Beleid voor melding van kwetsbaarheden

JLL zet zich in om samen met onze zakelijke vastgoedklanten te bouwen aan een betere toekomst. Dit omvat het beveiligen van onze bedrijfsprocessen en het beschermen van gegevens die ons door klanten en partners zijn toevertrouwd. Dit beleid is bedoeld om beveiligingsonderzoekers duidelijke richtlijnen te geven voor het uitvoeren van activiteiten rondom het ontdekken van kwetsbaarheden en om onze voorkeuren weer te geven over hoe ontdekte kwetsbaarheden bij ons kunnen worden gemeld.

JLL heeft geen bug bounty-programma. Door een kwetsbaarheid te melden, erkent u dat u geen aanspraak maakt op betaling en dat u uitdrukkelijk afstand doet van toekomstige betalingsclaims tegen JLL met betrekking tot uw melding.

Dit beleid beschrijft welke systemen en soorten onderzoek onder dit beleid vallen,  hoe u kwetsbaarheden bij ons kunt melden, en hoe lang wij beveiligingsonderzoekers vragen te wachten voordat kwetsbaarheden openbaar worden gemaakt.

We moedigen u aan om contact met ons op te nemen om potentiële kwetsbaarheden in onze systemen te melden.

Als u naar beste vermogen probeert te voldoen aan dit beleid tijdens uw beveiligingsonderzoek, beschouwen wij uw onderzoek als geautoriseerd, werken we samen met u om het probleem snel te begrijpen en op te lossen, en zal JLL geen juridische stappen aanbevelen of ondernemen met betrekking tot uw onderzoek. Mocht een derde partij juridische stappen tegen u ondernemen vanwege activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, dan zullen wij deze toestemming bekendmaken.

In dit beleid betekent “onderzoek” activiteiten waarbij u:

• Ons zo snel mogelijk op de hoogte stelt nadat u een werkelijke of potentiële beveiligingskwestie hebt ontdekt.
• Alles in het werk stelt om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te vermijden.
• Alleen exploits gebruikt voor zover dat noodzakelijk is om de aanwezigheid van een kwetsbaarheid te bevestigen. Gebruik geen exploit om data te compromitteren of te exfiltreren, blijvende command line toegang op te zetten of deze exploit te gebruiken om naar andere systemen door te dringen.
• Ons een redelijke termijn geeft om het probleem op te lossen voordat u het openbaar maakt.
• Niet een groot aantal meldingen van lage kwaliteit indient.

Zodra u hebt vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonsgegevens, financiële informatie of eigendomsinformatie of handelsgeheimen van een partij), moet u uw test stoppen, ons direct op de hoogte stellen en deze data niet aan anderen bekendmaken.

De volgende testmethoden zijn niet toegestaan:

• Netwerk denial-of-service (DoS of DDoS)-testen of andere testen die de toegang tot of de werking van een systeem of gegevens verstoren of beschadigen.
• Fysieke testen (zoals kantoorbetreding, open deuren, meelopen), social engineering (zoals phishing, vishing) of andere niet-technische testen van kwetsbaarheden.

Dit beleid is uitsluitend van toepassing op volledig door JLL beheerde en eigendomssystemen en -diensten. Diensten die hierboven niet expliciet zijn vermeld, zoals gekoppelde diensten, vallen buiten de scope en zijn niet geautoriseerd voor testen. Daarnaast vallen kwetsbaarheden die worden gevonden in systemen van onze leveranciers buiten de reikwijdte van dit beleid en moeten rechtstreeks aan de leverancier worden gemeld volgens hun eigen meldingsbeleid (indien aanwezig). Weet u niet zeker of een systeem binnen scope valt, neem dan contact op via vulndisclosure@jll.com.

Hoewel we mogelijk betrokken zijn bij de ontwikkeling en het onderhoud van andere internettoegankelijke systemen of diensten, vragen we dat actief onderzoek en testen alleen plaatsvinden op de systemen en diensten die onder dit beleid vallen. Indien u een specifiek systeem buiten de scope wilt laten testen, neem dan eerst contact met ons op om dit te bespreken. We evalueren de scope van dit beleid doorlopend.

Informatie die onder dit beleid wordt verstrekt, gebruiken we uitsluitend voor defensieve doeleinden – om kwetsbaarheden te verminderen of op te lossen. Wanneer uw bevindingen nieuw ontdekte kwetsbaarheden bevatten die alle gebruikers van een product of dienst treffen en niet alleen JLL, kunnen we uw rapport delen met de Cybersecurity and Infrastructure Security Agency, waar het zal worden behandeld binnen hun gecoördineerde proces voor het melden van kwetsbaarheden. We delen uw naam of contactgegevens niet zonder uitdrukkelijke toestemming.

We accepteren kwetsbaarheidsrapporten via vulndisclosure@jll.com. Meldingen kunnen anoniem ingediend worden. Als u contactgegevens deelt, bevestigen wij ontvangst van uw melding binnen 3 werkdagen.

Wij ondersteunen geen PGP-versleutelde e-mails. 

Om ons te helpen bij het beoordelen en prioriteren van meldingen, raden we aan dat uw rapporten:

• De locatie beschrijven waar de kwetsbaarheid is ontdekt en de potentiële impact van misbruik toelichten. 
• Een gedetailleerde beschrijving geven van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (bewijs-van-concept scripts of screenshots zijn behulpzaam).
• Bij voorkeur in het Engels zijn.

Wanneer u ervoor kiest om uw contactgegevens met ons te delen, verbinden wij ons ertoe zo open en snel mogelijk met u samen te werken.

• Binnen 3 werkdagen bevestigen wij ontvangst van uw melding. 
• Voor zover mogelijk bevestigen wij het bestaan van de kwetsbaarheid aan u en zijn we zo transparant mogelijk over de stappen die we nemen tijdens het oplossen, inclusief issues of uitdagingen die een oplossing mogelijk vertragen. 
• We houden een open dialoog om zaken te bespreken.

Vragen over dit beleid kunnen worden gestuurd naar vulndisclosure@jll.com. We nodigen u ook uit om contact met ons op te nemen met suggesties voor het verbeteren van dit beleid.