Posljednja izmjena: 03. veljače 2025.
Uvod
Daikin Europe N.V. („DENV“) je podružnica u potpunom vlasništvu japanske tvrtke Daikin Industries Ltd. Daikin Grupa proizvodi, prodaje, distribuira i provodi tržišnu opremu i rješenja za klimatizaciju, grijanje, ventilaciju i hlađenje, zajedno sa svojim podružnicama.
Daikin Europe N.V. u suradnji sa svojim podružnicama (u daljnjem tekstu „Daikin Europe grupa”) predana je jamčenju sigurnosti i integriteta svojih proizvoda, sustava, usluga i aplikacija (u daljnjem tekstu „resursi”) kako bi se, između ostalog, pružila zaštita podataka, uključujući osobne podatke, kao i zaštita privatnosti krajnjih korisnika te spriječili svi negativni utjecaji na funkciju mreže ili zloupotreba mrežnih resursa.
Svrha ovog pravilnika
Pravilnik ima sljedeću svrhu:
- Potaknuti odgovorno prijavljivanje svih potencijalnih ranjivosti otkrivenih na resursima Daikin Europe grupe.
- Uspostaviti postupak za prijavu sigurnosnih problema Daikin Europe grupi te osigurati brzo i učinkovito otklanjanje takvih problema u skladu s mjerodavnim zakonodavstvom².
Ciljna publika
Korisnici koji ispunjavaju uvjete za prijavu ranjivosti uključuju, ali nisu ograničeni na sigurnosne istraživače, krajnje korisnike, neovisne stručnjake, industrijske partnere i opću javnost (u daljnjem tekstu „prijavitelj”). Daikin Europe grupa preporučuje da se ova pravila o prijavi ranjivosti pročitaju u cijelosti prije nego što se prijavi ranjivost te da se uvijek postupa u skladu s njima.
Daikin Europe grupa cijeni doprinose svih dionika kojima pomažu da Daikin Europe grupa zajamči sigurnost svojih resursa. Međutim, Daikin Europe grupa ne nudi novčane nagrade za otkrivanje ranjivosti.
Opseg
Ova Politika izvještavanja i otkrivanja ranjivosti primjenjuje se na svu imovinu koja bi, ako bude ugrožena, mogla potencijalno naštetiti Daikin Europe grupi ili utjecati na njezino poslovanje. To uključuje, ali nije ograničeno na proizvode koje Daikin Europe grupa proizvede i/ili isporuči, kao i digitalne resurse, aplikacije trećih strana te IT infrastrukturu koja se upotrebljava unutar poslovnog okruženja Daikin Europe grupe.
Izvješćivanje
U slučaju otkrivanja sigurnosne ranjivosti, molimo vas da je prijavite Daikin Europe grupi korištenjem sljedeće adrese: vulnerability@daikineurope.com
Tijekom prijavljivanja ranjivosti potrebno je navesti sljedeće informacije:
- Naziv(e) modela ili identifikator(e) pogođenih resursa i/ili informacije na temelju kojih je moguće identificirati resurse.
- Opis ranjivosti, uključujući informacije o tome kako se može identificirati ili reproducirati.
- Potencijalni utjecaj ranjivosti.
- Šifru o dokazu koncepta (ako je dostupna) ili druge dokaze koji predočavaju korake kako reproducirati ranjivost.
- kontaktni podaci prijavitelja (pružanje osobnih podataka nije potrebno).
Potvrda o primitku
Po primitku izvješća o ranjivosti, Tim za odgovor na ranjivosti Daikin Europe grupa potvrdit će primitak izvješća prijavitelju u roku od 7 radnih dana.
Potvrda će sadržavati broj za praćenje ili identifikator u referentne svrhe. Ako su potrebne dodatne informacije za istraživanje prijavljene ranjivosti, tim za odgovor na ranjivosti obavijestit će prijavitelja o tome.
Istraga
Tim za odgovor na ranjivosti Daikin Europe grupe provest će istragu unutar organizacije kako bi se pravilno procijenili valjanost, ozbiljnost i opseg svake prijavljene ranjivosti.
Daikin Europe grupa prepoznaje važnost transparentnosti i suradnje u okviru učinkovita upravljanja prijavljenim sigurnosnim ranjivostima. U skladu s time, tijekom postupka istrage tim za odgovor na ranjivosti redovito će izvješćivati prijavitelja o statusu njegova napretka, kao i o svim važnim pronalascima ili daljnjim razvojima.
Ispravak
Ako Daikin Europe grupa smatra potrebnim riješiti ranjivost primjenom zakrpe, promjene konfiguracije ili druge mjere sanacije („popravak“ ili „popravci“) kako bi se uklonio ili ublažio rizik, Daikin Europe grupa i/ili njezini vanjski dobavljači pripremit će popravke. Popravci će biti izvedeni tako da otklone identificiranu ranjivost bez kompromitiranja funkcije ni mogućnosti upotrebe pogođenih resursa.
Nakon što se popravci razviju te se ispita njihova učinkovitost, bit će, ovisno o prirodi ranjivosti, distribuirani putem uobičajenih kanala, kao što su bežična ažuriranja, ažuriranja firmvera i softverske zakrpe. Ako je potrebno, poslovni partneri Daikin Europe grupe, uključujući trgovce i instalatere, bit će obaviješteni o svim potrebnim radnjama koje moraju provesti, kao što je pomoć u distribuciji zakrpi krajnjim korisnicima ili pružanje informacija o primjeni zakrpe.
Nakon provedbe ispravka prijavljenih ranjivosti, Daikin Europe grupa provest će post-mortem analize radi procjene učinkovitosti postupka odgovora i identifikacije područja za poboljšanje. Lekcije koje se nauče na temelju svakog postupka ispravka ranjivosti bit će dokumentirane i uvrštene u buduće postupke odgovora kako bi se poboljšao postupak rješavanja prijavljenih ranjivosti.
Prijavitelji će biti obaviješteni o provedbi popravaka i svim daljnjim koracima koji su poduzeti za ublažavanje ranjivosti.
Povjerljivost i objavljivanje prijavljenih ranjivosti
Daikin Europe grupa predana je odgovornom objavljivanju sigurnosnih ranjivosti svojim klijentima i krajnjim korisnicima. Nakon što se provede cjelokupna istraga za određenu ranjivost, Daikin Europe grupa izradit će prikladan plan objavljivanja, kao što je komunikacija u vezi s dostupnošću popravaka i upute o tome kako ih primijeniti. Tim za odgovor na ranjivosti obavijestit će prijavitelja na prikladan način. Cilj je osigurati da se pogođene strane informiraju o ozbiljnim sigurnosnim rizicima te da im se pruže upute o tome kako ih ublažiti.
Daikin Europe grupa prepoznaje inherentne rizike povezane s preuranjenim objavljivanjem ranjivosti, zbog čega prijaviteljima skreće pozornost na to da svako takvo objavljivanje dok se ranjivosti ne riješe predstavlja značajnu prijetnju sigurnosti, posebice krajnjim korisnicima pogođenih resursa.
Preuranjeno objavljivanje potencijalno bi moglo olakšati izrabljivanje putem zlonamjernih subjekata. Stoga Daikin Europe grupa propisuje da svi prijavitelji potencijalnih ranjivosti poštuju načela stroge povjerljivosti te da ne objavljuju nikakve informacije u vezi sa sumnjom na ranjivost trećim stranama, osim ako im to Daikin Europe grupa nije izričito dopustila pisanim putem ili to propisuju mjerodavni zakoni.
Smjernice o etičkom hakiranju
Što prijavitelj NE SMIJE učiniti:
- Nezakonita aktivnost: potrebno je izbjegavati sve radnje koje krše mjerodavne zakone ili propise.
- Prekomjeran pristup podacima: potrebno je ograničiti pristup samo na one podatke koji su potrebni za istragu.
- Izmjena podataka: potrebno je suzdržati se od izmjene podataka unutar sustava organizacije.
- Destruktivno testiranje: potrebno je izbjegavati upotrebu alata koji bi mogli oštetiti ili poremetiti sustave organizacije.
- Napadi sa svrhom uskraćivanja usluga: potrebno je spriječiti pokušaj preopterećivanja i onemogućivanja usluga.
- Remetilačko ponašanje: potrebno je suzdržati se od provedbe radnji koje bi mogle ometati operacije organizacije.
- Trivijalne ranjivosti ili ranjivosti koje nije moguće iskoristiti: zabranjeno je prijavljivati ranjivosti koje nije moguće iskoristiti ili koje predstavljaju manje probleme u konfiguraciji.
- Slaba konfiguracija TLS-a: zabranjeno je prijavljivati ranjivosti u vezi s konfiguracijama TLS-a, osim ako one ne predstavljaju velik sigurnosni rizik.
- Neovlaštena komunikacija: zabranjeno je otkrivati ranjivosti bilo kome osim nadležnom sigurnosnom timu ili putem navedenih kanala.
- Društveni inženjering ili fizički napadi: zabranjeno je pokušavati obmanjivati i nanositi tjelesne ozljede ili fizičku štetu osoblju ili infrastrukturi organizacije.
- Iznuda: zabranjeno je zahtijevati novčana sredstva za otkrivanje ranjivosti.
Što prijavitelj MORA učiniti:
- Zaštita podataka: potrebno je poštivati privatnost korisnika i osoblja Daikin Europe grupe.
- Sigurnost podataka: potrebno je sigurno pohraniti sve podatke koje se prime u okviru istrage.
- Pravovremeno brisanje podataka: smjesta je potrebno izbrisati podatke čim oni više ne budu potrebni. U iznimnim slučajevima, kada je trenutno brisanje tehnički nemoguće ili zakonom ograničeno (npr. zbog izrade sigurnosnih kopija ili zakonskih rokova čuvanja), podaci se moraju izbrisati unutar mjesec dana od popravka ranjivosti. Taj jednomjesečni vremenski okvir predstavlja apsolutno najdulje razdoblje čuvanja i potrebno je poduzeti sve mjere kako bi se podaci što prije izbrisali.