Последнее изменение: 3 февраля 2025 г.
Введение
Daikin Europe N.V. (DENV) является дочерней компанией, полностью принадлежащей японской компании Daikin Industries Ltd. Daikin Group занимается производством, продажей, распространением и маркетингом оборудования и решений в области кондиционирования воздуха, отопления, вентиляции и холодильного оборудования совместно со своими дочерними компаниями.
Daikin Europe N.V. вместе со своими дочерними компаниями (далее — Daikin Europe Group) стремится обеспечить безопасность и целостность своих продуктов, систем, услуг и приложений (далее — Ресурсы) для обеспечения, помимо прочего, защиты данных, включая персональные данные, и конфиденциальности конечных пользователей, а также предотвращения любого неблагоприятного воздействия на функциональность сети или нецелевого использования сетевых ресурсов.
Цель данной политики
Цель данной политики:
- поощрять ответственное раскрытие информации о любых потенциальных уязвимостях, обнаруженных в Ресурсах Daikin Europe Group, и
- установить процесс сообщения о проблемах безопасности в Daikin Europe Group и решать такие проблемы оперативно, эффективно и в соответствии с действующим законодательством².
Целевая аудитория
К лицам, имеющим право сообщать об уязвимостях, относятся, помимо прочих, исследователи в области безопасности, конечные пользователи, независимые эксперты, отраслевые партнеры и представители широкой общественности (далее — Сообщающее лицо). Daikin Europe Group рекомендует полностью ознакомиться с настоящей политикой раскрытия информации об уязвимостях, прежде чем сообщать об уязвимости, и всегда действовать в соответствии с ней.
Daikin Europe Group ценит вклад всех заинтересованных сторон в оказание ей помощи в обеспечении безопасности Ресурсов. Однако, Daikin Europe Group не предлагает денежное вознаграждение за раскрытие информации об уязвимостях.
Область применения
Настоящая Политика в отношении сообщений об уязвимостях и раскрытия информации применяется к любым Ресурсам, которые в случае компрометации с точки зрения безопасности могут потенциально нанести вред Daikin Europe Group или повлиять на ее деятельность. Это включает в себя, помимо прочего, всю продукцию, производимую и/или поставляемую Daikin Europe Group, а также цифровые ресурсы, сторонние приложения и ИТ-инфраструктуру, используемую в бизнес-среде Daikin Europe Group.
Сообщение
В случае обнаружения уязвимости безопасности сообщите о ней Daikin Europe Group по адресу: vulnerability@daikineurope.com
При сообщении об уязвимости обязательно нужно указать следующее:
- Наименование(я) модели или идентификатор(ы) затронутых Ресурсов и/или информация, позволяющая идентифицировать затронутые Ресурсы;
- Описание уязвимости, включая способы ее выявления или воспроизведения;
- Потенциальное воздействие уязвимости;
- Код экспериментальной проверки концепции (при наличии) или другие подтверждения, демонстрирующие действия, позволяющие воспроизвести уязвимость;
- контактные данные Сообщающего лица (предоставление персональных данных не требуется).
Подтверждение получения
Получив сообщение об уязвимости, Группа реагирования на уязвимости Daikin Europe Group подтвердит его получение Сообщающему лицу в течение 7 рабочих дней.
Подтверждение будет включать контрольный номер или идентификатор для справочных целей. Если для расследования сообщенной уязвимости потребуется дополнительная информация, Группа реагирования на уязвимости сообщит об этом Сообщающему лицу.
Расследование
Группа реагирования на уязвимости Daikin Europe Group проведет расследование в организации, чтобы убедиться, что обоснованность, серьезность и масштаб каждой сообщенной уязвимости оценены должным образом.
Daikin Europe Group осознает важность прозрачности и сотрудничества для эффективной работы с выявленными уязвимостями безопасности. Следовательно, на протяжении всего процесса расследования Группа реагирования на уязвимости будет регулярно предоставлять Сообщающему лицу актуальную информацию о ходе расследования, включая любые существенные выводы или дальнейшие события.
Устранение
Если Daikin Europe Group сочтет необходимым изучить и устранить уязвимость путем применения исправления, изменения конфигурации или других мер по устранению («исправления» или «исправлений») для устранения или снижения риска, Daikin Europe Group и/или ее сторонние поставщики подготовят исправления. Исправления будут направлены на устранение выявленной уязвимости без ущерба для функциональности или удобства использования затронутых Ресурсов.
После разработки и проверки эффективности исправлений они будут распространяться по обычным каналам, таким как беспроводные обновления, обновления прошивки, исправления программного обеспечения, в зависимости от характера уязвимости. При необходимости деловые партнеры Daikin Europe Group, включая реселлеров и установщиков, будут проинформированы о любых требуемых действиях с их стороны, таких как помощь в распространении исправлений среди конечных пользователей или предоставление рекомендаций по применению исправлений.
После устранения выявленных уязвимостей Daikin Europe Group проведет анализы причин и действий для оценки эффективности процесса реагирования и выявления областей для усовершенствования. Уроки, извлеченные из каждого устранения уязвимости, будут документироваться и включаться в будущие процедуры реагирования для улучшения процесса обработки сообщенных уязвимостей.
Сообщивший об уязвимости будет проинформирован о применении исправлений и каких-либо дополнительных мерах, принятых для устранения уязвимости.
Конфиденциальность и раскрытие информации об уязвимостях, о которых было сообщено
Daikin Europe Group обязуется ответственно раскрывать информацию об уязвимостях безопасности своим клиентам и конечным пользователям. После полного изучения уязвимости Daikin Europe Group разработает соответствующий план раскрытия информации, например сообщение о наличии исправлений и инструкции по их применению. Группа реагирования на уязвимости проинформирует об этом Сообщающее лицо. Цель состоит в том, чтобы обеспечить информирование затронутых сторон о серьезных рисках безопасности и предоставить им рекомендации по их снижению.
Daikin Europe Group осознает присущие риски, связанные с преждевременным раскрытием информации об уязвимостях, и поэтому подчеркивает для Сообщающих лиц, что любое такое раскрытие информации, пока уязвимость остается неустраненной, представляет собой значительную угрозу безопасности, особенно для конечных пользователей затронутых Ресурсов.
Преждевременное раскрытие информации может облегчить ее использование злоумышленниками. В связи с этим Daikin Europe Group просит Сообщающих лиц, сообщающих о потенциальных уязвимостях, соблюдать строгую конфиденциальность и воздерживаться от раскрытия третьим лицам любой информации, касающейся предполагаемой уязвимости, за исключением случаев, когда это прямо разрешено в письменной форме Daikin Europe Group или предписано применимым законодательством.
Правила этического хакинга
Чего НЕ ДОЛЖНО делать Сообщающее лицо:
- Незаконная деятельность: Избегайте любых действий, нарушающих действующие законы или правила.
- Чрезмерный доступ к данным: Ограничьте доступ к данным теми данными, которые необходимы для исследования.
- Изменение данных: Воздержитесь от изменения каких-либо данных в системах организации.
- Разрушающие испытания: Избегайте использования инструментов, которые могут повредить или нарушить работу систем организации.
- Атака по типу «отказ в обслуживании»: Не пытайтесь перегружать или отключать службы.
- Деструктивное поведение: Воздерживайтесь от действий, которые могут помешать деятельности организации.
- Тривиальные или неэксплуатируемые уязвимости: Не сообщайте об уязвимостях, которые невозможно использовать, или которые представляют собой незначительные проблемы конфигурации.
- Слабая конфигурация TLS: Избегайте сообщать об уязвимостях, связанных со слабыми конфигурациями TLS, если только они не представляют существенной угрозы безопасности.
- Несанкционированное сообщение: Не раскрывайте информацию об уязвимостях никому, кроме назначенной группы безопасности или по указанным каналам.
- Социальная инженерия или физические атаки: Не пытайтесь ввести в заблуждение сотрудников или нанести физический вред им или инфраструктуре организации.
- Вымогательство: Не требуйте оплаты за раскрытие уязвимостей.
Что ДОЛЖНО делать Сообщающее лицо:
- Защита данных: Уважайте конфиденциальность пользователей и сотрудников Daikin Europe Group.
- Безопасность данных: Надежно храните все данные, полученные в ходе исследования.
- Своевременное удаление данных: Удаляйте данные немедленно, как только они больше не нужны. В исключительных случаях, когда немедленное удаление технически невозможно или юридически ограничено (например, из-за резервного копирования, юридических ограничений), данные должны быть удалены в течение месяца с момента устранения уязвимости. Этот месячный срок представляет собой абсолютный максимальный срок хранения, и следует приложить все усилия, чтобы удалить данные как можно скорее.