Остання зміна: 03 лютого 2025 р.
Вступ
Daikin Europe N.V. (DENV) є дочірньою компанією, що повністю належить японській компанії Daikin Industries Ltd. Daikin Group займається виробництвом, продажем, розповсюдженням та маркетингом обладнання та рішень в галузі кондиціювання повітря, опалення, вентиляції та холодильного обладнання спільно зі своїми дочірніми компаніями.
Daikin Europe N.V. разом зі своїми дочірніми компаніями (далі — Daikin Europe Group) прагне забезпечити безпеку та цілісність своїх продуктів, систем, послуг та застосунків (далі — Ресурси) для забезпечення, крім іншого, захисту даних, включаючи персональні дані, та конфіденційності кінцевих користувачів, а також запобігання будь-якому несприятливому впливу на функціональність мережі або нецільового використання мережевих ресурсів.
Мета цієї політики
Мета цієї політики:
- заохочувати відповідальне розкриття інформації про будь-які потенційні уразливості, виявлені в Ресурсах Daikin Europe Group, та
- установити процес повідомлення про проблеми безпеки у Daikin Europe Group та вирішувати такі проблеми оперативно, ефективно та відповідно до чинного законодавства².
Цільова аудиторія
До осіб, які мають право повідомляти про уразливості, належать, крім інших, дослідники в галузі безпеки, кінцеві користувачі, незалежні експерти, галузеві партнери та представники широкого загалу (далі — Повідомляюча особа). Daikin Europe Group рекомендує повністю ознайомитися з цією політикою розкриття інформації про уразливості, перш ніж повідомляти про уразливість, і завжди діяти відповідно до неї.
Daikin Europe Group цінує внесок усіх зацікавлених сторін у надання їй допомоги в забезпеченні безпеки Ресурсів. Однак, Daikin Europe Group не пропонує грошову винагороду за розкриття інформації про уразливості.
Область застосування
Ця Політика щодо повідомлень про уразливості та розкриття інформації застосовується до будь-яких Ресурсів, які в разі компрометації з точки зору безпеки можуть потенційно завдати шкоди Daikin Europe Group або вплинути на її діяльність. Це включає, серед іншого, всю продукцію, що виробляється та/або постачається Daikin Europe Group, а також цифрові ресурси, сторонні програми та ІТ-інфраструктуру, що використовується в бізнес-середовищі Daikin Europe Group.
Повідомлення
У разі виявлення уразливості безпеки повідомте про неї Daikin Europe Group за адресою: vulnerability@daikineurope.com
Повідомляючи про уразливість, обов’язково слід навести такі дані:
- Найменування моделі або ідентифікатор(и) уражених Ресурсів та/або інформація, що дозволяє ідентифікувати уражені Ресурси;
- Опис уразливості, включаючи способи її виявлення чи відтворення;
- Потенційна дія уразливості;
- Код експериментальної перевірки концепції (за наявності) або інші підтвердження, що демонструють дії, що дозволяють відтворити уразливість;
- контактні дані Повідомляючої особи (надання персональних даних не потрібно).
Підтвердження отримання
Отримавши повідомлення про уразливість, Група реагування на уразливість Daikin Europe Group підтвердить його отримання Повідомляючій особі протягом 7 робочих днів.
Підтвердження включатиме контрольний номер або ідентифікатор для довідкових цілей. Якщо для розслідування уразливості, про яку повідомлено, знадобиться додаткова інформація, Група реагування на уразливість повідомить про це Повідомляючій особі.
Розслідування
Група реагування на уразливість Daikin Europe Group проведе розслідування в організації, щоб переконатися, що обґрунтованість, серйозність та масштаб кожної повідомленої уразливості оцінені належним чином.
Daikin Europe Group усвідомлює важливість прозорості та співпраці для ефективної роботи з виявленими уразливостями безпеки. Отже, протягом усього процесу розслідування Група реагування на уразливість регулярно надаватиме Повідомлячій особі актуальну інформацію про перебіг розслідування, включаючи будь-які суттєві висновки чи подальші події.
Усунення
Якщо Daikin Europe Group вважає за необхідне вивчити та усунути уразливість шляхом застосування виправлення, зміни конфігурації або інших заходів для усунення («виправлення» або «виправлень») для усунення або зниження ризику, Daikin Europe Group та/або її сторонні постачальники підготують виправлення. Виправлення будуть спрямовані на усунення виявленої уразливості без шкоди для функціональності або зручності використання уражених Ресурсів.
Після розробки та перевірки ефективності виправлень вони будуть розповсюджуватись звичайними каналами, такими як бездротові оновлення, оновлення прошивки, виправлення програмного забезпечення, залежно від характеру уразливості. При необхідності ділові партнери Daikin Europe Group, включаючи реселерів та установників, будуть проінформовані про будь-які необхідні дії з їхнього боку, такі як допомога у поширенні виправлень серед кінцевих користувачів або надання рекомендацій щодо застосування виправлень.
Після усунення виявлених уразливостей Daikin Europe Group проведе аналізи причин та дій для оцінки ефективності процесу реагування та виявлення областей для удосконалення. Уроки, отримані з кожного усунення уразливості, будуть документуватися та включатись до майбутніх процедур реагування для покращення процесу обробки повідомлених уразливостей.
Особа, яка повідомила про уразливість, буде проінформована про застосування виправлень та будь-які додаткові заходи, вжиті для усунення уразливості.
Конфіденційність та розкриття інформації про уразливості, про які було повідомлено
Daikin Europe Group зобов’язується відповідально розкривати інформацію про уразливість безпеки своїм клієнтам та кінцевим користувачам. Після повного вивчення уразливості Daikin Europe Group розробить відповідний план розкриття інформації, наприклад повідомлення про наявність виправлень та інструкції щодо їх застосування. Група реагування на уразливість проінформує про це Повідомляючу особу. Мета полягає в тому, щоб забезпечити інформування причетних сторін про серйозні ризики безпеки та надати їм рекомендації щодо їх зниження.
Daikin Europe Group усвідомлює притаманні ризики, пов’язані з передчасним розкриттям інформації про уразливості, і тому підкреслює для Повідомляючих осіб, що будь-яке таке розкриття інформації, поки уразливість залишається неусуненою, є значною загрозою безпеці, особливо для кінцевих користувачів уражених Ресурсів.
Передчасне розкриття інформації може полегшити її використання зловмисниками. У зв’язку з цим Daikin Europe Group просить Повідомляючих осіб, які повідомляють про потенційні уразливості, дотримуватися суворої конфіденційності та утримуватися від розкриття третім особам будь-якої інформації, що стосується можливої уразливості, за винятком випадків, коли це прямо дозволено у письмовій формі Daikin Europe Group або передбачено чинним законодавством.
Правила етичного хакінгу
Чого НЕ ПОВИННА робити Повідомляюча особа:
- Незаконна діяльність: Уникайте будь-яких дій, які порушують чинні закони чи правила.
- Надмірний доступ до даних: Обмежте доступ до даних лише тими, які необхідні для дослідження.
- Зміна даних: Утримайтеся від зміни будь-яких даних у системах організації.
- Руйнівні випробування: Уникайте використання інструментів, які можуть пошкодити чи порушити роботу систем організації.
- Атака типу «відмова в обслуговуванні»: Не намагайтеся перевантажувати або вимикати служби.
- Деструктивна поведінка: Утримуйтесь від дій, які можуть перешкодити діяльності організації.
- Тривіальні або неексплуатовані уразливості: Не повідомляйте про уразливості, які неможливо використовувати, або які є незначними проблемами конфігурації.
- Слабка конфігурація TLS: Уникайте повідомляти про уразливості, пов’язані зі слабкими конфігураціями TLS, якщо вони не становлять суттєвої загрози безпеці.
- Несанкціоноване повідомлення: Не розкривайте інформацію про уразливості нікому, крім призначеної групи безпеки або вказаних каналів.
- Соціальна інженерія чи фізичні атаки: Не намагайтеся ввести в оману співробітників або завдати фізичної шкоди їм чи інфраструктурі організації.
- Вимагання: Не вимагайте оплати за розкриття уразливостей.
Що ПОВИННА робити Повідомляюча особа:
- Захист даних: Поважайте конфіденційність користувачів та співробітників Daikin Europe Group.
- Безпека даних: Надійно зберігайте всі дані, отримані під час дослідження.
- Своєчасне видалення даних: Видаляйте дані негайно, як тільки вони більше не потрібні. У виняткових випадках, коли негайне видалення технічно неможливе або юридично обмежене (наприклад, через резервне копіювання, юридичні обмеження), дані повинні бути видалені протягом місяця з моменту усунення уразливості. Цей місячний термін є абсолютним максимальним терміном зберігання, і слід докласти всіх зусиль, щоб видалити дані якнайшвидше.