Haavoittuvuuksien julkistamiskäytäntö
Johdanto
JLL on sitoutunut yhteistyöhön asiakkaidemme kanssa ja valoisampaan tulevaisuuteen yrityskiinteistösijoittamisessa. Tähän työhön liittyy yritysjärjestelmiemme turvaaminen ja asiakkaidemme ja kumppaniemme meille uskomien tietojen suojaaminen. Tämän käytännön tarkoituksena on antaa turvallisuuden tutkijoille selkeät ohjeet haavoittuvuuksien julkistamistoimiin sekä välittää toiveemme havaittujen haavoittuvuuksien lähettämistavasta meille.
Huomaa, että JLL:llä ei ole käytössä haavoittuvuuspalkkio-ohjelmaa. Lähettämällä haavoittuvuuden vahvistat, että et odota maksua ja että nimenomaisesti luovut lähetykseesi liittyvistä tulevista korvausvaatimuksista JLL:ää kohtaan.
Tässä käytännössä kuvataan, mitkä järjestelmät ja minkä tyyppisen tutkimuksen käytäntö kattaa, miten voit lähettää meille haavoittuvuusraportteja sekä kuinka kauan pyydämme turvallisuuden tutkijoita odottamaan ennen haavoittuvuuksien yleistä julkistamista.
Suosittelemme ottamaan meihin yhteyttä, jos havaitset mahdollisia haavoittuvuuksia järjestelmissämme.
Valtuutus
Jos noudatat tätä käytäntöä hyvässä uskossa turvallisuustutkimuksesi aikana, pidämme tutkimustasi valtuutettuna ja teemme yhteistyötä kanssasi ongelman selvittämiseksi ja ratkaisemiseksi nopeasti. JLL ei myöskään suosittele tutkimukseesi liittyviä oikeustoimia tai ryhdy niihin. Jos kolmas osapuoli ryhtyy oikeustoimiin sinua vastaan tämän käytännön mukaisesti toteutettujen toimien vuoksi, ilmoitamme tästä valtuutuksesta.
Ohjeet
Tässä käytännössä tutkimuksella tarkoitetaan seuraavia toimia:
- Ilmoitat meille mahdollisimman pian, kun havaitset todellisen tai mahdollisen turvallisuusongelman.
- Vältät kaikin tavoin tietosuojarikkomuksia, käyttäjäkokemuksen heikkenemistä, tuotantojärjestelmien häiriöitä sekä tietojen hävittämistä tai manipulointia.
- Käytät haavoittuvuutta hyödyntäviä menetelmiä vain siinä määrin kuin on tarpeen haavoittuvuuksien olemassaolon vahvistamiseksi. Et käytä haavoittuvuutta hyödyntäviä menetelmiä tietojen vaarantamiseen tai luvattomaan siirtämiseen, jatkuvan komentorivipohjaisen käyttöoikeuden luomiseen tai muihin järjestelmiin siirtymiseen.
- Annat meille kohtuullisesti aikaa ongelman ratkaisemiseen ennen sen yleistä julkistamista.
- Et lähetä suuria määriä heikkolaatuisia raportteja.
Kun olet todennut haavoittuvuuden olemassaolon tai kohtaat arkaluonteisia tietoja (mukaan lukien henkilön tunnistetiedot, taloudelliset tiedot, minkä tahansa osapuolen omistusoikeuden suojaamat tiedot tai liikesalaisuudet), sinun on lopetettava testaus ja ilmoitettava meille välittömästi. Et saa luovuttaa näitä tietoja kenellekään muulle.
Testausmenetelmät
Seuraavia testausmenetelmiä ei ole valtuutettu:
- Palvelunestohyökkäysten (DoS tai DDoS) testit tai muut testit, joilla heikennetään pääsyä järjestelmään tai tietoihin tai vahingoitetaan niitä.
- Fyysiset testit (esim. pääsy toimistoihin, avoimet ovet, perässäroikkuminen), sosiaalinen manipulointi (esim. tietojenkalastelu, puhelinurkinta) tai muu ei-tekninen haavoittuvuuksien testaaminen.
Soveltamisala
Tämä käytäntö koskee vain JLL:n täysin omistamia ja hallitsemia järjestelmiä ja palveluja.
Kaikki palvelut, joita ei ole nimenomaisesti lueteltu yllä, kuten liittyvät palvelut, eivät kuulu tämän käytännön soveltamisalaan, eikä niiden testausta ole valtuutettu. Myöskään toimittajiemme järjestelmistä löytyneet haavoittuvuudet eivät kuulu tämän käytännön soveltamisalaan. Niistä on ilmoitettava suoraan toimittajalle heidän julkistamiskäytäntönsä (jos on) mukaisesti. Jos et ole varma, kuuluuko järjestelmä soveltamisalaan vai ei, ota meihin yhteys osoitteeseen vulndisclosure@jll.com.
Vaikka voimme auttaa muiden Internetiä käyttävien järjestelmien tai palveluiden kehittämisessä ja ylläpidossa, pyydämme, että aktiivinen tutkimus ja testaus suoritetaan vain tämän käytännön kattamille järjestelmille ja palveluille. Jos jokin tietty soveltamisalan ulkopuolinen järjestelmä on mielestäsi testaamisen arvoinen, ota yhteys meihin ja keskustele kanssamme ennen testausta. Arvioimme tämän käytännön soveltamisalaa ajan mittaan.
Tämän käytännön mukaisesti lähetettyjä tietoja käytetään ainoastaan puolustuksellisiin tarkoituksiin: haavoittuvuuksien lieventämiseen tai korjaamiseen. Jos havaintoihisi sisältyy uusia haavoittuvuuksia, jotka vaikuttavat muihinkin tuotteen tai palvelun käyttäjiin kuin pelkästään JLL:ään, saatamme jakaa raporttisi Cybersecurity and Infrastructure Security Agency -virastolle, jossa se käsitellään kyseisen viraston haavoittuvuuksien julkistamisprosessin mukaisesti. Emme jaa nimeäsi tai yhteystietojasi ilman nimenomaista lupaa.
Hyväksymme osoitteeseen vulndisclosure@jll.com lähetetyt haavoittuvuusraportit. Raportit voidaan lähettää nimettömästi. Jos jaat yhteystietosi, ilmoitamme raportin vastaanottamisesta kolmen arkipäivän kuluessa.
Emme tue PGP-salattuja sähköposteja.
Mitä toivomme sinulta
Voit auttaa meitä raporttien lähetysten luokittelussa ja priorisoinnissa tekemällä seuraavaa:
- Kuvaile haavoittuvuuden löytämispaikka ja mahdollinen hyväksikäytön vaikutus.
- Kirjoita yksityiskohtainen kuvaus vaiheista, joiden avulla haavoittuvuus voidaan toisintaa (esimerkkinäytteet ja kuvakaappaukset ovat hyödyllisiä).
- Jos mahdollista, kirjoita englanniksi.
Mitä voit odottaa meiltä
Kun päätät jakaa yhteystietosi kanssamme, sitoudumme toimimaan yhdessä kanssasi mahdollisimman avoimesti ja nopeasti.
- Vahvistamme raporttisi vastaanottamisen kolmen arkipäivän kuluessa.
- Parhaan kykymme mukaan vahvistamme haavoittuvuuksien olemassaolon sinulle ja olemme mahdollisimman avoimia korjausprosessin aikana suorittamistamme vaiheista, mukaan lukien ratkaisua mahdollisesti viivyttävät ongelmat ja haasteet.
- Ylläpidämme avointa keskustelua ongelmista.
Kysymyksiä
Tätä käytäntöä koskevia kysymyksiä voi lähettää osoitteeseen vulndisclosure@jll.com. Ota yhteyttä myös, jos sinulla on tämän käytännön parannusehdotuksia.