سياسة الإفصاح عن الثغرات الأمنية

مقدمة

تلتزم جيه إل إل بالتعاون مع عملائنا لاتخاذ طريق أكثر إشراقًا في مجال العقارات المؤسسية. ويتضمَّن ذلك تأمين أنظمة شركتنا وحماية البيانات التي عهد بها إلينا عملاؤنا وشركاؤنا. تهدف هذه السياسة إلى تزويد الباحثين الأمنيين بإرشادات واضحة للقيام بأنشطة تهدف إلى اكتشاف الثغرات الأمنية ولنقل اتجاهنا في كيفية إرسال الثغرات المكتشفة إلينا.

يُرجى ملاحظة أن جيه إل إل لا تستخدم برامج مكافأة اكتشاف الثغرات. بجانب تقديمك ثغرة أمنية، ستقر بأنك لا تتوقع الحصول على مقابل وأنك تتنازل صراحة عن أي دعاوى تعويض مستقبلية ضد جيه إل إل تتعلق بالتقرير الذي قدمته.

تصف هذه السياسة ما تشمله من أنظمة البحث وأنواعه، وكيفية إرسال تقارير الثغرات الأمنية، والمدة التي نطلب من الباحثين الأمنيين الانتظار قبل الكشف عن الثغرات علنًا.

نوصيك بالاتصال بنا للإبلاغ عن أي ثغرات أمنية محتملة في أنظمتنا.

التصريح

إذا بذلت جهدًا حسن النية للامتثال لهذه السياسة في أثناء بحثك الأمني، فسنعتبر بحثك مصرحًا به، وسنعمل معك على فهم المشكلة وحلها سريعًا، ولن توصي جيه إل إل باتخاذ إجراءات قانونية تتعلق بالبحث الذي أجريته. في حال اتخذ طرف ثالث إجراءً قانونيًا ضدك بسبب الأنشطة التي قمت بها وفقًا لهذه السياسة، فسنكشف عن هذا التصريح.

الإرشادات

بموجب هذه السياسة، يُقصد بمصطلح «بحث» الأنشطة التي تتضمن ما يأتي:

  • إبلاغنا في أقرب وقت ممكن عن اكتشافك لمشكلة أمنية حقيقية أو محتملة.
  • بذل قصارى جهدك لتجنب انتهاكات الخصوصية، وتدهور تجربة المستخدم، وتعطيل أنظمة الإنتاج، وتدمير البيانات أو التلاعب بها.
  • لا تستخدم برامج الاستغلال إلا بالقدر الذي يلزم لتأكيد وجود ثغرة أمنية. لا تستخدم برامج الاستغلال لكشف البيانات أو تسريبها، أو إنشاء وصول مستمر لسطر الأوامر، أو للتركيز على أنظمة أخرى.
  • أمهلنا فترة زمنية كافية لحل المشكلة قبل الكشف عنها علنًا.
  • لا ترسل عددًا كبيرًا من التقارير الرديئة الجودة.

بمجرد التيقن من وجود ثغرة أمنية أو العثور على أي بيانات حساسة (يشمل ذلك معلومات التعريف الشخصية أو المعلومات المالية أو معلومات الملكية أو الأسرار التجارية لأي طرف)، عليك إيقاف الاختبار وإبلاغنا على الفور وعدم الإفصاح عن هذه البيانات لأي شخص آخر.

طرق الاختبار

طرق الاختبار الآتية غير مصرح بها:

  • اختبارات حجب الشبكة للخدمة (هجمات حجب الخدمة DoS أو هجمات حجب الخدمة الموزعة DDoS) أو الاختبارات الأخرى التي تعيق الوصول إلى النظام أو البيانات أو تلحق ضررًا بهما.
  • الاختبار المادي (مثل الوصول إلى المكاتب، أو الأبواب المفتوحة، أو التتبع)، أو الهندسة الاجتماعية (مثل التصيد الاحتيالي، أو التصيد الصوتي)، أو غيرها من الاختبارات غير التقنية للثغرات الأمنية.
النطاق

لا تنطبق هذه السياسة سوى على الأنظمة والخدمات التي تمتلكها جيه إل إل وتديرها بالكامل.

يُستثنى من النطاق أي خدمة غير مذكورة صراحة فيما سبق، مثل أي خدمات متصلة، ولا يصرح اختبارها. إضافة إلى ذلك، فالثغرات الأمنية في أنظمة موردينا تقع خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرة إلى المورد وفقُا لسياسة الإفصاح التي ينتهجونها (إن وُجدت). إذا لم تكن متأكدًا إذا ما كان النظام يدخل ضمن النطاق أم لا، فتواصل معنا عبر البريد الإلكتروني vulndisclosure@jll.com.

رغم أنه مسموح لنا بتطوير أنظمة وخدمات أخرى يمكن الوصول إليها عبر الإنترنت، فإننا نطلب أن يقتصر البحث والاختبار النشطيْن على الأنظمة والخدمات التي يشملها نطاق هذه السياسة. في حالة وجود نظام بعينه لا يشمله النطاق وتعتقد أنه بحاجة إلى الاختبار، يرجى التواصل معنا لمناقشة ذلك قبل إجراء أي اختبار. سنقدِّر حدود نطاق هذه السياسة بمرور الوقت.

لن تستخدم المعلومات المقدمة بموجب تلك السياسة سوى للأغراض الدفاعية - للحد من الثغرات الأمنية أو معالجتها. إذا تضمنت النتائج التي توصلت إليها ثغراتٍ أمنية اكتُشفت حديثًا تؤثر على جميع مستخدمي المنتجات أو الخدمات ولا يقتصر تأثيرها على جيه إل إل، يخوّل لنا مشاركة تقريرك مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، وهناك سيتعاملون معه في إطار عملية الإفصاح المنسق عن الثغرات الأمنية. لن نشارك اسمك أو معلومات الاتصال المتعلقة بك دون إذن صريح منك.

نتلقى تقارير الثغرات الأمنية عبر البريد الإلكتروني vulndisclosure@jll.com. يمكن تقديم التقارير دون الإفصاح عن الهوية. إذا شاركت معلومات الاتصال، سنقر باستلام تقريرك خلال 3 أيام عمل.

لا ندعم رسائل البريد الالكتروني المشفرة ببرنامج بي جي بي.

ما ننتظره منك

لمساعدتنا في فرز التقارير المقدمة وترتيبها حسب الأولوية، نوصي بأن تشمل تقاريرك ما يأتي:

  • وصف موقع الثغرة الأمنية المكتشفة والتأثير المحتمل لاستغلالها.
  • وصف مفصل بالخطوات المطلوبة لإعادة إنشاء الثغرة الأمنية (تقديم دليل بالمفاهيم من خلال النصوص أو لقطات الشاشة سيكون مفيدًا).
  • أن تكون باللغة الإنجليزية إن أمكن.
ما تتوقعه منا

باختيارك مشاركة معلومات الاتصال معنا، سنلتزم بالتنسيق معك بأكبر قدر ممكن من الوضوح والسرعة.

  • سنقر باستلام تقريرك خلال 3 أيام عمل.
  • سنعمل قدر استطاعتنا على التأكد من وجود الثغرة الأمنية وسنفصح بأكبر قدر ممكن من الشفافية عن الخطوات التي نتخذها خلال عملية المعالجة، بما في ذلك المشكلات والتحديات التي قد تؤخر الحل.
  • سنحافظ على وجود حوار مفتوح لمناقشة المشكلات.
الاستفسارت

يمكن إرسال الاستفسارات المتعلقة بهذه السياسة عبر البريد الإلكترونيvulndisclosure@jll.com.ندعوك أيضًا للتواصل معنا لتقديم اقتراحات لتطوير هذه السياسة.