Política de divulgación de vulnerabilidades

JLL se compromete a colaborar con nuestros clientes corporativos de bienes raíces para encontrar una mejor manera de avanzar. Esto incluye proteger nuestros sistemas corporativos y salvaguardar los datos que nos confían clientes y socios. Esta política tiene como objetivo proporcionar a los investigadores de seguridad directrices claras para realizar actividades de descubrimiento de vulnerabilidades y comunicar nuestras preferencias sobre cómo reportar las vulnerabilidades detectadas.

JLL no opera un programa de recompensas por errores. Al enviar una vulnerabilidad, reconoce que no espera ningún pago y que renuncia expresamente a cualquier reclamo futuro de pago contra JLL relacionado con su envío.

Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidad, y cuánto tiempo pedimos a los investigadores de seguridad esperar antes de divulgar públicamente las vulnerabilidades.

Le invitamos a contactarnos para reportar posibles vulnerabilidades en nuestros sistemas.

Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, colaboraremos con usted para comprender y resolver el problema rápidamente, y JLL no recomendará ni tomará acciones legales relacionadas con su investigación. Si un tercero inicia acciones legales contra usted por actividades realizadas de acuerdo con esta política, haremos saber esta autorización.

Bajo esta política, “investigación” se refiere a actividades en las que tú:

• Nos notificas tan pronto como sea posible después de descubrir un problema de seguridad real o potencial.
• Haces todo lo posible por evitar violaciones de privacidad, degradación de la experiencia del usuario, interrumpir sistemas en producción y la destrucción o manipulación de datos.
• Utilizas exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o extraer datos, establecer acceso persistente por línea de comandos o para pivotar hacia otros sistemas.
• Nos das un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
• No envíes un gran volumen de reportes de baja calidad.

Una vez que hayas confirmado que existe una vulnerabilidad o encuentres cualquier dato sensible (incluyendo información personal identificable, información financiera, o información propietaria o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar esta información a nadie más.

No están autorizados los siguientes métodos de prueba:

• Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que afecten el acceso o dañen un sistema o datos.
• Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, seguimiento a empleados), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica.

Esta política aplica únicamente a los sistemas y servicios propiedad o gestionados en su totalidad por JLL. Cualquier servicio que no esté expresamente listado arriba, como servicios conectados, queda excluido del alcance y no está autorizado para pruebas. Además, las vulnerabilidades encontradas en sistemas de nuestros proveedores están fuera del alcance de esta política’ y deben reportarse directamente al proveedor conforme a su política de divulgación (si existe). Si no está seguro si un sistema está dentro o fuera del alcance, contáctenos en vulndisclosure@jll.com.

Aunque podamos ayudar en el desarrollo y mantenimiento de otros sistemas o servicios accesibles por internet, solicitamos que la investigación activa y pruebas se realicen únicamente en los sistemas y servicios dentro del alcance de esta política. Si considera que existe un sistema fuera del alcance que merece ser evaluado, por favor contáctenos para discutirlo antes de realizar cualquier prueba. Evaluaremos el alcance de esta política con el tiempo.

La información enviada bajo esta política será utilizada únicamente con fines defensivos — para mitigar o corregir vulnerabilidades. Si sus hallazgos incluyen nuevas vulnerabilidades que afectan a todos los usuarios de un producto o servicio y no solo a JLL, podemos compartir su informe con la Agencia de Ciberseguridad y Seguridad en Infraestructura, donde será gestionado bajo su proceso coordinado de divulgación de vulnerabilidades. No compartiremos su nombre ni información de contacto sin autorización expresa.

Aceptamos reportes de vulnerabilidad a través de vulndisclosure@jll.com. Los reportes pueden enviarse de manera anónima. Si comparte información de contacto, acusaremos recibo de su informe en un plazo de 3 días hábiles.

No damos soporte a correos electrónicos cifrados con PGP. 

Para ayudarnos a clasificar y priorizar los reportes, te recomendamos que tus informes:

• Describan el lugar donde se encontró la vulnerabilidad y el posible impacto en caso de explotación. 
• Incluyan una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o capturas de pantalla son útiles).
• Estén en inglés, si es posible.

Cuando decides compartir tu información de contacto con nosotros, nos comprometemos a coordinarnos contigo de la manera más abierta y rápida posible.

• En un máximo de 3 días hábiles, confirmaremos la recepción de tu reporte. 
• En la medida de nuestras posibilidades, confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de remediación, incluyendo cualquier asunto o desafío que pueda retrasar la resolución. 
• Mantendremos un diálogo abierto para discutir asuntos.

Las preguntas sobre esta política pueden enviarse a vulndisclosure@jll.com. También le invitamos a contactarnos con sugerencias para mejorar esta política.