Ostatnia modyfikacja: 03 lutego 2025 r.
Wprowadzenie
Daikin Europe N.V. („DENV”) jest spółką zależną będącą w całości własnością japońskiej spółki Daikin Industries Ltd. Grupa Daikin zajmuje się produkcją, sprzedażą, dystrybucją i działalnością marketingową w zakresie sprzętu do klimatyzacji, ogrzewania, wentylacji i chłodnictwa, a także rozwiązaniami biznesowymi, we współpracy ze swoimi spółkami zależnymi.
Daikin Europe N.V. wraz ze swoimi spółkami zależnymi (zwana dalej „Daikin Europe Group”) zobowiązuje się do zapewnienia bezpieczeństwa i integralności swoich produktów, systemów, usług i aplikacji (zwanych dalej „Aktywami”) w celu zabezpieczenia, między innymi, ochrony danych, w tym danych osobowych, oraz prywatności końcowych użytkowników, jak też zapobiegania negatywnemu wpływowi na funkcjonalność sieci lub niewłaściwemu wykorzystywaniu zasobów sieciowych.
Cele niniejszej polityki
Niniejsza polityka ma na celu:
- zachęcanie do odpowiedzialnego ujawniania wszelkich potencjalnych zagrożeń bezpieczeństwa wykrytych w aktywach Daikin Europe Group, a także
- ustanowienie procesu zgłaszania kwestii bezpieczeństwa do Daikin Europe Group oraz szybkiego rozwiązywania tych kwestii w sposób skuteczny i zgodny z obowiązującymi przepisami prawa².
Adresaci
Osoby uprawnione do zgłaszania zagrożeń bezpieczeństwa, między innymi badacze bezpieczeństwa, użytkownicy końcowi, niezależni eksperci, partnerzy branżowi i członkowie społeczeństwa (zwani dalej „Zgłaszającymi”). Daikin Europe Group zaleca zapoznanie się z niniejszą polityką ujawniania luk w zabezpieczeniach przed ich zgłoszeniem i postępowanie zgodnie z tą polityką.
Daikin Europe Group docenia wkład wszystkich zainteresowanych stron w pomoc Daikin Europe Group w zapewnieniu bezpieczeństwa aktywów. Jednakże, Daikin Europe Group nie oferuje nagród pieniężnych za ujawnienie luk w zabezpieczeniach.
Zakres
Niniejsza Polityka zgłaszania i ujawniania luk w zabezpieczeniach dotyczy wszelkich Aktywów, których naruszenie może potencjalnie zaszkodzić Daikin Europe Group Niniejsza Polityka zgłaszania i ujawniania luk w zabezpieczeniach ma zastosowanie do wszelkich Aktywów, których naruszenie mogłoby potencjalnie zaszkodzić Grupie Daikin Europe lub wpłynąć na jej działalność. Obejmuje to między innymi wszystkie produkty wytwarzane i/lub dostarczane przez Daikin Europe Group, a także zasoby cyfrowe, aplikacje stron trzecich oraz infrastrukturę IT wykorzystywaną w środowisku biznesowym Daikin Europe Group.
Raportowanie
W przypadku wykrycia luki w zabezpieczeniach prosimy o zgłoszenie jej do Daikin Europe Group na poniższy adres: vulnerability@daikineurope.com
Zgłaszając luki w zabezpieczeniach, należy podać następujące informacje:
- Nazwa (nazwy) lub identyfikator (identyfikatory) zagrożonych Aktywów i/lub informacje umożliwiające ich identyfikację;
- Opis luk w zabezpieczeniach, w tym sposób, w jaki można je zidentyfikować lub odtworzyć;
- Potencjalne oddziaływanie luk w zabezpieczeniach;
- Kod proof-of-concept (jeśli jest dostępny) lub inne dowody demonstrujące odtworzenia luk w zabezpieczeniach;
- Dane kontaktowe Zgłaszającego (podanie danych osobowych4 nie jest wymagane).
Potwierdzenie otrzymania
Po odebraniu zgłoszenia o luce w zabezpieczeniach Zespół Reagowania na Zagrożenia Bezpieczeństwa Daikin Europe Group potwierdzi otrzymanie zgłoszenia do Zgłaszającego w ciągu 7 dni roboczych.
Potwierdzenie będzie zawierać numer monitorowania lub identyfikator do celów referencyjnych. Jeśli do zbadania zgłoszonej luki w zabezpieczeniach wymagane są dalsze informacje, Zespół Reagowania na Zagrożenia Bezpieczeństwa zakomunikuje to zgłaszającemu.
Dochodzenie
Zespół Reagowania na Zagrożenia Bezpieczeństwa Daikin Europe Group przeprowadzi dochodzenie w ramach organizacji, aby zapewnić, że ważność, dotkliwość i zakres każdej zgłoszonej luki w zabezpieczeniach zostaną odpowiednio ocenione.
Daikin Europe Group uznaje znaczenie przejrzystości i współpracy w skutecznym zarządzaniu zgłoszonymi lukami w zabezpieczeniach. W związku z tym, w trakcie całego procesu dochodzenia, Zespół Reagowania na Zagrożenia Bezpieczeństwa będzie regularnie informował Zgłaszającego o postępach, w tym o wszelkich istotnych ustaleniach lub dalszym rozwoju sytuacji.
Środki zaradcze
Jeśli Daikin Europe Group uzna za konieczne zajęcie się i usunięcie luk w zabezpieczeniach poprzez zastosowanie poprawki, zmiany konfiguracji lub innego środka naprawczego („poprawka” lub „poprawki”) w celu wyeliminowania lub ograniczenia ryzyka, Daikin Europe Group i/lub jej dostawcy zewnętrzni przygotują poprawki. Poprawki zostaną zaprojektowane tak, aby wyeliminować zidentyfikowane luki w zabezpieczeniach, bez uszczerbku dla funkcjonalności lub użyteczności dotkniętych nimi Aktywów.
Gdy poprawki zostaną opracowane i przetestowane pod względem skuteczności, będą dystrybuowane za pośrednictwem regularnych kanałów, takich jak aktualizacje bezprzewodowe, aktualizacje oprogramowania układowego, łatki oprogramowania, w zależności od charakteru zagrożenia. W razie potrzeby partnerzy biznesowi Daikin Europe Group, w tym sprzedawcy i instalatorzy, zostaną poinformowani o wszelkich wymaganych działaniach z ich strony, takich jak pomoc w dystrybucji poprawek do użytkowników końcowych lub udzielanie wskazówek dotyczących zastosowania poprawek.
Po usunięciu zgłoszonych zagrożeń Daikin Europe Group przeprowadzi analizy post-mortem, aby ocenić skuteczność procesu reagowania i zidentyfikować obszary wymagające poprawy. Wnioski wyciągnięte z każdej próby usunięcia zagrożenia zostaną udokumentowane i włączone do przyszłych procedur reagowania w celu usprawnienia procesu obsługi zgłaszanych luk w zabezpieczeniach.
Zgłaszający zostanie poinformowany o wdrożeniu poprawek i wszelkich dodatkowych krokach podjętych w celu złagodzenia zagrożenia.
Poufność i ujawnianie zgłoszonych zagrożeń bezpieczeństwa
Grupa Daikin Europe zobowiązuje się do odpowiedzialnego ujawniania zagrożeń bezpieczeństwa swoim klientom i użytkownikom końcowym. Po pełnym zbadaniu luk w zabezpieczeniach, Daikin Europe Group określi odpowiedni plan ujawniania informacji, taki jak komunikacja dotycząca dostępności poprawek i instrukcje dotyczące ich zastosowania. Zespół Reagowania na Zagrożenia Bezpieczeństwa odpowiednio poinformuje o tym Zgłaszającego. Celem jest zapewnienie informowania zainteresowanych stron o poważnych zagrożeniach bezpieczeństwa i dostarczenie im wskazówek, jak je złagodzić.
Daikin Europe Group potwierdza nieodłączne ryzyko związane z przedwczesnym ujawnianiem luk w zabezpieczeniach, w związku z czym podkreśla, że każde takie ujawnienie, podczas gdy zagrożenie pozostaje nierozwiązane, stanowi poważne naruszenie bezpieczeństwa, w szczególności dla użytkowników końcowych dotkniętych nim Aktywów.
Przedwczesne ujawnienie informacji mogłoby potencjalnie ułatwić ich wykorzystanie przez złośliwe podmioty. Dlatego Daikin Europe Group prosi Zgłaszających potencjalne zagrożenia o zachowanie ścisłej poufności i powstrzymanie się od ujawniania jakichkolwiek informacji dotyczących podejrzewanych luk w zabezpieczeniach stronom trzecim, chyba że Daikin Europe Group wyraźnie zezwoli na to na piśmie lub jest to wymagane przez obowiązujące prawo.
Wytyczne etycznego hakowania
Czego Zgłaszającemu NIE WOLNO robić:
- Działalność niezgodna z prawem: Należy unikać wszelkich działań naruszających obowiązujące przepisy prawa lub regulacje.
- Dostęp do nadmiernej ilości danych: Należy ograniczyć dostęp do danych do zakresu niezbędnego dla badań.
- Modyfikowanie danych: Należy powstrzymać się od modyfikowania jakichkolwiek danych w systemach danej organizacji.
- Testowanie niszczące: Nie wolno używać narzędzi, które mogłyby uszkodzić lub zakłócić działanie systemów danej organizacji.
- Ataki typu odmowa usługi: Nie wolno próbować przeciążania lub wyłączania usług.
- Zachowania zakłócające: Nie wolno podejmować działań, które mogłyby zakłócić działalność organizacji.
- Trywialne lub niemożliwe do wykorzystania luki w zabezpieczeniach: Nie należy zgłaszać luk w zabezpieczeniach, których nie można wykorzystać lub które stanowią drobne problemy z konfiguracją.
- Słaba konfiguracja TLS: Należy unikać zgłaszania luk w zabezpieczeniach związanych ze słabymi konfiguracjami TLS, chyba że stanowią one znaczące zagrożenie dla bezpieczeństwa.
- Nieuprawniona komunikacja: Nie należy ujawniać luk w zabezpieczeniach nikomu poza wyznaczonym zespołem ds. bezpieczeństwa lub za pośrednictwem określonych kanałów.
- Socjotechnika lub ataki fizyczne: Nie wolno próbować oszukiwać ani fizycznie szkodzić personelowi lub infrastrukturze organizacji.
- Wymuszenia: Nie należy żądać zapłaty za ujawnienie luk w zabezpieczeniach.
Co Zgłaszający MUSI robić:
- Ochrona danych osobowych: Szanować prywatność użytkowników i personelu Daikin Europe Group.
- Bezpieczeństwo danych: Bezpiecznie przechowywać wszelkie dane uzyskane podczas badań.
- Usuwanie danych w odpowiednim czasie: Natychmiast usuwać dane, gdy nie są już potrzebne. W wyjątkowych okolicznościach, gdy natychmiastowe usunięcie danych jest technicznie niemożliwe lub prawnie ograniczone (np. z powodu kopii zapasowych, blokad prawnych), dane muszą zostać usunięte w ciągu miesiąca od naprawienia luki w zabezpieczeniach. Ten jednomiesięczny okres stanowi bezwzględnie maksymalny okres przechowywania i należy dołożyć wszelkich starań, aby usunąć dane tak szybko, jak to możliwe.