Politica in materia di scoperta delle vulnerabilità
Introduzione
JLL si impegna a collaborare con i propri clienti per un futuro radioso nel settore immobiliare aziendale. Tale impegno implica la messa in sicurezza dei nostri sistemi aziendali e la protezione dei dati che ci vengono affidati da clienti e partner. Questa politica ha lo scopo di fornire agli esperti di sicurezza linee guida chiare per lo svolgimento delle attività di rilevamento delle vulnerabilità e di comunicare le nostre preferenze in merito alle modalità di trasmissione delle vulnerabilità rilevate.
Si ricorda che JLL non gestisce alcun programma bug bounty. Segnalando una vulnerabilità, l'utente riconosce di non aspettarsi alcun compenso e di rinunciare espressamente a qualsiasi richiesta di pagamento futuro nei confronti di JLL in relazione alla propria segnalazione.
La politica descrive quali sistemi e tipi di ricerca sono coperti dal presente documento, come inviarci eventuali segnalazioni di vulnerabilità e quanto tempo chiediamo agli esperti di sicurezza di attendere prima di divulgare pubblicamente una vulnerabilità.
Invitiamo gli utenti a contattarci per segnalare potenziali vulnerabilità nei nostri sistemi.
Autorizzazione
Se, durante una ricerca sulla sicurezza, l'utente compie uno sforzo in buona fede per rispettare questa politica, considereremo la sua ricerca autorizzata e collaboreremo per comprendere e risolvere rapidamente il problema; JLL non incentiverà né perseguirà alcuna azione legale in merito alla sua ricerca. Qualora una terza parte dovesse avviare un'azione legale nei confronti dell'utente per attività condotte in conformità alla presente politica, renderemo nota tale autorizzazione.
Linee guida
Ai sensi della presente politica, per "ricerca" si intendono le attività in cui l'utente:
- Ci informa il prima possibile dopo aver scoperto un problema di sicurezza reale o potenziale.
- Compie ogni ragionevole sforzo per evitare violazioni della privacy, un degrado dell'esperienza utente, interruzioni dei sistemi di produzione e distruzione o manipolazione dei dati.
- Utilizza gli exploit solo nella misura necessaria a confermare la presenza di una vulnerabilità. Non utilizza un exploit per compromettere o esfiltrare dati, stabilire un accesso persistente alla riga di comando o passare ad altri sistemi.
- Fornisce un lasso di tempo ragionevole per risolvere il problema prima di renderlo pubblico.
- Non invia un volume elevato di segnalazioni di bassa qualità.
Una volta accertata l'esistenza di una vulnerabilità o la presenza di dati sensibili (comprese informazioni di identificazione personale, informazioni finanziarie, informazioni proprietarie o segreti commerciali di qualsiasi parte), è necessario interrompere il test, informarci immediatamente e non divulgare questi dati a nessun altro.
Metodi di Test
Non sono autorizzati i seguenti metodi di test:
- Test Denial of Service (DoS o DDoS) o altri test sulla rete che compromettano l'accesso o danneggino un sistema o dei dati.
- Test fisici (ad es. accesso a uffici, open door, tailgating), social engineering (ad es. phishing, vishing) o qualsiasi altro test di vulnerabilità non tecnico.
Ambito di Applicazione
La presente politica si applica solo ai sistemi e ai servizi interamente di proprietà di, e gestiti da, JLL.
Tutti i servizi non espressamente elencati sopra, come ad esempio i servizi connessi, sono esclusi dall'ambito di applicazione e non sono autorizzati a fini di test. Inoltre, le vulnerabilità riscontrate nei sistemi dei nostri fornitori non rientrano nell'ambito della presente politica e devono essere segnalate direttamente al fornitore interessato, in conformità con la sua politica di divulgazione (se presente). Se non si è sicuri che un sistema rientri o meno nell'ambito di applicazione, contattarci all'indirizzo vulndisclosure@jll.com.
Anche se possiamo contribuire allo sviluppo e alla manutenzione di altri sistemi o servizi accessibili via Internet, chiediamo che le ricerche e i test attivi siano condotti solo sui sistemi e sui servizi che rientrano nell'ambito di questa politica. Se si ritiene che un particolare sistema non compreso nell'ambito di applicazione meriti di essere testato, contattarci per discuterne prima di effettuare qualsiasi test. Valuteremo l'ambito di questa politica nel tempo.
Le informazioni fornite nell'ambito di questa politica saranno utilizzate esclusivamente a scopo difensivo, per ridurre o correggere le vulnerabilità. Se i riscontri includono vulnerabilità scoperte di recente che riguardano tutti gli utenti di un prodotto o servizio e non solo JLL, potremmo condividere la segnalazione con la Cybersecurity and Infrastructure Security Agency, dove sarà gestita nell'ambito del processo coordinato di divulgazione delle vulnerabilità. Non condivideremo il nome o le informazioni di contatto dell'utente senza un'esplicita autorizzazione.
Eventuali segnalazioni di vulnerabilità sono accettate all'indirizzo vulndisclosure@jll.com. Le segnalazioni possono essere inviate in forma anonima. Se si condividono informazioni di contatto, la ricezione della segnalazione avverrà entro 3 giorni lavorativi.
Non supportiamo e-mail crittografate con PGP.
Cosa vorremmo ricevere
Per aiutarci a classificare e assegnare una priorità alle segnalazioni, raccomandiamo che queste ultime:
- Descrivano il punto in cui è stata scoperta la vulnerabilità e il potenziale impatto dello sfruttamento.
- Includano una descrizione dettagliata dei passaggi necessari per riprodurre la vulnerabilità (sono utili script o schermate di prova).
- Se possibile, siano in inglese.
Cosa ci si può aspettare da noi
Quando si sceglie di condividere con noi le proprie informazioni di contatto, ci impegniamo a coordinarci con l'utente nel modo più aperto e rapido possibile.
- Entro 3 giorni lavorativi, comunicheremo la ricezione della segnalazione.
- Per quanto possibile, confermeremo all'utente l'esistenza della vulnerabilità e saremo il più trasparenti possibile sui passaggi intrapresi durante il processo di bonifica, compresi eventuali problemi o sfide che potrebbero ritardare la risoluzione.
- Manterremo un dialogo aperto per affrontare eventuali problematiche.
Domande
Eventuali domande relative alla presente politica possono essere inviate all'indirizzo vulndisclosure@jll.com. Invitiamo inoltre a segnalarci eventuali suggerimenti per migliorare la presente politica.