Politica privind raportarea și divulgarea vulnerabilităților din cadrul Daikin Europe Group

Ultima modificare la: 3 februarie 2025

Introducere

Daikin Europe N.V. („DENV”) este o sucursală a cărei acțiuni sunt deținute de compania japoneză Daikin Industries Ltd. Daikin Group produce, vinde, distribuie și realizează marketing pentru echipamentele de climatizare, încălzire, ventilare și refrigerare și soluții pentru afaceri, împreună cu subsidiarele sale.

Daikin Europe N.V. împreună cu filialele sale (denumite în continuare „Daikin Europe Group”) se angajează să asigure securitatea și integritatea produselor, sistemelor, serviciilor și aplicațiilor sale (denumite în continuare „Active”) pentru a garanta, printre altele, protecția datelor, inclusiv a datelor cu caracter personal și a confidențialității utilizatorilor finali, precum și prevenirea oricărui impact negativ asupra funcționalității rețelei sau a utilizării greșite a resurselor rețelei.

Scopul prezentei politice

Scopul prezentei politice este:

1. de a încuraja divulgarea responsabilă a oricăror potențiale vulnerabilități descoperite în activele Daikin Europe Group,
2. de a stabili un proces de raportare a problemelor de securitate la Daikin Europe Group, și de a aborda astfel de probleme prompt, eficient și în conformitate cu legislația aplicabilă².

Publicul țintă

Persoanele eligibile să raporteze vulnerabilități includ, dar nu se limitează la cercetători în domeniul securității, utilizatori finali, experți independenți, parteneri din industrie și membri ai publicului larg (denumite în continuare „Raportor”). Daikin Europe Group recomandă să citiți în întregime această politică de divulgare a vulnerabilităților înainte de a raporta o vulnerabilitate și să acționați întotdeauna în conformitate cu aceasta.

Daikin Europe Group apreciază contribuțiile tuturor părților interesate în a ajuta Daikin Europe Group să asigure securitatea Activelor. Cu toate acestea, Daikin Europe Group nu oferă recompense monetare pentru dezvăluirea vulnerabilităților.

Scopul

Prezenta Politică privind raportarea și divulgarea vulnerabilităților se aplicî oricărui capital care, în cazul în care este compromis, ar putea dăuna Daikin Europe Group sau ar putea avea un impact asupra operațiunilor sale. Aceasta include, dar nu se limitează la toate produsele fabricate și/sau furnizate de Daikin Europe Group, precum și activele digitale, aplicațiile terților și infrastructura IT utilizate în mediul de afaceri al Daikin Europe Group.

Raportare

În cazul în care descoperiți o vulnerabilitate de securitate, trimiteți-o în atenția Daikin Europe Group la următoarea adresă: vulnerability@daikineurope.com

Pentru raportarea unei vulnerabilități, furnizați următoarele informații:

• Numele modelului sau identificatorul activelor afectate și/sau informații care să permită identificarea acestora;
• descrierea vulnerabilității, inclusiv modul în care aceasta poate fi identificată sau reprodusă;
• impactul potențial al vulnerabilității;
• codul „proof-of-concept” (dacă este disponibil) sau alte dovezi care demonstrează pașii de reproducere a vulnerabilității;
• informațiile de contact ale Raportorului (furnizarea datelor cu caracter personal4 nu este obligatorie).

Confirmare

La primirea unui raport de vulnerabilitate, echipa de răspuns în caz de vulnerabilități din cadrul Daikin Europe Group va confirma Raportorului primirea raportului într-un interval de 7 zile lucrătoare.

Confirmarea va include un număr de urmărire sau un identificator, în scopuri de referință. Dacă sunt necesare informații suplimentare pentru a continua investigarea vulnerabilității raportate, Echipa de răspuns va comunica acest lucru Raportorului.

Investigare

Echipa va investiga în cadrul organizației pentru a evalua corect validitatea, gravitatea și sfera fiecărei vulnerabilități raportate.

Daikin Europe Group recunoaște importanța transparenței și a colaborării pentru o gestionare eficientă a vulnerabilităților de securitate. Astfel, pe parcursul procesului de investigare, echipa va furniza Raportorului actualizări periodice cu privire la stadiul investigației, inclusiv eventuale constatări semnificative sau evoluții relevante

Remediere

În cazul în care Daikin Europe Group consideră ca fiind necesară adresarea și soluționarea unei vulnerabilități prin aplicarea unui instrument de corecție, modificări de configurație sau altă măsură de remediere (o „corecție” sau „corecții”) pentru a elimina sau reduce riscul, Daikin Europe Group și/sau furnizorii săi terți vor pregăti corecțiile. Corecțiile vor fi dezvoltate astfel încât să remedieze vulnerabilitatea identificată fără a compromite funcționalitatea sau ușurința de utilizare a Activelor afectate.

Odată finalizate și testate din punctul de vedere al eficacității, corecțiile vor fi distribuite prin canalele standard – precum actualizări over-the-air, actualizări de firmware sau patch-uri software – în funcție de natura vulnerabilității. Dacă este necesar, partenerii de afaceri ai Daikin Europe Group, inclusiv resellerii și instalatorii, vor fi informați cu privire la acțiunile necesare din partea lor, precum sprijinirea distribuției corecțiilor către utilizatorii finali sau oferirea de îndrumări pentru aplicarea acestora.

După implementarea măsurilor de remediere, Daikin Europe Group va desfășura analize postmortem pentru a evalua eficiența procesului de răspuns și pentru a identifica posibile direcții de îmbunătățire. Concluziile extrase în urma fiecărui proces de remediere vor fi documentate și integrate în procedurile viitoare, pentru a optimiza modul în care sunt gestionate vulnerabilitățile raportate.

Persoana care a raportat vulnerabilitatea va fi informată în legătură cu implementarea corecțiilor și eventualele măsuri suplimentare adoptate pentru a reduce riscurile.

Confidențialitatea și divulgarea vulnerabilităților raportate

Daikin Europe Group își asumă angajamentul de a comunica în mod responsabil vulnerabilitățile de securitate către clienți și utilizatorii finali. După finalizarea investigației asupra unei vulnerabilități, Daikin Europe Group va decide un plan adecvat de comunicare, ce poate include notificarea cu privire la disponibilitatea corecțiilor și instrucțiuni privind modul de aplicare a acestora. Echipa va informa Raportorul în consecință. Scopul este de a asigura că toate părțile afectate sunt corect informate în legătură cu eventualele riscuri majore de securitate și primesc recomandări clare privind modul de a le atenua.

Daikin Europe Group recunoaște riscurile asociate cu divulgarea prematură a vulnerabilităților și subliniază faptul că orice astfel de acțiune, cât timp vulnerabilitatea nu a fost remediată, poate reprezenta o amenințare serioasă la adresa securității, în special pentru utilizatorii finali ai sistemelor afectate.

Divulgarea prematură ar putea facilita exploatarea de către entitățile rău intenționate. Prin urmare, Daikin Europe Group solicită ca persoanele care raportează posibile vulnerabilități să păstreze confidențialitatea și să nu comunice informații legate de acestea către terți, decât în cazul în care există o aprobare scrisă din partea Daikin Europe Group sau obligația este impusă de legislația în vigoare.

Ghid de hacking etic

Ce NU TREBUIE să facă un Raportor:

• Activitate ilegală: Evitați orice acțiuni care încalcă legile sau reglementările aplicabile.
• Acces excesiv la date: Limitați accesul la date la ceea ce este necesar pentru cercetare.
• Modificarea datelor: Abțineți-vă de la modificarea oricăror date din sistemele organizației.
• Testare distructivă: Evitați utilizarea instrumentelor care ar putea deteriora sau perturba sistemele organizației.
• Atacuri de refuz al serviciului: Nu încercați să supraîncărcați sau să dezactivați serviciile.
• Comportament perturbator: Abțineți-vă de la acțiuni care ar putea interfera cu operațiunile organizației.
• Vulnerabilități nesemnificative sau neexploatabile: Nu raportați vulnerabilități care nu pot fi exploatate sau care se referă doar la mici erori de configurare.
• Configurare TLS slabă: Evitați raportarea configurațiilor TLS slabe, cu excepția cazurilor în care acestea prezintă un risc real pentru securitate.
• Comunicare neautorizată: Nu comunicați informații despre vulnerabilități în afara echipei de securitate desemnate sau prin alte canale decât cele aprobate.
• Inginerie socială sau atacuri fizice: Nu încercați să păcăliți sau să răniți fizic personalul ori infrastructura organizației.
• Extorsiune: Nu solicitați recompense financiare pentru divulgarea unei vulnerabilități.

Ce TREBUIE să facă un Raportor:

• Protecția datelor: Respectați confidențialitatea utilizatorilor și personalului Daikin Europe Group.
• Securitatea datelor: Stocați în siguranță toate datele obținute în timpul cercetării.
• Ștergerea promptă a datelor: Ștergeți datele imediat, de îndată ce nu mai sunt necesare. În circumstanțe excepționale, în care ștergerea imediată este tehnic imposibilă sau restricționată legal (de exemplu, din cauza copiilor de rezervă, a obligațiilor legale), datele trebuie șterse în termen de o lună de la remedierea vulnerabilității. Acest interval de timp de o lună reprezintă perioada maximă absolută de păstrare, iar toate eforturile trebuie depuse pentru ca ștergerea să aibă loc cât mai curând posibil.

Notă

^{Prezenta Politică de raportare și divulgare a vulnerabilităților este supusă revizuirii periodice și poate fi actualizată sau modificată, dacă este necesar, pentru a reflecta schimbările în tehnologie, modificările legislative sau cele mai bune practici în domeniu.}