Posledná úprava: 03. februára 2025
Úvod
Daikin Europe N.V. (ďalej len „DENV“) je plne vlastnenou dcérskou spoločnosťou materskej japonskej spoločnosti Daikin Industries Ltd. Skupina Daikin vyrába, predáva, distribuuje a vykonáva marketing klimatizačných, vykurovacích, ventilačných a chladiacich zariadení a riešení spolu so svojimi dcérskymi spoločnosťami.
Daikin Europe N.V. spolu so svojimi dcérskymi spoločnosťami (ďalej len „Skupina Daikin Europe“) sa zaväzuje zabezpečiť bezpečnosť a integritu svojich produktov, systémov, služieb a aplikácií (ďalej len „Produkty“) s cieľom, chrániť, okrem iného, dáta vrátane osobných údajov a súkromia koncových používateľov. Zároveň chceme predchádzať akýmkoľvek negatívnym vplyvom na funkčnosť siete alebo zneužitiu sieťových zdrojov.
Účel týchto pravidiel
Účelom týchto pravidiel je:
- podporovať zodpovedné zverejňovanie akýchkoľvek potenciálnych zraniteľností (bezpečnostných hrozieb) zistených v Produktoch Skupiny Daikin Europe; a
- zaviesť proces nahlasovania zraniteľností (bezpečnostných hrozieb) Skupine Daikin Europe a ich promptného riešenia, tak aby to bolo účinné a zároveň súlade s platnou legislatívou².
Nahlasovatelia
Medzi osoby oprávnené hlásiť zraniteľnosť patria bezpečnostní experti, koncoví užívatelia, nezávislí experti, partneri z odvetvia, ako aj široká verejnosť (ďalej len „Nahlasovatelia“ alebo každý samostatne ako „Nahlasovateľ“). Skupina Daikin Europe odporúča, aby si Nahlasovatelia pred nahlásením akejkoľvek potenciálnej zraniteľnosti pozorne prečítali tieto pravidlá a vždy konali v súlade s ich obsahom.
Skupina Daikin Europe si cení všetky nahlásenia od všetkých zaintersovaných strán, ktoré pomáhajú zabezpečiť bezpečnosť jej Produktov; Skupina Daikin Europe však neposkytuje žiadne peňažné odmeny za odhalenie zraniteľnosti.
Rozsah uplatňovania pravidiel
Tieto pravidlá hlásenia a zverejňovania zraniteľností sa vzťahujú na všetky produkty, ktorých narušenie by mohlo potenciálne poškodiť Skupinu Daikin Europe alebo inak negatívne vplývať na jej prevádzku. Patria sem, okrem iného, všetky produkty vyrábané a/alebo dodávané Skupinou Daikin Europe, ako aj digitálne prostriedky, aplikácie tretích strán a IT infraštruktúra používaná v rámci obchodného prostredia Skupiny Daikin Europe.
Nahlasovanie
V prípade zistenia bezpečnostnej hrozby (zraniteľnosti) nahláste tento problém Skupine Daikin Europe na túto adresu: vulnerability@daikineurope.com
Pri nahlasovaní zraniteľnosti uveďte nasledujúce informácie:
- názvy alebo identifikačné čísla modelov dotknutých Produktov a/alebo údaje umožňujúce identifikáciu dotknutých Produktov,
- opis zraniteľnosti vrátane toho, ako ho možno identifikovať alebo zreprodukovať alebo ako sa k nemu dostať,
- potenciálny nežiaduci vplyv danej zraniteľnosti,
- kód chyby (proof of concept) - ak je k dispozícii - alebo akýkoľvek iný dôkaz preukazujúci zraniteľnosť
- kontaktné údaje Nahlasovateľa (poskytnutie osobných údajov sa nevyžaduje).
Potvrdenie o prijatí
Tím pre riešenie bezpečnostných hrozieb (zraniteľnosti) Skupiny Daikin Europe potvrdí Nahlasovateľovi prijatie jeho hlásenia do 7 kalendárnych dní od prijatia hlásenia o zraniteľnosti.
Toto potvrdenie bude obsahovať sledovacie číslo alebo identifikátor prípadu na referenčné účely. Ak sú na prešetrenie nahlásenej zraniteľnosti potrebné ďalšie informácie, tím pre riešenie bezpečnostných hrozieb bude kontaktovať Nahlasovateľa.
Vyšetrovanie
Tím pre riešenie bezpečnostných hrozieb (zraniteľnosti) Skupiny Daikin Europe bude v rámci organizácie viesť vyšetrovanie s cieľom riadne posúdiť platnosť, závažnosť a rozsah každého nahláseného prípadu zraniteľnosti.
Skupina Daikin Europe si uvedomuje dôležitosť transparentnosti a spolupráce pri efektívnom riadení nahlásených bezpečnostných hrozieb (zraniteľností). Tím pre riešenie bezpečnostných hrozieb bude počas procesu vyšetrovania poskytovať Nahlasovateľovi pravidelné aktualizácie o stave a priebehu, vrátane všetkých významných zistení a ďalších krokov.
Náprava
Ak Skupina Daikin Europe uzná za vhodné použiť na vyriešenie problému a zaistenie zraniteľnosti opravu, zmenu konfigurácie alebo iné nápravné opatrenie (ďalej len „Náprava“), Skupina Daikin Europe a/alebo jej dodávatelia pripravia potrebnú Nápravu. Náprava bude navrhnutá tak, aby riešila identifikovanú zraniteľnosť bez narušenia funkčnosti alebo použiteľnosti príslušného Produktu.
Po vypracovaní a otestovaní účinnosti bude Náprava distribuovaná prostredníctvom bežných kanálov, ako sú bezdrôtové aktualizácie, aktualizácie firmvéru alebo softvérové aktualizácie v závislosti od charakteru zraniteľnosti. Obchodní partneri Skupiny Daikin Europe, vrátane predajcov a inštalačných firiem budú v prípade potreby informovaní o všetkých krokoch, ktoré sú z ich strany potrebné, ako napríklad pomoc s distribúciou Nápravy koncovým používateľom či s ich aplikáciou.
Po dokončení Nápravy nahlásených zraniteľností (bezpečnostných hrozieb) vykoná skupina Daikin Europe následnú analýzu s cieľom vyhodnotiť efektívnosť celého procesu Nápravy a určiť oblasti na zlepšenie. Zistenia nedostatkov z každého procesu Nápravy zraniteľného miesta budú zdokumentované a zahrnuté do budúcich postupov, aby sa proces riešenia zraniteľnosti neustále zdokonaľoval.
Nahlasovatelia budú informovaní o zavedení Náprav a všetkých krokoch, ktoré boli vykonané na zmiernenie nahlásenej zraniteľnosti.
Dôvernosť a zverejňovanie nahlásených zraniteľností (bezpečnostných hrozieb)
Skupina Daikin Europe sa zaviazala zodpovedne zverejňovať zraniteľnosti (bezpečnostné hrozby) svojim zákazníkom a koncovým používateľom. Po úplnom prešetrení zraniteľnosti Skupina Daikin Europe určí vhodný plán zverejnenia, ako napríklad oznam uvádzajúci dostupnú Nápravu a pokyny, ako ju aplikovať. Tím pre riešenie bezpečnostných hrozieb bude vhodným spôsobom informovať Nahlasovateľa. Cieľom je zabezpečiť, aby boli všetky dotknuté strany informované o závažných bezpečnostných rizikách a mali pokyny k tomu, ako ich zmierniť.
Skupina Daikin Europe si uvedomuje riziká súvisiace s predčasným zverejnením zraniteľností (bezpečnostných hrozieb). Preto Nahlasovateľom zdôrazňuje, že akékoľvek takéto zverejnenie pred úplným vyriešením problému predstavuje závažné bezpečnostné riziko, najmä pre koncových používateľov príslušných Produktov.
Predčasné zverejnenie by mohlo potenciálne umožniť zneužitie zraniteľnosti škodlivými osobami. Skupina Daikin Europe preto požaduje, aby Nahlasovatelia zachovali prísnu dôvernosť a nezverejňovali žiadne informácie súvisiace s predpokladanou zraniteľnosťou tretím stranám, pokiaľ na to nebudú mať výslovné písomné povolenie od Skupiny Daikin Europe alebo im to nebude ukladať príslušný zákon.
Pravidlá etického hackovania
Čo Nahlasovateľ NESMIE robiť:
- Ilegálna činnosť: Vyhýbajte sa aktivitám, ktoré porušujú platné zákony alebo nariadenia.
- Nadmerný prístup k údajom: Obmedzte prístup len na údaje, ktoré sú nevyhnutné pre váš prieskum.
- Úprava údajov: Neupravujte žiadne údaje v rámci systémov organizácie.
- Škodlivé testovanie: Vyhnite sa použitiu nástrojov, ktoré by mohli poškodiť alebo narušiť systémy organizácie.
- Útoky spôsobujúce nedostupnosť služby: Nepokúšajte sa preťažiť alebo znefunkčniť naše služby.
- Narúšajúce správanie: Zdržte sa akcií, ktoré by mohli negatívne zasahovať do prevádzky organizácie.
- Nepodstatné alebo nezneužiteľné slabé miesta: Nenahlasujte zraniteľnosti, ktoré nie je možné zneužiť, alebo predstavujú nepodstatné problémy konfigurácie.
- Slabá konfigurácia TLS: Nenahlasujte zraniteľnosti súvisiace so slabou konfiguráciou TLS, pokiaľ nepredstavujú závažné bezpečnostné riziko.
- Neoprávnená komunikácia: Neodhaľujte zraniteľnosti nikomu inému než určenému bezpečnostnému tímu alebo prostredníctvom určených kanálov.
- Sociálne inžinierstvo alebo fyzické útoky: Nepokúšajte sa oklamať alebo fyzicky poškodiť zamestnancov alebo infraštruktúru organizácie.
- Vydieranie: Nepožadujte platby za odhalenie zraniteľných miest.
Čo Nahlasovateľ MUSÍ robiť:
- Ochrana osobných údajov: Rešpektujte súkromie používateľov a zamestnancov Skupiny Daikin Europe.
- Bezpečnosť dát: Počas vášho výskumu bezpečne uchovávajte všetky získané údaje.
- Včasné vymazanie dát: Údaje vymažte hneď, ako už nie sú potrebné. Vo výnimočných prípadoch, kedy je okamžité vymazanie technický nemožné alebo obmedzené zákonom (napr. z dôvodu záloh, právneho zadržania), musia byť údaje vymazané do jedného mesiaca od Nápravy zraniteľnosti. Tento jednomesačný rámec predstavuje maximálne obdobie uchovávania, po uplynutí ktorého by sa malo vynaložiť všetko úsilie na čo najskoršie vymazanie údajov.
Vyhlásenie
Tieto pravidlá pre oznamovanie a zverejňovanie zraniteľností sú predmetom pravidelných kontrol a v prípade potreby môžu byť aktualizované alebo upravené tak, aby odrážali zmeny technológií, platných zákonov alebo odporúčaných postupov.