Paskutinį kartą keista: 2025 m. vasario 3 d., pirmadienis
Įžanga
Daikin Europe N.V. (DENV) yra visiškai priklausantis Japonijos įmonės „Daikin Industries Ltd.“ filialas. „Daikin“ grupė kartu su savo filialais gamina, parduoda, platina ir užsiima rinkodara, susijusia su oro kondicionavimo, šildymo, vėdinimo ir šaldymo įranga, ir teikia sprendimų paslaugas.
„Daikin Europe N.V.“ kartu su savo filialais (toliau – Daikin Europe Group) yra įsipareigojusi užtikrinti savo produktų, sistemų, paslaugų ir programų (toliau – turto) saugumą ir vientisumą, kad, be kita ko, būtų garantuota duomenų, įskaitant asmens duomenis, apsauga ir galutinių naudotojų privatumas, taip pat išvengta bet kokio neigiamo poveikio tinklo funkcionalumui ar netinkamo tinklo išteklių naudojimo.
Šios politikos tikslas
Šios politikos tikslas yra:
- Skatinti atsakingai atskleisti bet kokius galimus pažeidžiamumus, aptiktus „Daikin Europe Group“ turtui.
- Nustatyti pranešimo apie saugumo problemas „Daikin Europe Group“ procesą bei skubiai, veiksmingai ir laikantis galiojančių teisės aktų spręsti tokias problemas².
Tikslinė auditorija
Asmenys, turintys teisę pranešti apie pažeidžiamumą, apima, bet neapsiriboja, saugumo tyrėjus, galutinius naudotojus, nepriklausomus ekspertus, pramonės partnerius ir plačiosios visuomenės narius (toliau – žurnalistai). „Daikin Europe Group“ rekomenduoja išsamiai perskaityti šią pažeidžiamumo atskleidimo politiką prieš pranešant apie pažeidžiamumą ir visada jos laikytis.
„Daikin Europe Group“ vertina visų suinteresuotų šalių indėlį, padedant „Daikin Europe Group“ užtikrinti turto saugumą. Visgi „Daikin Europe Group“ nesiūlo piniginių premijų už pažeidžiamumo atskleidimą.
Taikymo sritis
Ši pažeidžiamumo ataskaitų teikimo ir atskleidimo politika taikoma bet kokiam turtui, kuris, jei kiltų pavojus, galėtų pakenkti „Daikin Europe Group“ arba turėti įtakos veiklai. Tai apima, bet neapsiriboja, visus „Daikin Europe Group“ gaminamus ir / arba tiekiamus produktus, taip pat skaitmeninį turtą, trečiųjų šalių programas ir IT infrastruktūrą, naudojamą „Daikin Europe Group“ verslo aplinkoje.
Ataskaitų teikimas
Jei aptiksite saugumo pažeidžiamumą, praneškite apie jį „Daikin Europe Group“ adresu: vulnerability@daikineurope.com
Pranešdami apie pažeidžiamumą, pateikite šią informaciją:
- Paveikto turto modelio (-ų) pavadinimas (-ai) arba identifikatorius (-ai) ir / arba informacija, leidžianti nustatyti paveiktą turtą;
- Pažeidžiamumo aprašymas, įskaitant tai, kaip jį galima nustatyti arba atkurti;
- Galimas pažeidžiamumo poveikis;
- Koncepcijos įrodymo kodas (jei yra) arba kiti įrodymai, leidžiantys atkurti pažeidžiamumo veiksmus;
- Pranešėjo kontaktinė informacija (asmeninių duomenų pateikimas nėra būtinas).
Gavimo patvirtinimas
Gavusi pažeidžiamumo ataskaitą, „Daikin Europe Group“ pažeidžiamumo reagavimo komanda per 7 darbo dienas patvirtins pranešėjui ataskaitos gavimą.
Patvirtinime bus nurodytas sekimo numeris arba identifikatorius, skirtas naudoti identifikavimo tikslais. Jei reikia papildomos informacijos, kad būtų galima ištirti praneštą pažeidžiamumą, pažeidžiamumo reagavimo komanda apie tai praneš pranešėjui.
Tyrimas
„Daikin Europe Group“ reagavimo į pažeidžiamumą komanda ištirs organizacijos viduje, siekdama užtikrinti, kad būtų tinkamai įvertintas kiekvieno pranešto pažeidžiamumo pagrįstumas, rimtumas ir apimtis.
„Daikin Europe Group“ pripažįsta skaidrumo ir bendradarbiavimo svarbą, veiksmingai valdant praneštus saugumo pažeidžiamumus. Todėl per visą tyrimo procesą pažeidžiamumo reagavimo komanda reguliariai informuos pranešėją apie savo pažangos situaciją, įskaitant bet kokius reikšmingus rezultatus ar tolesnius pokyčius.
Ištaisymas
Jei „Daikin Europe Group“ mano, kad būtina pašalinti ir išspręsti pažeidžiamumą, taikant programinę pataisą, konfigūracijos pakeitimą ar kitą atkūrimo priemonę (pataisymą arba pataisymus) rizikai pašalinti arba sušvelninti, jas parengs „Daikin Europe Group“ ir / arba jos trečiųjų šalių tiekėjai. Pataisymai bus skirti spręsti nustatytą pažeidžiamumą, nepakenkiant paveikto turto funkcionalumui arba naudojimui.
Kai pataisymai bus sukurti ir jų efektyvumas išbandytas, jie bus platinami įprastais kanalais, pvz., per siunčiamus atnaujinimus, programinės įrangos atnaujinimus, programinės įrangos pataisymus, atsižvelgiant į pažeidžiamumo pobūdį. Jei reikės, „Daikin Europe Group“ verslo partneriai, įskaitant perpardavėjus ir montuotojus, bus informuoti apie bet kokius reikalingus veiksmus iš jų pusės, pvz., pagalbą platinant pataisas galutiniams naudotojams arba teikiant rekomendacijas dėl pataisos naudojimo.
„Daikin Europe Group“, pašalinusi praneštus pažeidžiamumus, atliks post-mortem analizę, kad įvertintų reagavimo proceso efektyvumą ir nustatytų tobulintinas sritis. Eiga, atliekant kiekvieną pažeidžiamumo ištaisymo veiksmą, bus dokumentuojama ir įtraukiama į būsimas reagavimo procedūras, siekiant pagerinti praneštų pažeidžiamumų tvarkymo procesą.
Pranešėjui bus pranešta apie pataisų diegimą ir visus papildomus veiksmus, kurių imtasi pažeidžiamumui sumažinti.
Konfidencialumas ir praneštų pažeidžiamumų atskleidimas
„Daikin Europe Group“ yra įsipareigojusi savo klientams ir galutiniams naudotojams atsakingai atskleisti saugumo pažeidžiamumus. Kai pažeidžiamumas bus visiškai ištirtas, „Daikin Europe Group“ sudarys tinkamą atskleidimo planą, pvz., pranešimą apie pataisų prieinamumą ir instrukcijas, kaip jas pritaikyti. Reagavimo į pažeidžiamumą komanda atitinkamai informuos pranešėją. Tikslas – užtikrinti, kad nukentėjusios šalys būtų informuotos apie rimtas saugumo rizikas ir joms būtų pateiktos gairės, kaip jas sumažinti.
„Daikin Europe Group“ pripažįsta būdingą riziką, susijusią su anksčiau laiko atskleidžiamais pažeidžiamumais, todėl pabrėžia pranešėjams, kad bet koks toks atskleidimas, kol pažeidžiamumai yra neišspręsti, kelia didelę grėsmę saugumui, ypač paveikto turto galutiniams naudotojams.
Ankstyvas atskleidimas gali prisidėti prie žalos dėl kenkėjiškų subjektų. Todėl „Daikin Europe Group“ prašo, kad pranešėjai, žinantys apie potencialius pažeidžiamumus, išlaikytų griežtą konfidencialumą ir neatskleistų jokios informacijos apie įtariamą pažeidžiamumą trečiosioms šalims, nebent „Daikin Europe Group“ konkrečiai įgaliotų raštu arba pagal galiojančius įstatymus.
Etikos įsilaužimo gairės
Ko pranešėjas NETURĖTŲ daryti:
- Neteisėta veikla: venkite bet kokių veiksmų, kurie pažeidžia galiojančius įstatymus arba reglamentus.
- Pernelyg didelė prieiga prie duomenų: apriboti prieigą prie duomenų, kurie yra būtini tyrimui.
- Duomenų keitimas: nekeiskite jokių duomenų organizacijos sistemose.
- Destruktyvūs testavimai: nenaudokite įrankių, kurie gali pakenkti arba sutrikdyti organizacijos sistemas.
- Atsisakymo aptarnauti atakos: nebandykite per daug apkrauti arba išjungti paslaugas.
- Trikdantis elgesys: susilaikykite nuo veiksmų, kurie galėtų trukdyti organizacijos veiklai.
- Paprasti arba neeksploatuojami pažeidžiamumai: nepraneškite apie pažeidžiamumus, kurių negalima eksploatuoti arba kurie yra smulkios konfigūracinės problemos.
- Silpna TLS konfigūracija: nepraneškite apie pažeidžiamumus, susijusius su silpnomis TLS konfigūracijomis, nebent jie kelia didelę saugumo riziką.
- Neleistina komunikacija: neatskleiskite pažeidžiamumų niekam kitam, išskyrus tam skirtą saugos komandą, arba naudokitės nurodytais kanalais.
- Socialinė inžinerija arba fiziniai išpuoliai: nebandykite apgauti arba fiziškai pakenkti organizacijos personalui ar infrastruktūrai.
- Išpirkos reikalavimas: nereikalaukite išmokos už pažeidžiamumų atskleidimą.
Ką pranešėjas PRIVALO daryti:
- Duomenų apsauga: gerbti „Daikin Europe Group“ naudotojų ir darbuotojų privatumą.
- Duomenų saugumas: saugiai laikyti visus per tyrimą gautus duomenis.
- Laiku ištrinti duomenis: ištrinti duomenis iš karto, vos tik jų nebereikia. Išimtinėmis aplinkybėmis, kai techniškai neįmanoma arba teisiškai neleidžiama nedelsiant ištrinti duomenų (pvz., dėl atsarginių kopijų, teisinių atsakomybių), duomenys turi būti ištrinti per mėnesį nuo pažeidžiamumo ištaisymo. Šis vieno mėnesio periodas yra absoliučiai maksimalus saugojimo laikotarpis, todėl turėtų būti dedamos visos pastangos kuo greičiau ištrinti duomenis.