Saltar al contenido principal

Política de divulgación de vulnerabilidades

Introducción
Autorización
Directrices
Métodos de prueba
Alcance
Qué nos gustaría ver de su parte
Qué puede esperar de nosotros
Preguntas

Autorización

Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, colaboraremos con usted para comprender y resolver el problema rápidamente, y JLL no recomendará ni tomará acciones legales relacionadas con su investigación. Si un tercero inicia acciones legales contra usted por actividades realizadas de acuerdo con esta política, haremos saber esta autorización.

Directrices

Bajo esta política, “investigación” se refiere a actividades en las que tú:

  • Nos notificas tan pronto como sea posible después de descubrir un problema de seguridad real o potencial.
  • Haces todo lo posible por evitar violaciones de privacidad, degradación de la experiencia del usuario, interrumpir sistemas en producción y la destrucción o manipulación de datos.
  • Utilizas exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o extraer datos, establecer acceso persistente por línea de comandos o para pivotar hacia otros sistemas.
  • Nos das un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
  • No envíes un gran volumen de reportes de baja calidad.

Una vez que hayas confirmado que existe una vulnerabilidad o encuentres cualquier dato sensible (incluyendo información personal identificable, información financiera, o información propietaria o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar esta información a nadie más.

Métodos de prueba

No están autorizados los siguientes métodos de prueba:

  • Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que afecten el acceso o dañen un sistema o datos.
  • Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, seguimiento a empleados), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica.

Qué nos gustaría ver de su parte

Para ayudarnos a clasificar y priorizar los reportes, te recomendamos que tus informes:

  • Describan el lugar donde se encontró la vulnerabilidad y el posible impacto en caso de explotación. 
  • Incluyan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o capturas de pantalla son útiles).
  • Estén en inglés, si es posible.

Preguntas

Las preguntas sobre esta política pueden enviarse a vulndisclosure@jll.com. También le invitamos a contactarnos con sugerencias para mejorar esta política.