Posljednja izmjena: 03. februar 2025.
Uvod
Daikin Europe N.V. (“DENV”) je u stopostotnom vlasništvu japanske kompanije Daikin Industries Ltd. Daikin Grupa proizvodi, prodaje, distribuira i sprovodi marketing opreme i rješenja za klimatizaciju, grijanje, ventilaciju i hlađenje, zajedno sa svojim podružnicama.
Daikin Europe N.V., zajedno sa svojim podružnicama (u daljem tekstu “Daikin Europe Grupa”), posvećen je osiguravanju sigurnosti i integriteta svojih proizvoda, sistema, usluga i aplikacija (u daljem tekstu “Imovina”) kako bi, između ostalog, zaštitio podatke, uključujući lične podatke, privatnost krajnjih korisnika te spriječio bilo kakav negativan uticaj na funkcionalnost mreže ili zloupotrebu mrežnih resursa.
Svrha ove politike
Svrha ove politike je:
- podstaći odgovorno prijavljivanje bilo kakvih potencijalnih ranjivosti otkrivenih u Imovini Daikin Europe Grupe, i
- uspostaviti proces za prijavljivanje sigurnosnih problema Daikin Europe Grupi i rješavanje tih problema pravovremeno, efikasno i u skladu sa važećim zakonodavstvom.
Ciljna publika
Lica koja mogu prijavljivati ranjivosti uključuju, ali nisu ograničena na, sigurnosne istraživače, krajnje korisnike, nezavisne stručnjake, industrijske partnere i članove šire javnosti (u daljem tekstu “Prijavitelj”). Daikin Europe Grupa preporučuje da se prije prijavljivanja ranjivosti u potpunosti pročita ova politika otkrivanja ranjivosti te da se uvijek postupa u skladu s njom.
Daikin Europe Grupa cijeni doprinos svih zainteresovanih strana u pomoći osiguravanja sigurnosti Imovine. Međutim, Daikin Europe Grupa ne nudi novčane nagrade za prijave ranjivosti.
Obuhvat
Ova Politika prijavljivanja i otkrivanja ranjivosti primjenjuje se na svu Imovinu koja, ako bi bila kompromitovana, može potencijalno nanijeti štetu Daikin Europe Grupi ili uticati na njeno poslovanje. Ovo uključuje, ali nije ograničeno na, sve proizvode koje Daikin Europe Grupa proizvodi i/ili isporučuje, kao i digitalnu imovinu, aplikacije trećih strana i IT infrastrukturu koja se koristi u poslovnom okruženju Daikin Europe Grupe.
Prijavljivanje
U slučaju otkrivanja sigurnosne ranjivosti, molimo da je prijavite Daikin Europe Grupi putem sljedeće adrese:
vulnerability@daikineurope.com
Prilikom prijavljivanja ranjivosti, molimo da navedete sljedeće informacije:
Naziv modela ili identifikator(e) pogođene Imovine i/ili informacije koje omogućavaju identifikaciju pogođene Imovine;
Opis ranjivosti, uključujući način identifikacije ili reprodukcije;
Potencijalni uticaj ranjivosti;
Proof-of-concept kod (ako je dostupan) ili drugi dokazi koji prikazuju korake za reprodukciju ranjivosti;
Kontakt informacije Prijavitelja (nije obavezno dostavljanje ličnih podataka).
Potvrda prijema
Nakon što zaprimi prijavu ranjivosti, Tim za odgovor na ranjivosti Daikin Europe Grupe će Prijavitelju potvrditi prijem prijave u roku od 7 radnih dana.
Potvrda prijema uključivaće broj za praćenje ili identifikator radi referencije. Ako budu potrebne dodatne informacije za istraživanje prijavljene ranjivosti, Tim za odgovor na ranjivosti će o tome obavijestiti Prijavitelja.
Istraživanje
Tim za odgovor na ranjivosti Daikin Europe Grupe će sprovesti internu istragu kako bi se osiguralo da je validnost, ozbiljnost i obuhvat svake prijavljene ranjivosti pravilno procijenjen.
Daikin Europe Grupa prepoznaje važnost transparentnosti i saradnje u efikasnom upravljanju prijavljenim sigurnosnim ranjivostima. Shodno tome, tokom procesa istrage, Tim za odgovor na ranjivosti će redovno obavještavati Prijavitelja o statusu napretka, uključujući važne nalaze ili dalji razvoj.
Otklanjanje
Ako Daikin Europe Grupa procijeni da je potrebno otkloniti ranjivost primjenom zakrpe, promjene konfiguracije ili drugih mjera (u daljem tekstu “popravak” ili “popravci”) kako bi se eliminisao ili ublažio rizik, Daikin Europe Grupa i/ili njeni dobavljači će pripremiti popravke. Popravci će biti dizajnirani tako da otklone identifikovanu ranjivost bez ugrožavanja funkcionalnosti ili upotrebljivosti pogođene Imovine.
Nakon što popravci budu razvijeni i testirani, biće distribuirani putem redovnih kanala, kao što su over-the-air ažuriranja, ažuriranja firmware-a ili softverske zakrpe, u zavisnosti od prirode ranjivosti. Ako bude potrebno, poslovni partneri Daikin Europe Grupe, uključujući distributere i instalatere, biće obaviješteni o eventualnim radnjama koje trebaju preduzeti, kao što je pomoć u distribuciji zakrpa krajnjim korisnicima ili pružanje smjernica za primjenu zakrpa.
Nakon otklanjanja prijavljenih ranjivosti, Daikin Europe Grupa će sprovesti post-mortem analize kako bi ocijenila efikasnost procesa odgovora i identifikovala oblasti za unapređenje. Naučene lekcije iz svakog procesa otklanjanja ranjivosti biće dokumentovane i inkorporirane u buduće procedure radi unapređenja procesa upravljanja prijavljenim ranjivostima.
Prijavitelj će biti obaviješten o implementaciji popravaka i svim dodatnim koracima koji su preduzeti radi ublažavanja ranjivosti.
Povjerljivost i otkrivanje prijavljenih ranjivosti
Daikin Europe Grupa je posvećena odgovornom otkrivanju sigurnosnih ranjivosti svojim kupcima i krajnjim korisnicima. Nakon potpune istrage ranjivosti, Daikin Europe Grupa će odrediti odgovarajući plan za otkrivanje, poput komunikacije o dostupnosti popravaka i uputstava za njihovu primjenu. Tim za odgovor na ranjivosti će o tome obavijestiti Prijavitelja. Cilj je osigurati da pogođene strane budu informisane o ozbiljnim sigurnosnim rizicima i dobiju smjernice kako da ih ublaže.
Daikin Europe Grupa prepoznaje inherentne rizike povezane s preuranjenim otkrivanjem ranjivosti te stoga naglašava Prijaviteljima da takvo otkrivanje dok ranjivost nije riješena predstavlja značajnu sigurnosnu prijetnju, naročito za krajnje korisnike pogođene Imovine.
Preuranjeno otkrivanje može potencijalno olakšati iskorištavanje od strane zlonamjernih subjekata. Stoga, Daikin Europe Grupa traži od Prijavitelja potencijalnih ranjivosti da zadrže strogu povjerljivost i da ne otkrivaju informacije o sumnjivoj ranjivosti trećim stranama, osim ako za to nisu dobili izričito pismeno odobrenje od Daikin Europe Grupe ili ako to ne nalaže važeći zakon.
Smjernice za etičko hakovanje
Šta Prijavitelj NE SMIJE raditi:
Nelegalne aktivnosti: Izbjegavati bilo kakve radnje koje krše važeće zakone ili propise.
Pretjeran pristup podacima: Ograničiti pristup samo na podatke potrebne za istraživanje.
Modifikacija podataka: Suzdržati se od izmjene podataka unutar sistema organizacije.
Destruktivno testiranje: Izbjegavati alate koji mogu oštetiti ili ometati sisteme organizacije.
Denial-of-service napadi: Ne pokušavati preopteretiti ili onemogućiti usluge.
Ometajuće ponašanje: Suzdržati se od radnji koje mogu ometati rad organizacije.
Trivijalne ili neiskoristive ranjivosti: Ne prijavljivati ranjivosti koje se ne mogu iskoristiti ili su manje konfiguracijske greške.
Slaba TLS konfiguracija: Ne prijavljivati ranjivosti vezane za slabu TLS konfiguraciju osim ako predstavljaju značajan sigurnosni rizik.
Neovlaštena komunikacija: Ne otkrivati ranjivosti nikome osim određenom sigurnosnom timu ili putem specificiranih kanala.
Socijalni inženjering ili fizički napadi: Ne pokušavati obmanjivati ili fizički ugrožavati osoblje ili infrastrukturu organizacije.
Ucjena: Ne tražiti novčanu naknadu za otkrivanje ranjivosti.
Šta Prijavitelj MORA raditi:
Zaštita podataka: Poštovati privatnost korisnika i osoblja Daikin Europe Grupe.
Sigurnost podataka: Sigurno skladištiti sve podatke dobijene tokom istraživanja.
Pravovremeno brisanje podataka: Izbrisati podatke odmah čim više nisu potrebni. U izuzetnim slučajevima, kada trenutno brisanje nije tehnički moguće ili je zakonski ograničeno (npr. zbog backup-a, pravnih obaveza), podaci moraju biti izbrisani najkasnije u roku od mjesec dana od rješavanja ranjivosti. Ovaj jednogodišnji period predstavlja apsolutni maksimalni period čuvanja, a svaki napor treba biti uložen da se podaci izbrišu što je prije moguće.
Napomena
Ova Politika prijavljivanja i otkrivanja ranjivosti podliježe periodičnom pregledu i može biti ažurirana ili izmijenjena kako bi odražavala promjene u tehnologiji, važećim zakonima ili najboljim praksama.