Skip to main content
نبذة عن جيه إل إلقصص العملاءالوظائفالأخبارعلاقات المستثمرين

سياسة الإفصاح عن الثغرات الأمنية
مقدمة
التفويض
الإرشادات
طرق الاختبار
النطاق
ما نود رؤيته منك
ما يمكنك توقعه منا
الأسئلة

مقدمة

تلتزم JLL بالشراكة مع عملائنا في العقارات التجارية لتحقيق رؤية أكثر إشراقًا. يشمل ذلك تأمين أنظمتنا المؤسسية وحماية البيانات التي يأتمننا عليها العملاء والشركاء. تهدف هذه السياسة إلى تزويد الباحثين في مجال الأمن الإلكتروني بإرشادات واضحة بشأن إجراء أنشطة اكتشاف الثغرات الأمنية، وإيضاح تفضيلاتنا بشأن كيفية إرسال الثغرات المُكتشفة إلينا.

لا تدير JLL برنامج مكافآت للإبلاغ عن الأخطاء البرمجية. عند تقديمك لثغرة أمنية، فإنك تقر بأنه ليس لديك أي توقع بالحصول على مقابل مالي، وتتنازل صراحةً عن أي مطالبات مالية مستقبلية ضد JLL متعلقة بتقديمك.

توضح هذه السياسة ما هي الأنظمة وأنواع الأبحاث المشمولة ضمن هذه السياسة، و كيفية إرسال تقارير الثغرات الأمنية إلينا، و المدة الزمنية التي نطلب من الباحثين الأمنيين الانتظار قبل الإعلان العلني عن الثغرات.

نشجعك على التواصل معنا للإبلاغ عن أي ثغرات محتملة في أنظمتنا.

التفويض

إذا بذلت جهداً حسن النية للامتثال لهذه السياسة أثناء بحثك الأمني، سنعتبر بحثك مصرحاً به، وسنعمل معك لفهم المشكلة وحلها بسرعة، ولن توصي JLL أو تتخذ إجراءات قانونية مرتبطة ببحثك. إذا بدأ طرف ثالث إجراءً قانونياً ضدك بسبب أنشطة تمت وفقاً لهذه السياسة، فسوف نبلغ عن هذا التفويض.

الإرشادات

بموجب هذه السياسة، تعني كلمة "بحث" الأنشطة التي تقوم بها والتي تشمل:

  • إبلاغنا في أقرب وقت ممكن بعد اكتشافك لمشكلة أمنية حقيقية أو محتملة.
  • بذل كل جهد ممكن لتجنب انتهاك الخصوصية أو تقليل تجربة المستخدم أو تعطيل الأنظمة أو تدمير أو التلاعب بالبيانات.
  • استخدام الاستغلال فقط بالقدر الضروري لتأكيد وجود الثغرة. لا تستخدم الاستغلال للوصول إلى البيانات أو نقلها أو إنشاء وصول دائم لسطر الأوامر أو استخدام الاستغلال للانتقال إلى أنظمة أخرى.
  • إعطاؤنا وقتاً مناسباً لمعالجة المشكلة قبل الإفصاح عنها للعامة.
  • عدم إرسال عدد كبير من البلاغات منخفضة الجودة.

بمجرد تأكدك من وجود ثغرة أمنية أو عثرت على بيانات حساسة (بما في ذلك المعلومات الشخصية، أو المعلومات المالية، أو الملكية أو أسرار تجارية لأي طرف)، يجب أن توقف اختبارك فوراً، وتبلغنا بذلك مباشرة وألا تقوم بمشاركة هذه البيانات مع أي شخص آخر.

طرق الاختبار

طرق الاختبار التالية غير مصرح بها:

  • اختبارات تعطيل الشبكة (DoS أو DDoS) أو أي اختبارات أخرى تؤثر سلباً على إمكانية الوصول إلى الأنظمة أو البيانات أو تتلفها.
  • الاختبارات الميدانية (مثل: دخول المكاتب، الأبواب المفتوحة، التسلل)، أو الهندسة الاجتماعية (مثل: التصيد الإلكتروني، التصيد الصوتي)، أو أي اختبارات للثغرات غير تقنية أخرى.

النطاق

تنطبق هذه السياسة فقط على الأنظمة والخدمات التي تمتلكها وتديرها JLL بالكامل. أي خدمة لم تُذكر صراحة أعلاه، مثل أي خدمات مرتبطة، فهي مستبعدة من نطاق هذه السياسة وليست مصرحًا باختبارها. بالإضافة إلى ذلك، فإن الثغرات التي تُكتشف في أنظمة مزودينا خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرةً للمزود وفقًا لسياسته الخاصة بالإفصاح (إن وجدت). إذا لم تكن متأكدًا بشأن شمول النظام ضمن النطاق أم لا، يرجى التواصل معنا على vulndisclosure@jll.com.

رغم أننا قد نساعد في تطوير وصيانة أنظمة أو خدمات أخرى متصلة بالإنترنت، إلا أننا نطلب أن تقتصر الأبحاث النشطة والاختبارات على الأنظمة والخدمات التي يشملها نطاق هذه السياسة فقط. إذا كان هناك نظام معيّن خارج النطاق تعتقد أنه يستحق الاختبار، يرجى التواصل معنا لمناقشته قبل إجراء أي اختبار. سنقوم بمراجعة نطاق هذه السياسة بشكل دوري.

سيتم استخدام المعلومات المقدمة بموجب هذه السياسة لأغراض الحماية فقط – للحد من أو معالجة الثغرات الأمنية. إذا تضمنت نتائجك ثغرات جديدة تؤثر على جميع مستخدمي منتج أو خدمة معينة وليس JLL فقط، فقد نشارك تقريرك مع وكالة الأمن السيبراني وأمن البنية التحتية، حيث سيتم التعامل معه بموجب عملية الإفصاح المنسق الخاصة بهم بشأن الثغرات الأمنية. لن نشارك اسمك أو معلومات الاتصال الخاصة بك دون إذن صريح منك.

نقبل تقارير الثغرات الأمنية عبر vulndisclosure@jll.com. يمكن تقديم التقارير دون ذكر الهوية. إذا شاركت معلومات الاتصال، سنقوم بتأكيد استلام تقريرك خلال ثلاثة أيام عمل.

لا ندعم رسائل البريد الإلكتروني المشفرة عبر PGP. 

ما نود رؤيته منك

لمساعدتنا في فرز وترتيب تقاريركم، نوصي بأن تحتوي تقاريركم على ما يلي:

  • وصف مكان اكتشاف الثغرة والأثر المحتمل لاستغلالها. 
  • تقديم شرح مفصل للخطوات اللازمة لإعادة استنساخ الثغرة (تكون السكريبتات التوضيحية أو لقطات الشاشة مفيدة).
  • أن تكون باللغة الإنجليزية إن أمكن.

ما يمكنك توقعه منا

عند اختيارك مشاركة معلومات الاتصال معنا، نلتزم بالتنسيق معك بأكبر قدر من الشفافية والسرعة الممكنة.

  • خلال 3 أيام عمل، سنؤكد استلام بلاغك. 
  • قدر استطاعتنا، سنؤكد لك وجود الثغرة ونكون شفافين قدر الإمكان بالنسبة للإجراءات التي نتخذها أثناء عملية المعالجة، بما في ذلك التحديات أو المشكلات التي قد تؤخر الحل. 
  • سنحافظ على حوار مفتوح لمناقشة الأمور.

الأسئلة

لطرح أسئلة حول هذه السياسة يمكنكم التواصل عبر vulndisclosure@jll.com. كما ندعوكم لمشاركة أي اقتراحات لتحسين هذه السياسة.