脆弱性開示ポリシー

JLLは、当社のパートナーと共に企業不動産の明るい未来を切り開くことに取り組んでいます。これには、当社の会社システムと当社のクライアントおよびパートナーが当社に委ねているデータを保護することが含まれます。このポリシーの目的は、セキュリティ調査担当者に脆弱性発見活動を実施する際の明確なガイドラインを提供するとともに、見つかった脆弱性をどのような方法で当社に提出するのが望ましいかを伝えることです。

JLLではバグ報奨金プログラムを運用していません。脆弱性を提出することで、報奨金の支払いを期待しないこと、およびお客様の提出物に関連してJLLに支払いを要求する権利を明示的に放棄することにお客様は同意するものとします。

このポリシーでは、このポリシーの適用対象となるシステムと調査の種類、当社への脆弱性レポートの送信方法、および当社がセキュリティ調査担当者に脆弱性を一般公開するまで待つようお願いする期間について説明します。

当社は、当社システムの潜在的な脆弱性を報告するようお客様に奨励しています。

以下のテスト方法は承認されません。

• ネットワークのサービス拒否（DoSまたはDDoS）テストまたはシステム/データへのアクセスを妨げたり、システム/データに損傷を与えたりするその他のテスト。
• 物理テスト（オフィスアクセス、オープンドア、テールゲーティングなど）、ソーシャルエンジニアリング（フィッシング、ビッシングなど）、またはその他の非技術的な脆弱性テスト。

お客様の連絡先情報を教えていただければ、できる限りオープンかつ迅速にお客様との調整を行うことをお約束します。

• 3営業日以内にお客様のレポートを受領したことをお知らせします。
• 当社は全力で取り組むために、脆弱性の存在をお客様に確認し、修復プロセスで実施する手順について、解決を遅らせる可能性がある問題や課題を含め、できる限り透明性を確保します。
• 問題について話し合うためのオープンな対話を維持します。