạn không chắc chắn hệ thống có thuộc phạm vi áp dụng hay không, hãy liên hệ với chúng tôi theo địa chỉ vulndisclosure@jll.com.

Mặc dù chúng tôi có thể hỗ trợ việc phát triển và bảo trì các hệ thống hoặc dịch vụ có thể truy cập internet khác, nhưng chúng tôi yêu cầu chỉ tiến hành nghiên cứu và kiểm tra tích cực trên các hệ thống và dịch vụ thuộc phạm vi của chính sách này. Nếu có một hệ thống cụ thể không nằm trong phạm vi nhưng bạn cho là đáng để kiểm tra, vui lòng liên hệ với chúng tôi để thảo luận về hệ thống đó trước khi thực hiện bất kỳ hoạt động kiểm tra nào. Chúng tôi sẽ đánh giá phạm vi của chính sách này theo thời gian.

Thông tin được gửi theo chính sách này sẽ chỉ dùng cho mục đích phòng bị – để giảm thiểu hoặc khắc phục các lỗ hổng. Nếu kết quả bạn tìm thấy bao gồm các lỗ hổng mới được phát hiện ảnh hưởng đến tất cả người dùng của một sản phẩm hoặc dịch vụ chứ không chỉ riêng JLL, thì chúng tôi có thể chia sẻ bản báo cáo của bạn với Cơ quan An ninh cơ sở hạ tầng và an ninh mạng. Tại đây, bản báo cáo sẽ được xử lý theo quy trình phối hợp của họ về tiết lộ lỗ hổng. Chúng tôi sẽ không chia sẻ tên hoặc thông tin liên hệ của bạn mà không có sự cho phép rõ ràng.

Chúng tôi chấp nhận các bản báo cáo về lỗ hổng qua vulndisclosure@jll.com. Bạn có thể gửi bản báo cáo theo cách ẩn danh. Nếu bạn chia sẻ thông tin liên hệ, chúng tôi sẽ xác nhận đã nhận được bản báo cáo của bạn trong vòng 3 ngày làm việc.

Chúng tôi không hỗ trợ email được mã hóa PGP.

Nội dung chúng tôi muốn bạn cung cấp

Để giúp chúng tôi phân loại và ưu tiên nội dung gửi, bản báo cáo của bạn nên:

  • Mô tả vị trí lỗ hổng được phát hiện và tác động tiềm ẩn của việc khai thác.
  • Cung cấp nội dung mô tả chi tiết về các bước cần thiết để tái tạo lỗ hổng (các tập lệnh bằng chứng của khái niệm hoặc ảnh chụp màn hình đều hữu ích).
  • Sử dụng tiếng Anh, nếu có thể.
Điều bạn có thể mong đợi từ chúng tôi

Khi bạn chọn chia sẻ thông tin liên hệ với chúng tôi, chúng tôi cam kết phối hợp với bạn một cách cởi mở và nhanh chóng nhất có thể.

  • Trong vòng 3 ngày làm việc, chúng tôi sẽ xác nhận đã nhận được bản báo cáo của bạn.
  • Trong khả năng tốt nhất của mình, chúng tôi sẽ xác nhận với bạn về sự tồn tại của lỗ hổng và minh bạch nhất có thể về những bước chúng tôi đang thực hiện trong quá trình khắc phục, gồm cả những vấn đề hoặc thách thức có thể trì hoãn việc giải quyết.
  • Chúng tôi sẽ duy trì việc đối thoại cởi mở để thảo luận các vấn đề.
Câu hỏi

Bạn có thể gửi câu hỏi liên quan đến chính sách này tới vulndisclosure@jll.com. Chúng tôi cũng rất mong bạn sẽ liên hệ với chúng tôi để đưa ra các đề xuất nhằm cải thiện chính sách này.