Последна промена на: 3.2.2025
Вовед
Daikin Europe N.V. („DENV“) е во целосна сопственост на јапонската компанија Daikin Industries Ltd. Групацијата Daikin произведува, продава, дистрибуира и извршува маркетинг за опрема за климатизација, греење, вентилација и разладување и за деловни решенија заедно со своите претставништва.
Daikin Europe N.V. заедно со своите претставништва (понатаму именувана како „Групација Daikin Europe“) е посветена да ја загарантира безбедноста и интегритетот на своите производи, системи, услуги и апликации (понатаму именувани како „Производи“) да обезбеди, меѓу другото, заштита на податоците, заедно со личните податоци и приватноста на крајните корисници, како и да го спречи секое лошо влијание врз функционалноста на својата мрежа или злоупотреба на ресурсите мрежата.
Цел на оваа политика
Целта на оваа политика е:
- да се поттикне одговорно откривање на кои било потенцијални ранливости откриени во производите на групацијата Daikin Europe и
- да се воспостави процес за пријавување безбедносни проблеми до групацијата Daikin Europe и истите проблеми да се решаваат брзо, ефикасно и во согласност со важечката легислатива ².
Целна група
Лица што смеат да пријавуваат ранливости, но не и само тие лица, се безбедносни истражувачи, крајни корисници, независни експерти, индустриски партнери и пошироката јавност (понатаму именувани како „Пријавувачи“). Групацијата Daikin Europe препорачува да ја прочитате политиката за откривање ранливости целосно пред да пријавите ранливост и постојано да постапувате според неа.
Групацијата Daikin Europe им заблагодарува за придонесот на сите учесници што ѝ помагаат на групацијата Daikin Europe Group да ја загарантира безбедноста на производите. Сепак, групацијата Daikin Europe не нуди парични награди за откривање на ранливостите.
Делокруг
Оваа политика за пријавување и откривање ранливости важи за сите производи кои, ако се загрозени, можат потенцијално да ѝ наштетат на групацијата Daikin Europe или да влијаат врз нејзиното делување. Ова ги опфаќа, но не се ограничува на сите производи произведени и/или доставени од групацијата Daikin Europe, како и дигитални производи, апликации од трети лица и ИТ-инфраструктура што се користат во деловната околина на групацијата Daikin Europe Group.
Известување
Во случај да се открие безбедносна ранливост, пријавете во групацијата Daikin Europe на следната адреса: vulnerability@daikineurope.com
Кога пријавувате ранливост, наведете ги следните информации:
- Име или идентификатор на модел на загрозениот производ и/или информации со кои ќе може да се идентификува загрозениот производ;
- Опис на ранливоста, заедно со тоа како може да се идентификува или репродуцира;
- Потенцијално влијание на ранливоста;
- Код за доказ за концепт (ако е достапен) или друг доказ што ќе ги прикаже чекорите по кои се репродуцира ранливоста;
- информации за контакт на пријавувачот (нема потреба да се достават личните податоци4).
Потврда за примена пријава
Откако ќе добие пријава за ранливост, тимот за справување со ранливости на групацијата Daikin Europe ќе потврди дека ја добил пријавата до пријавувачот во рок од 7 работни дена.
Потврдата ќе содржи број за следење или идентификатор за референца. Ако се потребни повеќе информации за да се истражи пријавената ранливост, тимот за справување со ранливости ќе стапи во комуникација со пријавувачот.
Истрага
Тимот за справување со ранливост на групацијата Daikin Europe ќе истражи внатре во организацијата дали важноста, сериозноста и делокругот на секоја пријавена ранливост е проценета соодветно.
Групацијата Daikin Europe ја препознава важноста на транспарентноста и соработката при ефикасно справување со пријавените безбедносни ранливости. Последователно, преку истрага, тимот за справување со ранливости ќе го ажурира пријавувачот редовно за напредокот во истрагата, заедно со секој значаен наод или понатамошен развој.
Санација
Ако групацијата Daikin Europe смета дека е потребно да се реагира и да се разреши ранливоста преку привремено решени, смена на конфигурација или друга санациска мерка („поправка“ или „поправки“) за елиминирање или спречување на ризикот, групацијата Daikin Europe и/или нејзините трети добавувачи ќе ги подготват поправките. Поправките ќе бидат дизајнирани за да се справат со идентификуваната ранливост без да наштети на функционалноста или употребливоста на загрозените производи.
Откако ќе се развијат поправките и ќе се тестира нивната ефективност, ќе се распределат преку редовни канали, како на пример безжично ажурирање, ажурирање на фирмверот, подверзии на софтверот, во зависност од природата на ранливоста. Ако е потребно, деловните партнери на групацијата Daikin Europe, како препродавачи или инсталатери, ќе бидат известени за секоја потребна постапка што треба да ја извршат, на пример да помогнат при дистрибуција на подверзии до крајните корисниците или да овозможат упатство за подверзијата на апликацијата.
По санацијата на пријавените ранливости, групацијата Daikin Europe ќе спроведе post-mortem-анализа за да ја процени ефективноста на процесот и да ги идентификува точките за подобрување. Лекциите научени од секоја санација на ранливост ќе бидат документирани и употребени во идни процеси за да се подобри справувањето со пријавените ранливости.
Пријавувачот ќе биде известен за примената на поправките и за сите дополнителни чекори што се преземени за да се избегне ранливоста.
Доверливост и откривање на пријавените ранливости
Групацијата Daikin Europe е посветена на одговорно откривање на безбедносните ранливости кон своите купувачи и крајни корисници. Откако една ранливост ќе се истражи целосно, групацијата Daikin Europe ќе определи соодветен план за откривање, како што се комуникацијата во врска со достапноста на поправките и инструкциите за како да се применат поправките. Тимот за справување со ранливости ќе го извести пријавувачот соодветно. Целта е со сигурност да се известат засегнатите страни за сериозните безбедносни ризици и да се упатат како да ги избегнат.
Групацијата Daikin Europe Group ги признава неизбежните ризици во врска со предвремено откривање ранливости и им нагласува на пријавувачите дека секакво откривање, додека ранливоста е неразјаснета, претставува значителна безбедносна закана, особено за крајните корисници на засегнатите производи.
Предвременото откривање може потенцијално да предизвика експлоатација од страна на злонамерни ентитети. Затоа, групацијата Daikin Europe бара од пријавувачите на потенцијалните ранливости да одржуваат строга доверливост и да не ги откриваат информациите за можната ранливост на трети лица, освен ако не се овластени по писмен начин од страна на групацијата Daikin Europe или ако не се обврзани со закон.
Директиви за етичко хакерство
Што НЕ СМЕЕ да стори пријавувачот:
- Нелегална активност: Да ги избегне сите постапки што ги прекршуваат важечките закони и регулативи.
- Преголем пристап до податоци: Да го ограничи пристапот до податоци што се потребни за истражувањето.
- Измена на податоци: Да се воздржи од изменување податоци во системите на организацијата.
- Деструктивно тестирање: Да не користи алатки што може им наштетат или да ги попречат системите на организацијата.
- Напади за блокирање на услугите: Да не се обидува да ги преоптовари или оневозможи услугите.
- Нарушувачко однесување: Да не врши постапки што може да ја попречат работата на организацијата.
- Тривијални или неексплоатирачки ранливости: Да не пријавува ранливости што не можат да се експлоатираат или претставуваат мал проблем.
- Слаба TLS-конфигурација: Да избегнува да пријавуваат ранливости во врска со слаби TLS-конфигурации освен ако не претставуваат голем безбедносен ризик.
- Неовластена комуникација: Да не открива ранливости никому освен на назначениот безбедносен тим или преку наведените канали.
- Социјален инженеринг или физички напади: Да не се обидува да го мами или физички да го нападне персоналот или инфраструктурата на организацијата.
- Изнудување: Да не бара плаќање за откривање на ранливостите.
Што МОРА да стори пријавувачот:
- Заштита на податоци: Да ја почитува приватноста на корисниците на групацијата Daikin Europe и нејзиниот персонал.
- Безбедност на податоците: Безбедно да ги складира сите податоци добиени за време на истражувањето.
- Навремено бришење на податоците: Да ги избрише податоците веднаш штом нема да бидат потребни повеќе. При посебни околности, каде итното бришење е технички невозможно или законски забрането (на пр., поради создавање резервна копија, законска обврска за чување на податоците), податоците мора да се избришат во рок од еден месец откако ќе се поправи ранливоста. Оваа едномесечна временска рамка претставува апсолутно најголемиот период за зачувување и мора да се преземе секаков чекор за да се избришат податоците што е можно поскоро.