Polityka ujawniania podatności

JLL is committed to partnering with our corporate real estate clients to see a brighter way. This includes the securing of our corporate systems and the protection of data entrusted to us by clients and partners. This policy is intended to give security researchers clear guidelines for conducting vulnerability discovery activities and to convey our preferences in how to submit discovered vulnerabilities to us.

JLL does not operate a bug bounty program. By submitting a vulnerability, you acknowledge that you have no expectation of payment and that you expressly waive any future pay claims against JLL related to your submission.

This policy describes what systems and types of research are covered under this policy, how to send us vulnerability reports, and how long we ask security researchers to wait before publicly disclosing vulnerabilities.

We encourage you to contact us to report potential vulnerabilities in our systems.

If you make a good faith effort to comply with this policy during your security research, we will consider your research to be authorized, we will work with you to understand and resolve the issue quickly, and JLL will not recommend or pursue legal action related to your research. Should legal action be initiated by a third party against you for activities that were conducted in accordance with this policy, we will make this authorization known.

Zgodnie z tą polityką, „badania” oznaczają działania polegające na:

• Poinformowaniu nas możliwie jak najszybciej po odkryciu rzeczywistego lub potencjalnego problemu z bezpieczeństwem.
• Dokładaniu wszelkich starań, by unikać naruszenia prywatności, pogorszenia doświadczenia użytkownika, zakłócenia działania systemów produkcyjnych, niszczenia lub manipulowania danymi.
• Wykorzystaniu exploitów tylko w takim zakresie, jaki jest niezbędny do potwierdzenia istnienia podatności. Nie używaj exploita do naruszania lub wykradania danych, uzyskiwania trwałego dostępu do linii poleceń ani wykorzystywania exploita do dostępu do innych systemów.
• Daniu nam rozsądnej ilości czasu na rozwiązanie problemu przed ewentualnym upublicznieniem zgłoszenia.
• Niezgłaszaniu dużej liczby zgłoszeń niskiej jakości.

Po stwierdzeniu istnienia podatności lub napotkaniu jakichkolwiek wrażliwych danych (w tym danych osobowych, informacji finansowych, informacji zastrzeżonych lub tajemnic handlowych dowolnej strony) należy natychmiast zakończyć test, niezwłocznie nas powiadomić i nie przekazywać tych danych żadnej innej osobie.

Następujące metody testowe nie są dozwolone:

• Testy ataków typu odmowa usługi w sieci (DoS lub DDoS) ani inne testy, które ograniczają dostęp do systemu lub danych albo je uszkadzają.
• Testowanie fizyczne (np. dostęp do biura, otwarte drzwi, podążanie za kimś), inżynieria społeczna (np. phishing, vishing) lub jakiekolwiek inne nietechniczne testy podatności.

Ta polityka dotyczy wyłącznie w pełni należących do JLL i zarządzanych przez JLL systemów oraz usług. Wszelkie usługi niewyszczególnione powyżej, w tym wszelkie usługi powiązane, są wyłączone z zakresu tej polityki i nie są autoryzowane do testowania. Ponadto luki znalezione w systemach naszych dostawców nie wchodzą w zakres tej polityki i powinny być zgłaszane bezpośrednio do dostawcy zgodnie z jego polityką ujawniania (jeśli taka istnieje). Jeśli nie masz pewności, czy dany system obejmuje ta polityka, skontaktuj się z nami pod adresem vulndisclosure@jll.com.

Mimo że możemy wspierać rozwój i utrzymanie innych systemów lub usług dostępnych w internecie, prosimy, aby aktywne badania i testy były prowadzone jedynie na systemach i usługach objętych zakresem tej polityki. Jeśli istnieje system poza zakresem polityki, który według Ciebie wymaga testowania, skontaktuj się z nami przed rozpoczęciem jakichkolwiek testów, aby to omówić. Okresowo będziemy weryfikować zakres tej polityki.

Informacje przekazane w ramach tej polityki będą wykorzystywane wyłącznie w celach ochronnych – by łagodzić lub usuwać podatności. Jeśli Twoje odkrycia obejmują nowe luki dotyczące wszystkich użytkowników produktu lub usługi, a nie tylko JLL, możemy przekazać Twoje zgłoszenie do Agencji ds. Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (Cybersecurity and Infrastructure Security Agency), gdzie będzie ono obsługiwane w ramach ich skoordynowanego procesu ujawniania podatności. Nie przekażemy Twojego imienia, nazwiska ani danych kontaktowych bez Twojej wyraźnej zgody.

Akceptujemy zgłoszenia podatności na adres vulndisclosure@jll.com. Zgłoszenia mogą być przesyłane anonimowo. Jeśli podasz swoje dane kontaktowe, potwierdzimy otrzymanie zgłoszenia w ciągu 3 dni roboczych.

Nie obsługujemy wiadomości e-mail szyfrowanych PGP. 

Aby ułatwić nam ocenę oraz nadanie priorytetu zgłoszeniom, zalecamy, aby raporty:

• Opisywały miejsce znalezienia podatności oraz potencjalny wpływ jej wykorzystania. 
• Zawierały szczegółowy opis kroków potrzebnych do odtworzenia podatności (pomocne są skrypty proof of concept lub zrzuty ekranu).
• Były, jeśli to możliwe, w języku angielskim.

Jeśli zdecydujesz się podzielić z nami swoimi danymi kontaktowymi, zobowiązujemy się do jak najotwartych i jak najszybszych działań we współpracy z Tobą.

• W ciągu 3 dni roboczych potwierdzimy otrzymanie Twojego zgłoszenia. 
• W miarę naszych możliwości potwierdzimy istnienie podatności i będziemy możliwie przejrzyście informować o krokach podejmowanych w procesie naprawy, także o zagadnieniach lub wyzwaniach mogących opóźnić rozwiązanie sprawy. 
• Będziemy utrzymywać otwarty dialog, aby omówić kwestie związane ze zgłoszeniem.

Pytania dotyczące tej polityki można kierować na adres vulndisclosure@jll.com. Zachęcamy również do wysyłania sugestii dotyczących udoskonalenia tej polityki.