Política de divulgación de vulnerabilidad

Introducción

JLL se compromete a colaborar con los clientes hacia un camino más promisorio en materia de bienes inmuebles empresariales, lo que incluye asegurar los sistemas de la empresa y proteger los datos que nos confían nuestros clientes y socios. La presente política tiene por objeto proporcionar pautas claras a los investigadores de seguridad para llevar a cabo actividades de detección de vulnerabilidades, así como dejar en evidencia nuestras preferencias en cuanto a la manera en la que han de entregarnos los resultados de vulnerabilidades detectadas.

Considere que JLL no opera ningún programa de recompensas por la detección de errores. Cuando entregue una detección de vulnerabilidad, usted reconoce que no espera pago alguno por hacerlo y que renuncia de manera expresa a todo reclamo futuro de pago contra JLL que se relacione con tal entrega.

La presente política describe qué sistemas y tipos de investigación cubre, cómo enviarnos los informes de vulnerabilidad y qué tiempo de espera se pide a los investigadores de seguridad antes de que puedan divulgar las vulnerabilidades.

No dude en comunicarse con nosotros para informarnos de posibles vulnerabilidades en nuestros sistemas.

Autorización

Su trabajo se tendrá por autorizado cuando haga un esfuerzo de buena fe en cumplir las estipulaciones de la presente política a lo largo de su investigación de seguridad. Trabajaremos con usted para comprender el problema y solucionarlo con rapidez; asimismo, JLL no emprenderá ningún proceso judicial, ni recomendará hacerlo, relativo a su investigación. En caso de que un tercero emprenda un proceso judicial en su contra debido a las actividades llevadas a cabo de conformidad con la presente política, haremos esta autorización del conocimiento de las partes interesadas.

Pautas

En el cuerpo de la presente política, el término «investigación» se entenderá como aquellas actividades en las que usted:

  • nos notifique en cuanto detecte un problema real o potencial de seguridad;
  • tome todas las medidas posibles para evitar la violación a la privacidad, el deterioro en la experiencia de los usuarios, la interrupción en los sistemas de producción y la destrucción o manipulación de datos;
  • utilice las vulnerabilidades únicamente en la medida necesaria para confirmar su presencia y no para vulnerar o filtrar datos, establecer un acceso de línea de comandos constante ni pasar a otros sistemas a partir del sistema vulnerado;
  • nos dé un tiempo razonable para solucionar el problema antes de que lo divulgue, y
  • no entregue una cantidad importante de informes de calidad deficiente.

Una vez que determine la existencia de una vulnerabilidad o encuentre datos confidenciales (como información de identificación personal, información financiera, información propia y exclusiva, o secretos industriales de alguna de las partes), deberá detener la prueba, notificarnos de inmediato y abstenerse de divulgar los datos en cuestión a otras personas.

Métodos de prueba

Los siguientes métodos de prueba no están autorizados:

  • pruebas de denegación de servicio (DoS o DDoS, por sus siglas en inglés) de red u otras pruebas que dañen algún sistema o dato, o que afecten el acceso a estos
  • pruebas físicas (por ejemplo, el acceso a las oficinas, la apertura de puertas o la operación de los estacionamientos), ingeniería social (suplantación de identidad por diferentes medios), y demás tipos de pruebas no técnicas de vulnerabilidad
Alcance

La presente política aplica solo a los sistemas y servicios de los que JLL es el único propietario y administrador.

Los servicios que no estén señalados en la lista anterior, como los servicios conectados, se excluyen del alcance y no están autorizados para la realización de pruebas. Asimismo, las vulnerabilidades que se encuentren en nuestros sistemas de proveedores quedan fuera del alcance de la presente política y deberán informarse directamente al proveedor interesado de conformidad con su respectiva política de divulgación (de tenerla). En caso de dudas sobre si determinado sistema se encuentra dentro del alcance o no, comuníquese con nosotros por vulndisclosure@jll.com.

Si bien podemos participar en el desarrollo y mantenimiento de otros sistemas o servicios a los que se puede acceder desde internet, solicitamos que la investigación y las pruebas activas solo se lleven a cabo en los sistemas y servicios que se encuentren dentro del alcance de la presente política. Si considera que determinado sistema fuera del alcance requiere someterse a pruebas, comuníquese con nosotros para hablar al respecto antes de proceder. Evaluaremos el alcance de la presente política con el paso del tiempo.

La información que se entregue en el marco de la presente política se utilizará únicamente para fines de defensa, es decir, para mitigar o solucionar vulnerabilidades. En caso de que detecte vulnerabilidades recientemente descubiertas que afecten a todos los usuarios de un producto o servicio además de a JLL, es posible que compartamos su informe con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) de los Estados Unidos, quienes lidiarán con las vulnerabilidades en cuestión de conformidad con su propio proceso coordinado de divulgación de vulnerabilidad. No compartiremos su nombre ni su información de contacto sin antes obtener su permiso expreso.

Aceptamos el envío de informes de vulnerabilidad por vulndisclosure@jll.com. Los informes podrán entregarse de manera anónima. Si decide compartir información de contacto, confirmaremos la recepción de su informe en un plazo no mayor a tres días hábiles.

No admitimos correos electrónicos cifrados por PGP.

Qué esperamos recibir de usted

Con el fin de ayudarnos a evaluar la prioridad de cada entrega, recomendamos que sus informes:

  • describan la ubicación en la que se detectó la vulnerabilidad y el impacto que esta podría tener;
  • proporcionen una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los guiones o capturas de pantalla de las pruebas de concepto son útiles), y
  • estén en inglés, de ser posible.
Qué puede esperar de nosotros

Cuando decida compartir su información de contacto con nosotros, nos comprometemos a coordinar los asuntos con usted de la manera más transparente y rápida posible.

  • Confirmaremos la recepción de su informe en un plazo no mayor a tres días hábiles.
  • En la medida de nuestras capacidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible respecto a los pasos que estemos tomando durante el proceso de rectificación y los problemas o desafíos que podrían retrasar la solución.
  • Mantendremos abierto el diálogo para abordar los asuntos en cuestión.
Preguntas

Las preguntas relativas a la presente política podrán enviarse a vulndisclosure@jll.com. Asimismo, no dude en comunicarse con nosotros si tiene sugerencias para mejorar esta política.