นโยบายการเปิดเผยช่องโหว่

บทนำ

JLL มีความตั้งใจที่จะร่วมมือกับลูกค้าของเราเพื่อค้นหาหนทางที่ดีขึ้นในการดำเนินงานอสังหาริมทรัพย์เชิงพาณิชย์ โดยร่วมถึงการรักษาความปลอดภัยของระบบในองค์กรของเราและปกป้องข้อมูลที่ลูกค้าและคู่ค้ามอบให้แก่เรา นโยบายนี้จัดทำขึ้นเพื่อเป็นแนวทางแก่ผู้วิจัยด้านการรักษาความปลอดภัยในการดำเนินกิจกรรมการค้นหาช่องโหว่และชี้แจงวิธีที่เราต้องการให้ส่งข้อมูลช่องโหว่ที่พบแก่เรา

โปรดทราบว่า JLL ไม่มีโครงการให้รางวัลตอบแทนหากพบข้อบกพร่อง การแจ้งข้อมูลช่องโหว่แสดงว่าคุณยืนยันว่าคุณไม่ประสงค์ที่จะได้รับค่าตอบแทนและเป็นการแสดงออกอย่างชัดแจ้งว่าคุณจะสละสิทธิ์ในค่าตอบแทนใดๆ ในอนาคตจาก JLL ซึ่งเกี่ยวข้องกับการแจ้งข้อมูลของคุณ

นโยบายนี้อธิบายระบบและประเภทของการวิจัยที่นโยบายนี้มีผลบังคับใช้ วิธีส่งรายงานช่องโหว่แก่เรา และระยะเวลาที่เราขอให้ผู้วิจัยรอก่อนที่จะเปิดเผยช่องโหว่แก่สาธารณะ

เราแนะนำให้คุณติดต่อเราเพื่อรายงานสิ่งที่อาจเป็นช่องโหว่ในระบบของเรา

การอนุญาต

หากคุณพยายามปฏิบัติตามนโยบายนี้โดยสุจริตในระหว่างที่คุณวิจัยด้านการรักษาความปลอดภัย เราจะถือว่าการวิจัยของคุณได้รับอนุญาต โดยจะทำงานร่วมกับคุณเพื่อทำความเข้าใจและแก้ไขปัญหาอย่างรวดเร็ว ทั้งนี้ JLL จะไม่แนะนำให้ดำเนินการหรือดำเนินการทางกฎหมายที่เกี่ยวข้องกับ การวิจัยของคุณ หากบุคคลที่สามดำเนินการทางกฎหมายกับคุณเนื่องจากกิจกรรมที่ดำเนินการตามนโยบายนี้ เราจะแจ้งให้ทราบว่ามีการอนุญาตนี้

แนวทาง

ภายใต้นโยบายนี้ “การวิจัย” หมายถึงกิจกรรมเมื่อคุณ

  • แจ้งเราโดยเร็วที่สุดเมื่อพบปัญหาด้านการรักษาความปลอดภัยที่มีอยู่จริงหรืออาจเกิดขึ้นได้
  • พยายามทุกวิถีทางเพื่อหลีกเลี่ยงการละเมิดความเป็นส่วนตัว การบั่นทอนประสบการณ์ของผู้ใช้ การขัดขวางระบบการผลิต ตลอดจนการทำลายหรือการดัดแปลงข้อมูล
  • ใช้ช่องโหว่เท่าที่จำเป็นเพื่อยืนยันการมีอยู่ของช่องโหว่เท่านั้น อย่าใช้ช่องโหว่เพื่อโจมตีหรือถ่ายเทข้อมูล สร้างช่องทางเข้าถึงบรรทัดคำสั่งอย่างถาวร หรือใช้ช่องโหว่เพื่อเปลี่ยนเส้นทางเข้าสู่ระบบอื่น
  • ให้เวลาที่สมเหตุสมผลแก่เราในการแก้ไขปัญหาก่อนที่จะเปิดเผยแก่สาธารณะ
  • ไม่ส่งรายงานคุณภาพต่ำเป็นจำนวนมาก

เมื่อคุณยืนยันแล้วว่าช่องโหว่นั้นมีอยู่จริงหรือพบข้อมูลที่ละเอียดอ่อนใดๆ (รวมถึงข้อมูลที่ใช้ระบุตัวตนได้ ข้อมูลทางการเงิน ตลอดจนข้อมูลกรรมสิทธิ์หรือความลับทางการค้าของบุคคลใดๆ) คุณต้องหยุดการทดสอบของคุณ แจ้งเราโดยทันที และไม่เปิดเผยข้อมูลนี้แก่ผู้ใด

วิธีการทดสอบ

ไม่อนุญาตให้ทดสอบด้วยวิธีดังต่อไปนี้

  • การทดสอบด้วยการโจมตีโดยปฏิเสธการให้บริการ (DoS หรือ DDoS) บนเครือข่ายหรือการทดสอบอื่นๆ ที่ส่งผลกระทบต่อการเข้าถึงหรือทำให้ระบบหรือข้อมูลเสียหาย
  • การทดสอบทางกายภาพ (เช่น การเข้าถึงสำนักงาน การเปิดประตู การสะกดรอยตาม), วิศวกรรมสังคม (เช่น ฟิชชิง วิชชิง) หรือการทดสอบช่องโหว่อื่นใดที่ไม่ใช่การทดสอบทางเทคนิค
ขอบเขต

นโยบายมีผลกับระบบและบริการที่ JLL เป็นเจ้าของและจัดการโดยสมบูรณ์เท่านั้น

บริการใดๆ ที่ไม่ได้แสดงไว้ข้างต้นอย่างชัดแจ้ง เช่น บริการที่เชื่อมต่อกัน ถือว่าไม่อยู่ในขอบเขต และไม่ได้รับอนุญาตให้ทำการทดสอบ นอกจากนี้ช่องโหว่ที่พบในระบบของผู้ให้บริการแก่เราจะถือว่าอยู่นอกเหนือขอบเขตของนโยบายนี้ และควรได้รับการรายงานแก่ผู้ให้บริการโดยตรงตามนโยบายการเปิดเผยของผู้ให้บริการนั้นๆ (หากมี) หากคุณไม่แน่ใจว่าระบบหนึ่งๆ อยู่ในขอบเขตของนโยบายหรือไม่ โปรดติดต่อเราที่ vulndisclosure@jll.com

แม้ว่าเราจะให้ความช่วยเหลือในการพัฒนาและการบำรุงรักษาระบบหรือบริการที่เข้าถึงได้ทางอินเทอร์เน็ตอื่นๆ เราขอให้มีการวิจัยและการทดสอบอย่างต่อเนื่องกับระบบและบริการที่อยู่ในขอบเขตของนโยบายนี้เท่านั้น หากคุณเห็นว่าระบบใดไม่ได้อยู่ในขอบเขตของนโยบายแต่มีเหตุผลอันควรที่จะทดสอบ โปรดติดต่อเราเพื่อหารือก่อนทำการทดสอบใดๆ เราจะประเมินขอบเขตของนโยบายนี้เมื่อเวลาผ่านไป

ข้อมูลที่ส่งภายใต้นโยบายนี้จะใช้เพื่อวัตถุประสงค์ในการป้องกันเท่านั้น กล่าวคือเพื่อยับยั้งหรือแก้ไขช่องโหว่ หากข้อค้นพบของคุณรวมถึงช่องโหว่ที่เพิ่งค้นพบใหม่ ซึ่งส่งผลต่อผู้ใช้ผลิตภัณฑ์หรือบริการทั้งหมด ไม่ใช่เฉพาะ JLL เราอาจแชร์รายงานของคุณกับหน่วยความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ซึ่งจะรายงานจะได้รับการจัดการภายใต้กระบวนการเปิดเผยช่องโหว่ภายในหน่วยดังกล่าว เราจะไม่แชร์ชื่อหรือข้อมูลการติดต่อของคุณ หากไม่ได้รับการอนุญาตอย่างชัดแจ้ง

เรารับรายงานช่องโหว่ผ่านทาง vulndisclosure@jll.com สามารถส่งรายงานโดยไม่ระบุชื่อผู้ส่งได้ หากคุณแชร์ข้อมูลการติดต่อ เราจะยืนยันการรับรายงานภายใน 3 วันทำการ

เราไม่รองรับอีเมลที่เข้ารหัสแบบ PGP

สิ่งที่เราหวังจะได้รับจากคุณ

เพื่อช่วยเราในการคัดแยกและจัดลำดับความสำคัญของข้อมูลที่แจ้ง เราขอแนะนำให้คุณรายงานข้อมูลดังต่อไปนี้

  • อธิบายตำแหน่งที่พบช่องโหว่ และผลที่อาจเกิดขึ้นหากมีผู้ใช้ประโยชน์จากช่องโหว่ดังกล่าว
  • อธิบายขั้นตอนต่างๆ ที่จำเป็นต้องทำเพื่อให้เกิดช่องโหว่นั้นอีกครั้งโดยละเอียด (สคริปต์ต้นแบบหรือภาพหน้าจอจะเป็นประโยชน์อย่างยิ่ง)
  • หากเป็นไปได้โปรดอธิบายในภาษาอังกฤษ
สิ่งที่คุณจะได้รับจากเรา

เมื่อคุณเลือกที่จะแจ้งข้อมูลการติดต่อแก่เรา เราจะให้ความร่วมมือกับคุณอย่างเปิดเผยและรวดเร็วที่สุด

  • เราจะยืนยันว่าได้รับรายงานของคุณแล้วภายใน 3 วันทำการ
  • เราจะดำเนินการอย่างเต็มความสามารถเพื่อยืนยันการมีอยู่ของช่องโหว่กับคุณ โดยให้ความโปร่งใสมากที่สุดเท่าที่เป็นไปได้เกี่ยวกับขั้นตอนที่เราดำเนินการระหว่างการกำจัดช่องโหว่นี้ รวมถึงปัญหาหรือความท้าทายที่อาจทำให้การแก้ไขล่าช้า
  • เราจะสื่อสารเกี่ยวกับปัญหาอย่างโปร่งใสเสมอ
คำถาม

หากมีคำถามเกี่ยวกับนโยบายนี้ โปรดส่งไปที่ vulndisclosure@jll.com เรายังขอเชิญให้คุณติดต่อเราหากมีข้อเสนอแนะในการปรับปรุงนโยบายนี้