漏洞披露政策

JLL致力與我們的企業房地產客戶攜手合作，共同尋找更光明的未來。這包括保障我們企業系統的安全，以及保護客戶和合作夥伴託付給我們的數據。本政策旨在為安全研究人員提供明確指引，進行漏洞研究活動，並說明我們希望接收漏洞披露的方式。

JLL並未設立漏洞懸賞計劃。提交漏洞即代表你明白不會獲得任何報酬，並明確放棄因你的提交而向JLL索取未來付款的權利。

本政策描述了哪些系統和研究類型受此政策涵蓋、如何向我們提交漏洞報告，以及我們希望安全研究人員在公開披露漏洞前等候的時間。

歡迎你聯絡我們，報告我們系統中的潛在漏洞。

如果你在進行安全研究時，誠信遵守本政策，我們會視你的研究為獲得授權，我們會與你合作，理解及迅速解決問題，而JLL將不會建議或採取與你的研究有關的法律行動。如有第三方因遵循本政策而對你採取法律行動，我們將說明此項授權。

根據本政策，「研究」是指你進行以下活動：

• 發現真實或潛在安全問題後，盡快通知我們。
• 盡力避免侵犯隱私、影響用戶體驗、中斷生產系統，以及數據破壞或操控。
• 僅於確認漏洞存在所需的範圍內使用攻擊手法。請勿利用攻擊手法入侵或外洩數據、建立持續命令行存取權限，或用以橫向入侵其他系統。
• 在你公開披露漏洞前，給予我們合理的時間處理問題。
• 請勿遞交大量低質素報告。

當你確認漏洞存在或接觸到任何敏感數據（包括個人身份資料、財務信息、專有信息或任何一方的商業機密）時，你必須立即停止測試，立即通知我們，並且不可向其他人披露此等數據。

以下測試方法未經授權：

• 網絡阻斷服務攻擊（DoS 或 DDoS）測試，或其他影響系統或數據可存取性、或造成損害的測試。
• 實體測試（例如：辦公室進出測試、門未上鎖、人員尾隨進入）、社交工程（例如網絡釣魚、電話詐騙）或任何其他非技術性漏洞測試。

本政策僅適用於 JLL 全資擁有及管理的系統及服務。 未有明確列於上述的所有服務（如任何連接服務）均不在本政策範圍內 ，亦不能獲授權進行測試。此外，若於我們供應商的系統發現漏洞，亦不屬本政策範圍，應根據對方的披露政策（如有）直接向該供應商報告。如你不確定某系統是否屬於涵蓋範圍，請通過 vulndisclosure@jll.com 與我們聯絡。

雖然我們有協助開發及維護其他可連接互聯網的系統或服務，但我們要求只在本政策涵蓋的系統及服務上主動研究及測試。如你認為某個不在範圍內的系統值得進行測試，請在進行任何測試前與我們聯絡討論。我們會隨時檢視和調整本政策的適用範圍。

根據本政策提交的資料只會用於防禦目的——以減緩或修復漏洞。如你的發現包括會影響所有產品或服務用戶（而不僅於 JLL）的新發現漏洞，我們有可能將你的報告轉交網絡安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency），由他們協調漏洞披露程序處理。在未得到你明確許可下，我們不會分享你的姓名或聯絡資料。

我們接受通過 vulndisclosure@jll.com 提交的漏洞報告。報告可作匿名提交。如你提供聯絡資料，我們會於 3 個工作天內確認收到你的報告。

我們不支援 PGP 加密電郵。 

為協助我們有效分類和判斷提交內容的重要性，我們建議您的報告應：

• 描述發現漏洞的位置及其潛在風險影響。 
• 提供詳細說明，列出重現漏洞所需步驟（包括概念驗證腳本或截圖會有幫助）。
• 如有可能，請以英文提交。

當你選擇與我們分享聯絡資料時，我們承諾盡快並以開放的方式與你協作。

• 於 3 個工作天內，我們會確認已收到你的報告。 
• 我們會盡力向你確認漏洞的存在，並於修復流程上，盡可能清楚交代我們所採取的步驟，包括任何可能導致解決方案延遲的問題或挑戰。 
• 我們會保持開放溝通，共同討論相關事宜。

如對本政策有查詢，歡迎電郵 vulndisclosure@jll.com 聯絡我們。我們亦誠邀你提供改善本政策的建議。