Política de divulgação de vulnerabilidades
Introdução
A JLL colabora com os seus clientes para explorar as melhores formas de trabalhar no setor imobiliário empresarial. Isto inclui a proteção dos nossos sistemas empresariais e a proteção dos dados que nos são confiados por clientes e parceiros. Esta política fornece diretrizes claras aos investigadores da área da segurança sobre a condução de atividades de deteção de vulnerabilidades e indica as nossas preferências sobre o modo de comunicação das vulnerabilidades detetadas.
Note que a JLL não possui um programa de recompensa por relato de bugs. Ao comunicar uma vulnerabilidade, reconhece que não tem a expetativa de receber qualquer pagamento e que renuncia expressamente a quaisquer reivindicações de pagamentos dirigidas à JLL relacionadas com a comunicação das vulnerabilidades.
Esta política descreve os sistemas e tipos de investigação abrangidos por esta política, a forma de enviar relatórios de vulnerabilidade e o tempo que os nossos investigadores de segurança devem aguardar antes de divulgarem publicamente quaisquer vulnerabilidades.
Recomendamos que nos contacte para comunicar vulnerabilidades potenciais nos nossos sistemas.
Autorização
Mediante o cumprimento desta política durante a sua investigação de segurança, consideraremos a sua investigação autorizada, trabalharemos em colaboração consigo para compreendermos e resolvermos o problema rapidamente e a JLL não iniciará ações legais relacionadas com a sua investigação. Se for iniciada uma ação legal por terceiros contra si motivada por atividades que sejam realizadas em conformidade com esta política, divulgaremos esta autorização.
Diretrizes
No âmbito desta política, "investigação" refere-se a atividades em que deverá respeitar os seguintes princípios:
- Notificar-nos o mais brevemente possível após detetar um problema de segurança real ou potencial.
- Envidar todos os esforços para prevenir violações de privacidade, a degradação da experiência do utilizador, a perturbação dos sistemas de produção e a destruição ou manipulação de dados.
- Utilizar apenas exploits na medida do necessário para confirmar a existência de uma vulnerabilidade. Não utilize um exploit para comprometer ou extrair dados, estabelecer um acesso de linha de comando persistente, nem utilizar o exploit para aceder a outros sistemas.
- Conceder-nos algum tempo para resolvermos o problema antes de o divulgar publicamente.
- Não submeter um volume elevado de relatórios de baixa qualidade.
Após determinar a existência de uma vulnerabilidade ou a existência de dados sensíveis (incluindo informações que identifiquem pessoas, informações financeiras ou informações de proprietário ou segredos comerciais de qualquer parte), interrompa o seu teste, notifique-nos imediatamente e não divulgue estes dados a outras pessoas.
Métodos de teste
Os métodos de teste seguintes não são autorizados:
- Testes "denial of service" (DoS ou DDoS) de rede ou outros testes que afetem o acesso ou que danifiquem o sistema ou os dados.
- Testes físicos (por ex., office access, abertura de portas, tailgating), engenharia social (por ex., phishing, vishing) ou quaisquer outros testes de vulnerabilidade não técnicos.
Âmbito
Esta política aplica-se apenas a sistemas e serviços que são propriedade ou totalmente geridos pela JLL.
Quaisquer serviços não expressamente indicados acima, tais como serviços conectados, estão excluídos do âmbito e não estão autorizados para testes. Adicionalmente, as vulnerabilidades detetadas nos sistemas dos nossos fornecedores estão excluídas do âmbito desta política e devem ser comunicadas diretamente ao fornecedor, em conformidade com a política de divulgação do fornecedor (se existente). Se não tiver a certeza quanto a um sistema estar ou não abrangido pelo âmbito desta política, contacte-nos através do endereço vulndisclosure@jll.com.
Apesar de podermos assistir no desenvolvimento e manutenção de outros sistemas ou serviços acessíveis através da Internet, solicitamos que os testes e a investigação ativa apenas sejam realizados nos sistemas e serviços abrangidos pelo âmbito desta política. Se existir um sistema que não seja abrangido pelo âmbito desta política, mas que considere dever ser testado, contacte-nos para discutirmos essa possibilidade antes de realizar quaisquer testes. Avaliaremos o âmbito desta política ao longo do tempo.
As informações comunicadas ao abrigo desta política serão utilizadas apenas para fins de defesa e para mitigar ou remediar vulnerabilidades. Se as suas investigações detetarem novas vulnerabilidades que afetem todos os utilizadores de um produto ou serviço e não apenas a JLL, poderemos partilhar o seu relatório com a Agência de Cibersegurança e Segurança das Infraestruturas (Cybersecurity and Infrastructure Security Agency - CISA) dos EUA, que tratará essa informação de acordo com o seu processo coordenado de divulgação de vulnerabilidades. Não partilharemos o seu nome ou informações de contacto sem autorização expressa.
Aceitamos relatórios de vulnerabilidades através do endereço vulndisclosure@jll.com. Os relatórios podem ser submetidos de forma anónima. Se nos fornecer as suas informações de contacto, confirmaremos a receção do seu relatório dentro de 3 dias úteis.
Não aceitamos e-mails com encriptação PGP.
Envie-nos os seus relatórios
Para realizarmos uma triagem e priorização das submissões, recomendamos que os seus relatórios:
- descrevam o local em que a vulnerabilidade foi detetada e o impacto potencial da exploração da vulnerabilidade.
- ofereçam uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de ecrã podem ser úteis).
- sejam redigidos em inglês, se possível.
O que pode esperar de nós
Se optar por partilhar as suas informações de contacto connosco, comprometemo-nos a colaborar consigo da forma mais transparente e rápida possível.
- Dentro de 3 dias úteis, confirmaremos a receção do seu relatório.
- Na medida das nossas possibilidades, confirmaremos a existência da vulnerabilidade e seremos tão transparentes quanto possível acerca dos passos que realizaremos para solucionar o problema, incluindo problemas ou desafios que possam retardar a sua resolução.
- Manteremos um diálogo aberto na discussão de eventuais problemas.
Questões
Para quaisquer questões relacionadas com esta política, contacte-nos através do endereço vulndisclosure@jll.com. Convidamo-lo também a contactar-nos com sugestões de melhoria desta política.