Zadnja sprememba: 3. februar 2025
Uvod
Daikin Europe N.V. (»DENV«) je hčerinsko podjetje v popolni lasti japonskega podjetja Daikin Industries, Ltd. Skupina Daikin proizvaja, prodaja, distribuira in trži opremo ter rešitve za klimatizacijo, ogrevanje, prezračevanje in hlajenje skupaj s svojimi podružnicami.
Podjetje Daikin Europe N.V. se skupaj s svojimi podružnicami (v nadaljevanju »skupina Daikin Europe«) zavezuje k zagotavljanju varnosti in celovitosti svojih izdelkov, sistemov, storitev ter aplikacij (v nadaljevanju »sredstva«), kar, med drugim, zagotavlja varstvo podatkov, vključno z osebnimi podatki, in zasebnosti končnih uporabnikov ter preprečuje škodljive vplive na funkcionalnost omrežja ali zlorabe omrežnih virov.
Namen tega pravilnika
Namen tega pravilnika je:
- spodbujati odgovorno razkrivanje morebitnih ranljivosti, odkritih v sredstvih skupine Daikin Europe, in
- vzpostavitev postopka za poročanje o varnostnih težavah skupini Daikin Europe in takojšnje, učinkovito ter z veljavno zakonodajo skladno obravnavanje takih težav.²
Ciljna skupina
Posamezniki, upravičeni do poročanja o ranljivostih, med drugim vključujejo varnostne raziskovalce, končne uporabnike, neodvisne strokovnjake, industrijske partnerje in splošno javnost (v nadaljevanju »poročevalec«). Skupina Daikin Europe priporoča, da v celoti preberete ta pravilnik o razkrivanju ranljivosti, preden prijavite ranljivost, in da vedno delate skladno z njim.
Skupina Daikin Europe ceni prispevke vseh deležnikov pri zagotavljanju varnosti sredstev skupine Daikin Europe. Vendar pa skupina Daikin Europe ne ponuja denarnih nagrad za razkritja ranljivosti.
Področje uporabe
Pravilnik za poročila in razkritja o ranljivostih velja za vsa sredstva, ki bi lahko, če bi bila ogrožena, potencialno škodovala skupini Daikin Europe ali vplivala na njeno poslovanje. To med drugim vključuje vse izdelke, ki jih proizvaja in/ali dobavlja skupina Daikin Europe, in digitalna sredstva, aplikacije drugih ponudnikov ter infrastrukturo IT, ki se uporablja v poslovnem okolju skupine Daikin Europe.
Poročanje
Če odkrijete varnostno ranljivost, skupino Daikin Europe o tem obvestite na naslednjem naslovu: vulnerability@daikineurope.com
Pri poročanju o ranljivosti navedite naslednje informacije:
- Imena modelov ali identifikacijske oznake prizadetih sredstev in/ali informacije, ki omogočajo identifikacijo prizadetih sredstev
- Opis ranljivosti, vključno s tem, kako jo je mogoče prepoznati ali reproducirati
- Možen vpliv ranljivosti
- Koda s primerom koncepta (če je na voljo) ali drugi dokazi za potrebne korake pri reprodukciji ranljivosti
- Podatki za stik prijavitelja (navajanje osebnih podatkov4 ni potrebno)
Potrditev sprejema
Po sprejemu poročila o ranljivosti bo ekipa za odzivanje na ranljivosti v skupini Daikin Europe prijavitelju potrdila sprejem poročila v 7 delovnih dneh.
Potrditev bo zaradi zagotavljanja sledljivosti vključevala sledilno številko ali identifikacijsko oznako. Če so potrebne dodatne informacije za preiskavo prijavljene ranljivosti, bo skupina za odzivanje na ranljivosti to sporočila prijavitelju.
Preiskava
Skupina za odzivanje na ranljivosti skupine Daikin Europe bo znotraj organizacije opravila preiskavo, s katero zagotovi, da so pravilno ocenjeni veljavnost, resnost in obseg vsake prijavljene ranljivosti.
Skupina Daikin Europe se zaveda pomena preglednosti in sodelovanja pri učinkovitem obvladovanju prijavljenih varnostnih ranljivosti. Posledično bo skupina za odzivanje na ranljivosti med celotnim postopkom preiskave poročevalca redno obveščala o svojem napredku, vključno z morebitnimi pomembnimi ugotovitvami ali nadaljnjim razvojem dogodkov.
Rešitev
Če skupina Daikin Europe meni, da je treba odpraviti in rešiti ranljivost s popravkom, spremembo konfiguracije ali drugim sanacijskim ukrepom (»popravek« ali »popravki«) za odpravo ali ublažitev tveganja, bodo skupina Daikin Europe in/ali njeni zunanji dobavitelji pripravili popravke. Popravki bodo zasnovani tako, da rešijo ugotovljeno ranljivost, ne da bi ogrozili funkcionalnost ali uporabnost prizadetih sredstev.
Ko bodo popravki razviti in preizkušeni glede učinkovitosti, bodo razdeljeni po rednih kanalih, kot so posodobitve na daljavo, posodobitve vgrajene programske opreme ali popravki programske opreme, odvisno od narave ranljivosti. Po potrebi bodo poslovni partnerji skupine Daikin Europe, vključno s preprodajalci in monterji, obveščeni o vseh potrebnih ukrepih na svoji strani, kot je pomoč pri distribuciji popravkov končnim uporabnikom ali zagotavljanje navodil za uporabo popravkov.
Po odpravi prijavljenih ranljivosti bo skupina Daikin Europe izvedla post mortem analize za oceno učinkovitosti procesa za odzivanje in opredelitev področij za izboljšave. Izkušnje, pridobljene pri vsakem prizadevanju za odpravo ranljivosti, bodo dokumentirane in vključene v prihodnje postopke za odzivanje za izboljšanje postopka obravnave prijavljenih ranljivosti.
Poročevalec bo obveščen o uvedbi popravkov in morebitnih dodatnih korakih, ki so bili izvedeni za odpravo ranljivosti.
Zaupnost in razkritje prijavljenih ranljivosti
Skupina Daikin Europe je zavezana odgovornemu razkrivanju varnostnih ranljivosti svojim strankam in končnim uporabnikom. Ko bo ranljivost v celoti raziskana, bo skupina Daikin Europe določila ustrezen načrt razkritja, na primer objavo o razpoložljivosti popravkov in navodila, kako jih uporabiti. Ekipa za odzivanje na ranljivost bo poročevalca o tem ustrezno obvestila. Cilj je zagotoviti, da so prizadeti obveščeni o resnih varnostnih tveganjih in dobijo navodila o njihovi odpravi.
Skupina Daikin Europe se zaveda tveganj, neločljivo povezanih s prezgodnjim razkritjem ranljivosti, in zato poročevalcem poudarja, da vsako takšno razkritje, dokler ranljivost ostaja nerazrešena, pomeni veliko varnostno grožnjo zlasti za končne uporabnike prizadetih sredstev.
Prezgodnje razkritje bi lahko olajšalo izkoriščanje ranljivosti s strani zlonamernih subjektov. Zato skupina Daikin Europe zahteva, da poročevalci morebitnih ranljivosti ohranijo strogo zaupnost in nobenih informacij v zvezi z domnevno ranljivostjo ne razkrijejo drugim, razen če jih skupina Daikin Europe za to izrecno pisno pooblasti ali to zahteva zadevna zakonodaja.
Smernice za etične vdore
Česa poročevalec NE SME:
- Nezakonita dejavnost: Izogibajte se vsakršnim dejanjem, ki kršijo zadevne zakone ali predpise.
- Čezmeren dostop do podatkov: Dostop do podatkov omejite na tisto, kar je potrebno za preiskavo.
- Spreminjanje podatkov: Izogibajte se spreminjanju podatkov znotraj sistemov organizacije.
- Porušno preizkušanje: Izogibajte se uporabi orodij, ki bi lahko poškodovala ali motila delovanje sistemov organizacije.
- Napadi za zavrnitev storitve: Naših storitev ne poskušajte preobremeniti ali onemogočiti.
- Moteče obnašanje: Izogibajte se dejanjem, ki bi lahko motila poslovanje organizacije.
- Nepomembne ranljivosti ali ranljivosti, ki jih ni mogoče izkoristiti: Ne poročajte o ranljivostih, ki jih ni mogoče izkoristiti ali so manjše konfiguracijske težave.
- Šibka konfiguracija TLS: Izogibajte se poročanju o ranljivostih, povezanih s šibkimi konfiguracijami TLS, razen če predstavljajo veliko varnostno tveganje.
- Nedovoljena komunikacija: Ranljivosti ne razkrivajte nikomur razen pooblaščeni varnostni ekipi ali po navedenih kanalih.
- Družbeni inženiring ali fizični napadi: Ne poskušajte zavajati ali fizično poškodovati osebja ali infrastrukture organizacije.
- Izsiljevanje: Za razkritje ranljivosti ne zahtevajte plačila.
Kaj poročevalec MORA storiti:
- Zaščita osebnih podatkov: Spoštujte zasebnost uporabnikov in osebja skupine Daikin Europe.
- Varnost podatkov: Vse podatke, pridobljene med raziskovanjem, varno shranite.
- Pravočasno brisanje podatkov: Podatke izbrišite takoj, ko jih ne potrebujete več. V izjemnih okoliščinah, ko je takojšen izbris tehnično nemogoč ali zakonsko omejen (npr. zaradi varnostnih kopij ali zakonskih obveznosti hrambe), je treba podatke izbrisati v enem mesecu po odpravi ranljivosti. Ta enomesečni časovni okvir predstavlja absolutno najdaljše obdobje hrambe in storiti je treba vse, da podatke izbrišete čim prej.