Skip to main content

Politika poročanja in razkritja ranljivosti skupine Daikin Europe

Zadnja sprememba: 03. februar 2025

Uvod

Daikin Europe N.V. ("DENV") je v 100-odstotni lasti japonske družbe Daikin Industries Ltd. Skupina Daikin proizvaja, prodaja, distribuira in trži opremo in rešitve za klimatizacijo, ogrevanje, prezračevanje in hlajenje skupaj s svojimi podružnicami.

Daikin Europe N.V., skupaj s svojimi podružnicami (v nadaljevanju »Skupina Daikin Europe«), je zavezana k zagotavljanju varnosti in celovitosti svojih izdelkov, sistemov, storitev in aplikacij (v nadaljevanju »Sredstva«), da bi zaščitila med drugim podatke, vključno z osebnimi podatki, zasebnost končnih uporabnikov ter preprečila negativne vplive na delovanje omrežja ali zlorabo svojih virov.

Namen te politike

Namen te politike je:

  • spodbujati odgovorno razkritje morebitnih ranljivosti, odkritih v Sredstvih Skupine Daikin Europe, in

  • vzpostaviti postopek za prijavo varnostnih težav Skupini Daikin Europe ter njihovo pravočasno, učinkovito in skladno z veljavnimi zakoni reševanje.

Ciljna publika

Pravico za prijavo ranljivosti imajo posamezniki, vključno z (a ne omejeno na) varnostne raziskovalce, končne uporabnike, neodvisne strokovnjake, industrijske partnerje in člane javnosti (v nadaljevanju »Prijavitelj«). Skupina Daikin Europe priporoča, da Prijavitelj pred prijavo ranljivosti natančno prebere to politiko in jo upošteva pri prijavi.

Skupina Daikin Europe ceni prispevke vseh deležnikov, ki pomagajo zagotavljati varnost Sredstev, vendar za prijavo ranljivosti ne ponuja finančnih nagrad.

Obseg

Ta Politika prijave in razkritja ranljivosti se nanaša na vsa Sredstva, ki bi lahko ob morebitni ogroženosti povzročila škodo Skupini Daikin Europe ali vplivala na njeno poslovanje. To vključuje, vendar ni omejeno na, vse izdelke, ki jih proizvaja in/ali dobavlja Skupina Daikin Europe, pa tudi digitalna sredstva, aplikacije tretjih oseb in informacijsko infrastrukturo, ki se uporablja pri poslovanju Skupine Daikin Europe.

Prijava

Če odkrijete varnostno ranljivost, jo prosimo prijavite Skupini Daikin Europe na naslednji naslov:
vulnerability@daikineurope.com

Pri prijavi ranljivosti prosimo, da zagotovite naslednje informacije:

  • Ime modela ali identifikator prizadetih Sredstev in/ali informacije, ki omogočajo identifikacijo prizadetih Sredstev;

  • Opis ranljivosti, vključno z informacijami, kako jo je mogoče zaznati ali reproducirati;

  • Potencialni vpliv ranljivosti;

  • Dokaz koncepta (če je na voljo) ali drug dokaz s koraki za reprodukcijo ranljivosti;

  • Kontaktne podatke Prijavitelja (posredovanje osebnih podatkov ni obvezno).

Potrditev prejema

Po prejemu prijave o ranljivosti bo Ekipa za odziv na ranljivosti Skupine Daikin Europe Prijavitelju v roku 7 delovnih dni poslala potrditev prejema.

Potrditev bo vsebovala referenčno številko ali identifikator za nadaljnjo komunikacijo. Če bodo za raziskavo prijavljene ranljivosti potrebne dodatne informacije, bo Ekipa za odziv o tem obvestila Prijavitelja.

Preiskava

Ekipa za odziv na ranljivosti Skupine Daikin Europe bo izvedla preiskavo, da ustrezno oceni veljavnost, resnost in obseg vsake prijavljene ranljivosti.

Skupina Daikin Europe prepoznava pomen preglednosti in sodelovanja pri učinkovitem obravnavanju prijavljenih varnostnih ranljivosti. Med postopkom preiskave bo Ekipa Prijavitelju redno posredovala posodobitve o stanju primera, vključno s ključnimi ugotovitvami ali nadaljnjim razvojem situacije.

Odprava

Če Skupina Daikin Europe oceni, da je ranljivost treba odpraviti z izdajo popravka, spremembo konfiguracije ali drugimi ukrepi (v nadaljevanju »popravek«), bo Skupina Daikin Europe in/ali njeni dobavitelji pripravili ustrezne popravke.

Popravki bodo zasnovani tako, da odpravijo ugotovljeno ranljivost brez ogrožanja funkcionalnosti ali uporabnosti prizadetih Sredstev. Po razvoju in testiranju bodo popravki distribuirani prek običajnih kanalov, kot so OTA posodobitve, posodobitve vdelane programske opreme ali programski popravki, odvisno od narave ranljivosti.

Po potrebi bodo poslovni partnerji Skupine Daikin Europe, vključno z distributerji in monterji, obveščeni o potrebnih ukrepih, kot so pomoč pri distribuciji popravkov ali navodila za njihovo uporabo.

Po odpravi ranljivosti bo Skupina Daikin Europe izvedla analizo za oceno učinkovitosti procesa odzivanja in identificirala področja za izboljšave. Pridobljene izkušnje bodo dokumentirane in vključene v prihodnje postopke za izboljšanje procesa upravljanja prijavljenih ranljivosti.

Prijavitelj bo obveščen o izvedenih popravkih in nadaljnjih korakih.

Zaupnost in razkritje prijavljenih ranljivosti

Skupina Daikin Europe je zavezana odgovornemu razkritju varnostnih ranljivosti svojim strankam in končnim uporabnikom. Po zaključeni preiskavi bo Skupina Daikin Europe določila ustrezen načrt razkritja, vključno s komunikacijo o razpoložljivosti popravkov in navodili za njihovo uporabo. Ekipa za odziv bo ustrezno obvestila Prijavitelja.

Predčasno razkritje lahko omogoči zlonamernim akterjem zlorabo ranljivosti. Zato Skupina Daikin Europe zahteva, da Prijavitelj strogo varuje zaupnost informacij in jih ne razkrije tretjim osebam, razen če Skupina Daikin Europe izrecno pisno odobri razkritje ali če to zahteva veljavna zakonodaja.

Smernice za etični hacking

Česa Prijavitelj NE SME početi:

  • Nezakonite dejavnosti: Izogibajte se dejavnostim, ki kršijo zakonodajo in predpise.

  • Prekomeren dostop do podatkov: Dostopajte samo do podatkov, ki so nujno potrebni za preiskavo.

  • Spreminjanje podatkov: Ne spreminjajte podatkov v sistemih organizacije.

  • Destruktivno testiranje: Ne uporabljajte orodij, ki lahko poškodujejo ali motijo sisteme.

  • DoS napadi: Ne poskušajte preobremeniti ali onemogočiti storitev.

  • Motenje poslovanja: Ne izvajajte dejavnosti, ki bi motile delovanje organizacije.

  • Trivialne ranljivosti: Ne prijavljajte ranljivosti, ki niso izkoriščljive ali so nepomembne.

  • Slabe TLS konfiguracije: Ne prijavljajte razen, če predstavljajo pomembno tveganje.

  • Neavtorizirana komunikacija: Ne razkrivajte ranljivosti drugim razen ekipi za odziv.

  • Socialni inženiring in fizični napadi: Ne izvajajte prevar ali fizičnih napadov.

  • Izsiljevanje: Ne zahtevajte plačila za razkritje informacij.

Kaj mora Prijavitelj storiti:

  • Varovanje podatkov: Spoštujte zasebnost uporabnikov in zaposlenih.

  • Varnost podatkov: Varno shranjujte pridobljene podatke.

  • Pravočasno brisanje: Izbrišite podatke takoj, ko niso več potrebni, najkasneje v enem mesecu po obravnavi ranljivosti, razen če brisanje ni tehnično izvedljivo ali pravno omejeno.

Obvestilo

Ta Politika prijave in razkritja ranljivosti se redno pregleduje in se lahko po potrebi posodobi, da odraža spremembe tehnologije, veljavne zakonodaje ali najboljših praks.