취약점 공개 정책

JLL은 기업 부동산 고객들과 협력하여 더 밝은 미래를 만들어갑니다. 여기에는 기업 시스템 보안 강화와 고객 및 파트너로부터 맡겨진 데이터 보호가 포함됩니다. 본 정책은 보안 연구원이 취약점 탐색 활동을 수행함에 있어 명확한 지침을 제공하고, 발견한 취약점을 어떻게 제출하는 것이 바람직한지에 대한 JLL의 선호를 전달하기 위해 마련되었습니다.

JLL은 버그 바운티 프로그램을 운영하지 않습니다. 취약점을 제출함으로써, 귀하는 보상에 대한 어떠한 기대도 가지지 않으며, 제출과 관련된 미래의 보상 청구를 JLL에 대해 명시적으로 포기함을 인정하게 됩니다.

이 정책은 적용 대상 시스템과 연구 유형 , 취약점 리포트 제출 방법 그리고 공개 전 기다려야 하는 기간 에 대해 안내하고 있습니다.

시스템 내 잠재적 취약점을 발견하시면 언제든 저희에게 알려주시길 바랍니다.

본 정책에서 "연구"란 다음과 같은 활동을 의미합니다:

• 실제 또는 잠재적인 보안 문제를 발견한 즉시 저희에게 알려주십시오.
• 개인정보 유출, 사용자 경험 저하, 운영 시스템 중단, 데이터의 손상 또는 조작을 방지하기 위해 모든 노력을 기울여주십시오.
• 취약점 존재를 확인하는 데 필요한 범위 내에서만 익스플로잇을 사용하십시오. 익스플로잇을 이용해 데이터를 탈취하거나 손상시키거나, 지속적인 명령어 접근을 설정하거나, 다른 시스템으로 이동하는 데 이용하지 마십시오.
• 공개적으로 문제를 알리기 전에 저희가 해결할 수 있도록 합리적인 기간을 제공해주십시오.
• 품질이 낮은 대량의 리포트는 제출하지 마십시오.

취약점이 존재함을 확인하거나 민감한 데이터(개인식별정보, 금융정보, 또는 제3자의 독점 정보 및 영업비밀 등)를 발견한 경우, 즉시 테스트를 중단하고 저희에게 알리며, 해당 데이터를 절대 타인에게 공개해서는 안 됩니다.

다음 테스트 방법은 허가되지 않습니다:

• 네트워크 서비스 거부(DoS 또는 DDoS) 테스트 또는 시스템 또는 데이터에 대한 접근을 방해하거나 손상을 주는 기타 테스트.
• 물리적 테스트(예: 오피스 접근, 열린 문, 테일게이팅), 사회공학 기법(예: 피싱, 비싱) 또는 그 외 비기술적인 취약점 테스트.

제출 내용을 저희가 분류하고 우선순위를 정하는 데 도움이 되도록, 다음 사항을 권장합니다:

• 취약점을 발견한 위치와 악용 시 예상되는 영향에 대해 설명해 주십시오. 
• 취약점을 재현하는 데 필요한 단계를 상세히 설명해 주십시오. (개념 증명 스크립트나 스크린샷이 도움이 됩니다.)
• 가능하다면 영어로 작성해 주십시오.

연락처 정보를 공유해주시면 저희는 최대한 신속하고 투명하게 소통할 것을 약속드립니다.

• 영업일 기준 3일 이내에 리포트 접수 여부를 안내해드립니다. 
• 취약점의 존재 여부를 가능한 한 신속히 확인해드리며, 해결 과정에 대한 단계와 발생 가능한 문제나 지연 사유에 대해 투명하게 안내해드립니다. 
• 이슈에 대해 지속적으로 소통하며 열린 대화를 유지하겠습니다.