Pēdējās izmaiņas veiktas: 2025. gada 3. februārī
Ievads
Daikin Europe N.V. (“DENV”) ir Japānas uzņēmuma “Daikin Industries Ltd” pilnībā piederošs meitasuzņēmums. Daikin grupa kopā un tās meitasuzņēmumi ražo, pārdod, izplata gaisa kondicionēšanas, apsildes, ventilācijas un dzesēšanas/saldēšanas iekārtas un risinājumus un veic ar šiem izstrādājumiem saistīto uzņēmuma tirgvedību.
Daikin Europe N.V. kopā ar meitasuzņēmumiem (turpmāk tekstā – “Daikin Europe grupa”) ir apņēmušies nodrošināt savu produktu, sistēmu, pakalpojumu un lietojumprogrammu (turpmāk tekstā – “Aktīvi”) drošību un integritāti, lai cita starpā nodrošinātu datu, tostarp personas datu, un galalietotāju privātuma aizsardzību, kā arī novērstu jebkādu negatīvu ietekmi uz tīkla funkcionalitāti vai tīkla resursu ļaunprātīgu izmantošanu.
Šīs politikas nolūks
Šīs politikas nolūks ir:
- mudināt atbildīgi atklāt visas iespējamās ievainojamības, kas atklātas Daikin Europe grupas Aktīvos un
- izveidot procesu, kas ļauj ziņot Daikin Europe grupai par drošības jautājumiem un nekavējoties, efektīvi un saskaņā ar piemērojamajiem tiesību aktiem risināt šādus jautājumus².
Mērķauditorija
Personas, kas ir tiesīgas ziņot par ievainojamību, cita starpā ir drošības pētnieki, galalietotāji, neatkarīgi eksperti, nozares partneri un plašas sabiedrības locekļi (turpmāk “Ziņotājs”). Daikin Europe grupa iesaka pilnībā izlasīt šo ievainojamību atklāšanas politiku pirms ziņošanas un vienmēr rīkoties saskaņā ar to.
Daikin Europe grupa novērtē visu ieinteresēto pušu ieguldījumu Daikin Europe grupas Aktīvu aizsardzībā. Tomēr Daikin Europe grupa nepiedāvā naudas atlīdzību par ievainojamību atklāšanu.
Tvērums
Šī ievainojamību ziņošanas un atklāšanas politika attiecas uz visiem Aktīviem, kas apdraudējuma gadījumā varētu kaitēt Daikin Europe grupai vai ietekmēt tās uzņēmējdarbību. Šie Aktīvi cita starpā ir visi Daikin Europe grupas ražotie un/vai piegādātie produkti, kā arī digitālie aktīvi, trešo pušu lietojumprogrammas un IT infrastruktūra, kas tiek izmantota Daikin Europe grupas uzņēmējdarbības vidē.
Ziņošana
Ja tiek atklāta drošības ievainojamība, lūdzu, ziņojiet par to Daikin Europe grupai, izmantojot šo e-pasta adresi: vulnerability@daikineurope.com
Kad ziņojat par ievainojamību, lūdzu, sniedziet šādu informāciju:
- ietekmēto aktīvu modeļu nosaukumi vai identifikatori un/vai informācija, kas ļauj identificēt ietekmētos Aktīvus;
- ievainojamības apraksts, tostarp tas, kā to var identificēt vai reproducēt;
- ievainojamības iespējamā ietekme;
- koncepcijas apliecinājuma kods (ja tāds ir) vai citi pierādījumi, kas ļauj reproducēt ievainojamību;
- Ziņotāja kontaktinformācija (personas dati nav jānorāda).
Saņemšanas apstiprinājums
Saņemot ziņojumu par ievainojamību, Daikin Europe grupas ievainojamību reaģēšanas komanda 7 darbadienu laikāZiņotājam apstiprina ziņojuma saņemšanu.
Apliecinājumā atsauces nolūkā tiek iekļauts izsekošanas numurs vai identifikators. Ja ziņotās ievainojamības izmeklēšanai ir nepieciešama papildu informācija, ievainojamību reaģēšanas komanda par to informē Ziņotāju.
Izmeklēšana
Daikin Europe grupas ievainojamību reaģēšanas komanda organizācijā veiks izmeklēšanu, lai nodrošinātu, ka tiek pienācīgi novērtēta katras ziņotās ievainojamības pamatotība, nozīmīgums un vēriens.
Daikin Europe grupa apzinās pārredzamības un sadarbības nozīmi ziņoto drošības ievainojamību efektīvā pārvaldība. Līdz ar to visā izmeklēšanas procesā ievainojamību reaģēšanas komanda regulāri informē Ziņotāju par izmeklēšanas statusu, tostarp par jebkādiem būtiskiem atklājumiem vai citiem jaunumiem.
Korektīvie pasākumi
Ja Daikin Europe grupa uzskata, ka ievainojamību nepieciešams novērst, ieviešot labojumu, veicot konfigurācijas izmaiņas vai citus korektīvos pasākumus (“labojums” vai “labojumi”), lai novērstu vai mazinātu risku, Daikin Europe grupa un/vai tās trešo pušu piegādātāji sagatavos labojumus. Labojumi tiek izstrādāti, lai novērstu identificēto ievainojamību, neapdraudot ietekmēto Aktīvu funkcionalitāti vai lietojamību.
Pēc labojumu izstrādes un efektivitātes pārbaudes tie tiek izplatīti parastajos veidos, piemēram, ar bezvadu atjauninājumiem, aparātprogrammatūras atjauninājumiem, programmatūras ielāpiem, atkarībā no ievainojamības veida. Ja nepieciešams, Daikin Europe grupas darījumu partneri, tostarp tālākpārdevēji un uzstādītāji, tiek informēti par visām darbībām, kas nepieciešamas no viņu puses, piemēram, par palīdzību ielāpu izplatīšanā galalietotājiem vai norādījumu sniegšanu attiecībā uz ielāpu lietošanu.
Pēc ievainojamību novēršanas Daikin Europe grupa veic post-mortem analīzi, lai novērtētu reaģēšanas procesa efektivitāti un identificētu jomas, kuras var uzlabot. Pieredze, kas gūta no ievainojamību korektīvajiem pasākumiem, tiek dokumentēta un iekļauta nākotnes reaģēšanas procedūrās, lai uzlabotu paziņoto ievainojamību koriģēšanas procesu.
Ziņotājs tiks informēts par ieviestajiem labojumiem un jebkādiem papildu pasākumiem, kas veikti, lai mazinātu ievainojamību.
Ziņoto ievainojamību konfidencialitāte un izpaušana
Daikin Europe grupa ir apņēmusies atbildīgi informēt savus klientus un galalietotājus par drošības ievainojamībām. Kad ievainojamība ir pilnībā izmeklēta, Daikin Europe grupa izveido piemērotu atklāšanas plānu, piemēram, paziņojumu par labojumu pieejamību un norādījumus par to ieviešanu. Ievainojamību reaģēšanas komanda attiecīgi informē Ziņotāju. Mērķis ir nodrošināt, ka ietekmētās puses tiek informētas par nopietniem drošības riskiem un nodrošināt norādījumus par to mazināšanu.
Daikin Europe grupa apzinās riskus, kas saistīti ar ievainojamību priekšlaicīgu atklāšanu, un tādēļ Ziņotājiem uzsver, ka vēl neatrisinātu ievainojamību atklāšana, rada būtisku drošības apdraudējumi, jo īpaši ietekmēto Aktīvu galalietotājiem.
Priekšlaicīga informācijas atklāšana entitātēm var atvieglot ļaunprātīgu situācijas izmantošanu. Tādēļ Daikin Europe grupa iespējamo ievainojamību Ziņotājiem lūdz stingri ievērot konfidencialitāti un atturēties no jebkādas informācijas par iespējamo ievainojamību izpaušanas trešajām pusēm, ja vien to nav skaidri rakstiski atļāvusi Daikin Europe grupa vai arī tas nav paredzēts attiecīgajos tiesību aktos.
Ētiskās uzlaušanas vadlīnijas
Ziņotājs NEDRĪKST veikt šādas darbības:
- Nelegālas darbības: izvairieties no jebkādām darbībām, kas pārkāpj piemērojamos tiesību aktus un likumus.
- Piekļūt pārmērīgi daudz datiem: piekļūstiet tikai tiem datiem, kas ir nepieciešami izpētei.
- Datu modificēšana: nemainiet organizācijas sistēmās esošos datus.
- Destruktīva testēšana: neizmantojiet rīkus, ar kuriem var tikt bojātas organizācijas sistēmas vai traucēta to darbība.
- Pakalpojumu atteikuma uzbrukumi: nemēģiniet pārslogot vai apturēt pakalpojumus.
- Traucējošas darbības: neveiciet darbības, kas var traucēt organizācijas uzņēmējdarbībai.
- Triviālas ievainojamības vai ievainojamības, kuras nevar izmantot ļaunprātīgi: neziņojiet par ievainojamībām, kuras nevar izmantot ļaunprātīgi vai kuras ir mazsvarīgas konfigurācijas problēmas.
- Vāja TLS konfigurācija: neziņojiet par ievainojamībām, kas saistītas ar vājām TLS konfigurācijām, ja vien tās nerada būtisku drošības risku.
- Neatļauta ziņošana: neizpaudiet ievainojamību nevienam citam kā tikai norīkotajai drošības komandai un komunicējiet, izmantojot norādītos kanālus.
- Sociālā inženierija vai fiziski uzbrukumi: nemēģiniet maldināt vai fiziski kaitēt organizācijas personālam vai infrastruktūrai.
- Izspiešana: nepieprasiet samaksu par ievainojamību atklāšanu.
Kas Ziņotājam JĀIEVĒRO:
- Datu aizsardzība: ievērojiet Daikin Europe grupas lietotāju un darbinieku konfidencialitāti.
- Datu drošība: droši glabājiet visus izpētes laikā iegūtos datus.
- Laicīga datu dzēšana: dzēsiet datus, tiklīdz tie vairs nav nepieciešami. Izņēmuma gadījumos, kad tūlītēja dzēšana ir tehniski neiespējama vai juridiski ierobežota (piemēram, dublējumu, likumīgi pamatotas aizturēšanas dēļ), dati ir jādzēš mēneša laikā pēc ievainojamības novēršanas. Šis viena mēneša termiņš ir absolūtais maksimālais saglabāšanas periods, un šajā periodā jādara viss iespējamais, lai dzēstu datus pēc iespējas ātrāk.