Zasady zgłaszania i ujawniania luk w zabezpieczeniach w Daikin Europe Group

Ostatnia modyfikacja: 03 lutego 2025 r.

Wprowadzenie

Daikin Europe N.V. („DENV”) jest spółką zależną będącą w całości własnością japońskiej spółki Daikin Industries Ltd. Grupa Daikin zajmuje się produkcją, sprzedażą, dystrybucją i działalnością marketingową w zakresie sprzętu do klimatyzacji, ogrzewania, wentylacji i chłodnictwa, a także rozwiązaniami biznesowymi, we współpracy ze swoimi spółkami zależnymi.

Daikin Europe N.V. wraz ze swoimi spółkami zależnymi (zwana dalej „Daikin Europe Group”) zobowiązuje się do zapewnienia bezpieczeństwa i integralności swoich produktów, systemów, usług i aplikacji (zwanych dalej „Aktywami”) w celu zabezpieczenia, między innymi, ochrony danych, w tym danych osobowych, oraz prywatności końcowych użytkowników, jak też zapobiegania negatywnemu wpływowi na funkcjonalność sieci lub niewłaściwemu wykorzystywaniu zasobów sieciowych.

Cele niniejszej polityki

Niniejsza polityka ma na celu:

1. zachęcanie do odpowiedzialnego ujawniania wszelkich potencjalnych zagrożeń bezpieczeństwa wykrytych w aktywach Daikin Europe Group, a także
2. ustanowienie procesu zgłaszania kwestii bezpieczeństwa do Daikin Europe Group oraz szybkiego rozwiązywania tych kwestii w sposób skuteczny i zgodny z obowiązującymi przepisami prawa².

Adresaci

Osoby uprawnione do zgłaszania zagrożeń bezpieczeństwa, między innymi badacze bezpieczeństwa, użytkownicy końcowi, niezależni eksperci, partnerzy branżowi i członkowie społeczeństwa (zwani dalej „Zgłaszającymi”). Daikin Europe Group zaleca zapoznanie się z niniejszą polityką ujawniania luk w zabezpieczeniach przed ich zgłoszeniem i postępowanie zgodnie z tą polityką.

Daikin Europe Group docenia wkład wszystkich zainteresowanych stron w pomoc Daikin Europe Group w zapewnieniu bezpieczeństwa aktywów. Jednakże, Daikin Europe Group nie oferuje nagród pieniężnych za ujawnienie luk w zabezpieczeniach.

Zakres

Niniejsza Polityka zgłaszania i ujawniania luk w zabezpieczeniach dotyczy wszelkich Aktywów, których naruszenie może potencjalnie zaszkodzić Daikin Europe Group Niniejsza Polityka zgłaszania i ujawniania luk w zabezpieczeniach ma zastosowanie do wszelkich Aktywów, których naruszenie mogłoby potencjalnie zaszkodzić Grupie Daikin Europe lub wpłynąć na jej działalność. Obejmuje to między innymi wszystkie produkty wytwarzane i/lub dostarczane przez Daikin Europe Group, a także zasoby cyfrowe, aplikacje stron trzecich oraz infrastrukturę IT wykorzystywaną w środowisku biznesowym Daikin Europe Group.

Raportowanie

W przypadku wykrycia luki w zabezpieczeniach prosimy o zgłoszenie jej do Daikin Europe Group na poniższy adres: vulnerability@daikineurope.com

Zgłaszając luki w zabezpieczeniach, należy podać następujące informacje:

• Nazwa (nazwy) lub identyfikator (identyfikatory) zagrożonych Aktywów i/lub informacje umożliwiające ich identyfikację;
• Opis luk w zabezpieczeniach, w tym sposób, w jaki można je zidentyfikować lub odtworzyć;
• Potencjalne oddziaływanie luk w zabezpieczeniach;
• Kod proof-of-concept (jeśli jest dostępny) lub inne dowody demonstrujące odtworzenia luk w zabezpieczeniach;
• Dane kontaktowe Zgłaszającego (podanie danych osobowych4 nie jest wymagane).

Potwierdzenie otrzymania

Po odebraniu zgłoszenia o luce w zabezpieczeniach Zespół Reagowania na Zagrożenia Bezpieczeństwa Daikin Europe Group potwierdzi otrzymanie zgłoszenia do Zgłaszającego w ciągu 7 dni roboczych.

Potwierdzenie będzie zawierać numer monitorowania lub identyfikator do celów referencyjnych. Jeśli do zbadania zgłoszonej luki w zabezpieczeniach wymagane są dalsze informacje, Zespół Reagowania na Zagrożenia Bezpieczeństwa zakomunikuje to zgłaszającemu.

Dochodzenie

Zespół Reagowania na Zagrożenia Bezpieczeństwa Daikin Europe Group przeprowadzi dochodzenie w ramach organizacji, aby zapewnić, że ważność, dotkliwość i zakres każdej zgłoszonej luki w zabezpieczeniach zostaną odpowiednio ocenione.

Daikin Europe Group uznaje znaczenie przejrzystości i współpracy w skutecznym zarządzaniu zgłoszonymi lukami w zabezpieczeniach. W związku z tym, w trakcie całego procesu dochodzenia, Zespół Reagowania na Zagrożenia Bezpieczeństwa będzie regularnie informował Zgłaszającego o postępach, w tym o wszelkich istotnych ustaleniach lub dalszym rozwoju sytuacji.

Środki zaradcze

Jeśli Daikin Europe Group uzna za konieczne zajęcie się i usunięcie luk w zabezpieczeniach poprzez zastosowanie poprawki, zmiany konfiguracji lub innego środka naprawczego („poprawka” lub „poprawki”) w celu wyeliminowania lub ograniczenia ryzyka, Daikin Europe Group i/lub jej dostawcy zewnętrzni przygotują poprawki. Poprawki zostaną zaprojektowane tak, aby wyeliminować zidentyfikowane luki w zabezpieczeniach, bez uszczerbku dla funkcjonalności lub użyteczności dotkniętych nimi Aktywów.

Gdy poprawki zostaną opracowane i przetestowane pod względem skuteczności, będą dystrybuowane za pośrednictwem regularnych kanałów, takich jak aktualizacje bezprzewodowe, aktualizacje oprogramowania układowego, łatki oprogramowania, w zależności od charakteru zagrożenia. W razie potrzeby partnerzy biznesowi Daikin Europe Group, w tym sprzedawcy i instalatorzy, zostaną poinformowani o wszelkich wymaganych działaniach z ich strony, takich jak pomoc w dystrybucji poprawek do użytkowników końcowych lub udzielanie wskazówek dotyczących zastosowania poprawek.

Po usunięciu zgłoszonych zagrożeń Daikin Europe Group przeprowadzi analizy post-mortem, aby ocenić skuteczność procesu reagowania i zidentyfikować obszary wymagające poprawy. Wnioski wyciągnięte z każdej próby usunięcia zagrożenia zostaną udokumentowane i włączone do przyszłych procedur reagowania w celu usprawnienia procesu obsługi zgłaszanych luk w zabezpieczeniach.

Zgłaszający zostanie poinformowany o wdrożeniu poprawek i wszelkich dodatkowych krokach podjętych w celu złagodzenia zagrożenia.

Poufność i ujawnianie zgłoszonych zagrożeń bezpieczeństwa

Grupa Daikin Europe zobowiązuje się do odpowiedzialnego ujawniania zagrożeń bezpieczeństwa swoim klientom i użytkownikom końcowym. Po pełnym zbadaniu luk w zabezpieczeniach, Daikin Europe Group określi odpowiedni plan ujawniania informacji, taki jak komunikacja dotycząca dostępności poprawek i instrukcje dotyczące ich zastosowania. Zespół Reagowania na Zagrożenia Bezpieczeństwa odpowiednio poinformuje o tym Zgłaszającego. Celem jest zapewnienie informowania zainteresowanych stron o poważnych zagrożeniach bezpieczeństwa i dostarczenie im wskazówek, jak je złagodzić.

Daikin Europe Group potwierdza nieodłączne ryzyko związane z przedwczesnym ujawnianiem luk w zabezpieczeniach, w związku z czym podkreśla, że każde takie ujawnienie, podczas gdy zagrożenie pozostaje nierozwiązane, stanowi poważne naruszenie bezpieczeństwa, w szczególności dla użytkowników końcowych dotkniętych nim Aktywów.

Przedwczesne ujawnienie informacji mogłoby potencjalnie ułatwić ich wykorzystanie przez złośliwe podmioty. Dlatego Daikin Europe Group prosi Zgłaszających potencjalne zagrożenia o zachowanie ścisłej poufności i powstrzymanie się od ujawniania jakichkolwiek informacji dotyczących podejrzewanych luk w zabezpieczeniach stronom trzecim, chyba że Daikin Europe Group wyraźnie zezwoli na to na piśmie lub jest to wymagane przez obowiązujące prawo.

Wytyczne etycznego hakowania

Czego Zgłaszającemu NIE WOLNO robić:

• Działalność niezgodna z prawem: Należy unikać wszelkich działań naruszających obowiązujące przepisy prawa lub regulacje.
• Dostęp do nadmiernej ilości danych: Należy ograniczyć dostęp do danych do zakresu niezbędnego dla badań.
• Modyfikowanie danych: Należy powstrzymać się od modyfikowania jakichkolwiek danych w systemach danej organizacji.
• Testowanie niszczące: Nie wolno używać narzędzi, które mogłyby uszkodzić lub zakłócić działanie systemów danej organizacji.
• Ataki typu odmowa usługi: Nie wolno próbować przeciążania lub wyłączania usług.
• Zachowania zakłócające: Nie wolno podejmować działań, które mogłyby zakłócić działalność organizacji.
• Trywialne lub niemożliwe do wykorzystania luki w zabezpieczeniach: Nie należy zgłaszać luk w zabezpieczeniach, których nie można wykorzystać lub które stanowią drobne problemy z konfiguracją.
• Słaba konfiguracja TLS: Należy unikać zgłaszania luk w zabezpieczeniach związanych ze słabymi konfiguracjami TLS, chyba że stanowią one znaczące zagrożenie dla bezpieczeństwa.
• Nieuprawniona komunikacja: Nie należy ujawniać luk w zabezpieczeniach nikomu poza wyznaczonym zespołem ds. bezpieczeństwa lub za pośrednictwem określonych kanałów.
• Socjotechnika lub ataki fizyczne: Nie wolno próbować oszukiwać ani fizycznie szkodzić personelowi lub infrastrukturze organizacji.
• Wymuszenia: Nie należy żądać zapłaty za ujawnienie luk w zabezpieczeniach.

Co Zgłaszający MUSI robić:

• Ochrona danych osobowych: Szanować prywatność użytkowników i personelu Daikin Europe Group.
• Bezpieczeństwo danych: Bezpiecznie przechowywać wszelkie dane uzyskane podczas badań.
• Usuwanie danych w odpowiednim czasie: Natychmiast usuwać dane, gdy nie są już potrzebne. W wyjątkowych okolicznościach, gdy natychmiastowe usunięcie danych jest technicznie niemożliwe lub prawnie ograniczone (np. z powodu kopii zapasowych, blokad prawnych), dane muszą zostać usunięte w ciągu miesiąca od naprawienia luki w zabezpieczeniach. Ten jednomiesięczny okres stanowi bezwzględnie maksymalny okres przechowywania i należy dołożyć wszelkich starań, aby usunąć dane tak szybko, jak to możliwe.

Uwaga

^{Niniejsza Polityka zgłaszania i ujawniania luk w zabezpieczeniach podlega okresowym przeglądom i może być aktualizowana lub zmieniana w razie potrzeby w celu odzwierciedlenia zmian w technologii, obowiązujących przepisach prawnych lub najlepszych praktykach.}