취약점 공개 정책

소개

JLL은 기업 부동산에서 보다 밝은 방향을 찾기 위한 고객과의 협력을 위해 노력하고 있습니다. 여기에는 회사 시스템의 보안과 고객 및 파트너가 당사에 위탁한 데이터의 보호가 포함됩니다. 이 정책은 보안 연구원에게 취약성 검색 활동을 수행하기 위한 명확한 지침을 제공하고 발견된 취약성을 당사에 제출하는 방법에 대한 기본 설정을 전달하기 위한 것입니다.

JLL은 버그 바운티 프로그램을 운영하지 않는다는 점에 유의하십시오. 취약성을 제출함으로써 귀하는 지불에 대한 기대가 없으며 제출과 관련하여 JLL에 대한 향후 지불 청구를 명시적으로 포기한다는 것을 인정합니다.

이 정책은 이 정책에서 다루는 시스템 및 연구 유형, 취약점 보고서를 보내는 방법, 보안 연구원에게 취약점을 공개하기 전에 대기하도록 요청하는 기간을 설명합니다.

당사에 연락하여 당사 시스템의 잠재적인 취약점을 보고해 주실 것을 당부드립니다.

승인

보안 연구 중에 본 정책을 준수하기 위해 성실히 노력할 경우, 귀하의 연구가 승인된 것으로 간주하고, 문제를 신속하게 이해하고 해결할 수 있도록 협력할 것이며, JLL은 귀하의 연구와 관련된 법적 조치를 권고하거나 추진하지 않을 것입니다. 본 정책에 따라 수행된 활동에 대해 제3자가 귀하를 상대로 법적 조치를 시작할 경우, 당사는 이 승인을 알릴 것입니다.

지침

이 정책에 따라 “조사”는 귀하가 다음과 같은 활동을 수행한다는 의미입니다.

  • 실제 또는 잠재적인 보안 문제를 발견한 후 최대한 빠른 시일 내에 당사에 알립니다.
  • 개인 정보 침해, 사용자 경험의 저하, 운영 시스템 중단, 데이터 파기 또는 조작을 방지하기 위해 모든 노력을 기울여주시기 바랍니다.
  • 취약점의 존재를 확인하는 데 필요한 범위 내에서만 익스플로잇을 사용합니다. 익스플로잇을 사용하여 데이터를 손상 또는 유출하거나, 지속적인 명령줄 액세스를 설정하거나, 익스플로잇을 사용하여 다른 시스템으로 피벗하지 마십시오.
  • 문제를 공개적으로 밝히기 전에 문제를 해결할 합리적인 시간을 당사에 제공합니다.
  • 저품질의 보고를 대량으로 제출하지 않습니다.

취약점이 존재하거나 민감한 데이터(개인 식별 정보, 금융 정보, 독점 정보 또는 임의 당사자의 영업 비밀)를 확인한 경우 즉시 테스트를 중단하고 당사에 알려야 하며, 이 데이터를 다른 누구에게도 공개해서는 안 됩니다.

테스트 방법

다음 테스트 방법은 승인되지 않습니다:

  • 네트워크 서비스 거부(DoS 또는 DDoS) 테스트 또는 시스템이나 데이터에 피해를 주거나 이에 대한 액세스를 손상시키는 기타 테스트.
  • 물리적 테스트(예: 사무실 출입, 문 열기, 테일게이트 등), 사회 공학(예: 피싱, 바이싱 등) 또는 기타 비기술적 취약성 테스트.
범위

이 정책은 JLL이 완전히 소유하고 관리하는 시스템과 서비스에만 적용됩니다.

위에 명시적으로 나와 있지 않은 서비스(예: 연결된 서비스)는 범위에서 제외되며 테스트 대상으로 승인되지 않습니다. 또한 당사 공급업체의 시스템에서 발견된 취약점의 경우 이 정책 범위를 벗어나며, 해당하는 공개 정책(있는 경우)에 따라 해당 공급업체에 직접 보고해야 합니다. 시스템이 범위에 포함되는지 여부가 확실하지 않은 경우 vulndisclosure@jll.com으로 문의하십시오.

인터넷에 액세스할 수 있는 다른 시스템 또는 서비스의 개발 및 유지 관리를 지원할 수 있지만 이 정책의 범위에 포함되는 시스템 및 서비스에 대해서만 적극적인 연구 및 테스트를 수행할 것을 요청합니다. 테스트할 가치가 있다고 생각되는 범위에 속하지 않는 특정 시스템이 있는 경우 테스트 전에 당사에 연락하여 논의하십시오. 우리는 시간이 지남에 따라 이 정책의 범위를 평가할 것입니다.

이 정책에 따라 제출된 정보는 취약성을 완화하거나 개선하기 위한 방어 목적으로만 사용됩니다. 귀하의 조사 결과에 JLL만이 아니라 제품 또는 서비스의 모든 사용자에게 영향을 미치는 새로 발견된 취약점이 포함된 경우, 당사는 귀하의 보고서를 사이버 보안 및 인프라 보안 기관과 공유할 수 있으며 여기에서 조정된 취약성 공개 프로세스에 따라 처리됩니다. 명시적인 허가 없이 귀하의 이름이나 연락처 정보를 공유하지 않습니다.

당사는 vulndisclosure@jll.com을 통해 취약점 보고를 받습니다. 보고는 익명으로 제출할 수 있습니다. 귀하가 연락처 정보를 당사와 공유하는 경우 당사는영업일 기준 3일 이내에 신고접수가 완료되었음을 알려드립니다.

당사는 PGP 암호화 이메일을 지원하지 않습니다.

당사가 귀하에게 기대하는 사항

제출된 내용을 분류하고 우선 순위를 매기려면 다음과 같이 보고서를 작성하는 것이 좋습니다:

  • 취약점이 발견된 위치와 악용의 잠재적 영향을 설명합니다.
  • 취약성을 재현하는 데 필요한 단계에 대한 자세한 설명을 제공합니다(개념 증명 스크립트 또는 스크린샷이 유용함).
  • 가능한 경우 영문으로 작성합니다.
귀하가 당사에 기대할 수 있는 사항

당사와 귀하의 연락처 정보를 공유하기로 선택하는 경우 당사는 최대한 솔직하게 그리고 신속하게 귀하와 조율하기 위해 노력합니다.

  • 당사는 영업일 기준 3일 이내에 귀하의 보고서가 수신되었음을 알려드립니다.
  • 당사는 귀사에 대한 취약성의 존재를 최대한 확인하고 해결을 지연시킬 수 있는 문제나 문제를 포함하여 교정 프로세스 중에 어떤 조치를 취하고 있는지에 대해 가능한 한 투명하게 대처할 것입니다.
  • 당사는 문제를 논의하기 위한 열린 대화를 계속해 나갈 것입니다.
질문

이 정책에 대한 질문은 vulndisclosure@jll.com으로 보내질 수 있습니다. 또한 이 정책을 개선하기 위한 제안사항을 알려주시기 바랍니다.