Skip to main content

Политика за пријавување и откривање на ранливости

Последна измена на: 03 февруари 2025 година

Вовед

Daikin Europe N.V. („DENV“) е во целосна сопственост на јапонската компанија Daikin Industries Ltd. Daikin Group произведува, продава, дистрибуира и врши маркетинг на опрема и решенија за климатизација, греење, вентилација и ладење, заедно со своите подружници.

Daikin Europe N.V., заедно со своите подружници (во понатамошниот текст „Daikin Europe Group“), е посветена на обезбедување на сигурноста и интегритетот на своите производи, системи, услуги и апликации (во понатамошниот текст „Средства“) со цел да се заштитат, меѓу другото, податоците, вклучително и личните податоци, приватноста на крајните корисници, како и да се спречи негативно влијание врз функционалноста на мрежата или злоупотреба на нејзините ресурси.

Цел на оваа политика

Целта на оваа политика е да:

  • го поттикне одговорното пријавување на потенцијални ранливости откриени во Средствата на Daikin Europe Group, и

  • воспостави процес за пријавување на безбедносни проблеми до Daikin Europe Group и нивно навремено, ефективно и согласно важечките закони решавање.

Целна публика

Лица кои имаат право да пријавуваат ранливости вклучуваат, но не се ограничени на, безбедносни истражувачи, крајни корисници, независни експерти, индустриски партнери и членови на јавноста (во понатамошниот текст „Пријавувач“). Daikin Europe Group препорачува целосно читање на оваа политика пред пријавување на ранливост и постапување во согласност со неа.

Daikin Europe Group ја цени придонесот на сите засегнати страни во помагањето на обезбедување на сигурноста на Средствата, но не нуди финансиски награди за пријавување на ранливости.

Опфат

Оваа Политика за пријавување и обелоденување на ранливости се однесува на сите Средства кои, доколку бидат компромитирани, би можеле потенцијално да и наштетат на Daikin Europe Group или да влијаат на нејзиното работење. Ова вклучува, но не е ограничено на, сите производи произведени и/или испорачани од Daikin Europe Group, како и дигитални средства, апликации од трети страни и ИТ инфраструктура користена во деловното работење на Daikin Europe Group.

Пријавување

Во случај на откривање на безбедносна ранливост, ве молиме да ја пријавите до Daikin Europe Group на следната адреса:
vulnerability@daikineurope.com

При пријавување на ранливост, ве молиме да ги наведете следните информации:

  • Име на модел или идентификатор на погодените Средства и/или информации кои овозможуваат идентификација на погодените Средства;

  • Опис на ранливоста, вклучително како може да се идентификува или репродуцира;

  • Потенцијално влијание на ранливоста;

  • Proof-of-concept код (доколку е достапен) или друг доказ со чекори за репродукција на ранливоста;

  • Контакт информации на Пријавувачот (не е задолжително доставување лични податоци).

Потврда за прием

По приемот на пријава за ранливост, Тимот за одговор на ранливости на Daikin Europe Group ќе испрати потврда до Пријавувачот во рок од 7 работни дена.

Потврдата ќе содржи број за следење или идентификатор за референтни цели. Доколку се потребни дополнителни информации за истражување на пријавената ранливост, Тимот за одговор ќе го извести Пријавувачот.

Истражување

Тимот за одговор на ранливости на Daikin Europe Group ќе спроведе истражување за правилно оценување на валидноста, сериозноста и опфатот на секоја пријавена ранливост.

Daikin Europe Group ја препознава важноста на транспарентноста и соработката во ефективно управување со пријавените безбедносни ранливости. Затоа, во текот на процесот на истражување, Тимот ќе обезбедува редовни ажурирања до Пријавувачот за статусот, вклучително со значајни наоди или понатамошни развои.

Решавање

Ако Daikin Europe Group смета дека е неопходно решавање на ранливост преку примена на закрпа, промена на конфигурација или друга мерка за решавање (во понатамошниот текст „поправка“), Daikin Europe Group и/или нејзините добавувачи ќе подготват соодветни поправки.

Поправките ќе бидат дизајнирани за решавање на идентификуваната ранливост без да се наруши функционалноста или употребливоста на погодените Средства. Откако ќе бидат развиени и тестирани, тие ќе бидат дистрибуирани преку редовните канали, како преку OTA ажурирања, ажурирања на фирмвер, закрпи на софтвер, во зависност од природата на ранливоста.

Доколку е потребно, деловните партнери на Daikin Europe Group, вклучително и дистрибутери и инсталатори, ќе бидат информирани за потребните активности, како што е помош при дистрибуција на закрпи или водење за нивна примена.

По решавањето на ранливостите, Daikin Europe Group ќе спроведе анализа за проценка на ефикасноста на процесот на одговор и идентификација на области за подобрување. Секое искуство ќе биде документирано и инкорпорирано во идните процедури за подобрување на процесот на управување со пријавените ранливости.

Пријавувачот ќе биде информиран за примената на поправките и дополнителните преземени чекори.

Доверливост и обелоденување на пријавените ранливости

Daikin Europe Group е посветена на одговорно обелоденување на безбедносните ранливости кон своите клиенти и крајни корисници. По целосното истражување, Daikin Europe Group ќе одреди соодветен план за обелоденување, како што е комуникација за достапноста на поправките и инструкции за нивна примена. Тимот за одговор ќе го информира Пријавувачот соодветно.

Прераното обелоденување може да овозможи експлоатација од страна на злонамерни страни. Затоа, Daikin Europe Group бара од Пријавувачите да одржуваат строга доверливост и да не обелоденуваат никакви информации за сомнителната ранливост на трети страни, освен ако не е изречно дозволено во писмена форма од Daikin Europe Group или наложено со важечки закон.

Насоки за етичко хакирање

Што НЕ СМЕЕ да направи Пријавувачот:

  • Незаконска активност: Избегнувајте активности што кршат закони и прописи.

  • Прекумерен пристап до податоци: Ограничете го пристапот само на она што е потребно за истражување.

  • Модификација на податоци: Не менувајте податоци во системите на организацијата.

  • Деструктивно тестирање: Не користете алатки што можат да оштетат или нарушат системи.

  • DoS напади: Не обидувајте се да ги преоптоварите или оневозможите услугите.

  • Деструктивно однесување: Избегнувајте активности што ја нарушуваат работата на организацијата.

  • Тривијални ранливости: Не пријавувајте ранливости што не можат да се експлоатираат или се минорни.

  • Слаба TLS конфигурација: Не пријавувајте освен ако не претставува значителен ризик.

  • Неовластена комуникација: Не обелоденувајте ранливости на лица освен назначениот тим.

  • Социјален инженеринг или физички напади: Не обидувајте се да измамите или физички да наштетите.

  • Уцена: Не барајте плаќање за обелоденување.

Што МОРА да направи Пријавувачот:

  • Заштита на податоци: Почитувајте ја приватноста на корисниците и вработените.

  • Безбедност на податоци: Безбедно чувајте ги добиените податоци.

  • Навремено бришење: Избришете ги податоците веднаш кога повеќе не се потребни, најдоцна во рок од еден месец по решавањето на ранливоста, освен ако бришењето е технички невозможно или правно ограничено.

Известување

Оваа Политика за пријавување и обелоденување на ранливости е предмет на периодичен преглед и може да се ажурира по потреба за да се одразат промените во технологијата, применливите закони или најдобрите практики.