Poslední aktualizace: 3. února 2025
Úvod
Daikin Europe N.V. Společnost Daikin Europe N.V. („DENV“) je plně vlastněnou dceřinou společností japonské firmy Daikin Industries Ltd. Skupina Daikin se zabývá výrobou, prodejem, distribucí a marketingem klimatizačních, topných, ventilačních a chladicích zařízení a souvisejících služeb.
Společnost Daikin Europe N.V.spolu se svými dceřinými společnostmi (dále jen „Daikin Europe Group“) se zavazuje zajistit bezpečnost a integritu svých produktů, systémů, služeb a aplikací (dále jen „majetek“), s cílem mimo jiné zajistit ochranu dat, včetně osobních údajů, soukromí koncových uživatelů a zabránit jakýmkoli negativním dopadům na síťové funkce nebo zneužití síťových zdrojů.
Účel těchto zásad
Tyto zásady mají za cíl:
- Podporovat zodpovědné zveřejňování jakýchkoli potenciálních zranitelností zjišěných v majetku skupiny Daikin Europe.
- Stanovit postup pro hlášení bezpečnostních problémů skupině Daikin Europe a zajistit jejich rychlé a účinné řešení v souladu s platnou legislativou².
Cílová skupina
K hlášení zranitelností jsou oprávněni mimo jiné bezpečnostní výzkumníci, koncoví uživatelé, nezávislí odborníci, obchodní partneři a zástupci široké veřejnosti (dále jen „Oznamovatel“). Skupina Daikin Europe doporučuje, aby si oznamovatelé důkladně prostudovali tyto zásady před odesláním hlášení o zranitelnosti a vždy jednali v souladu s nimi.
Skupina Daikin Europe oceňuje přínos všech zainteresovaných stran při zajištění bezpečnosti svého majetku, avšak nenabízí za nahlášení a zveřejnění bezpečnostních zranitelností finanční odměny.
Rozsah působnosti
Tyto zásady pro ohlašování a zveřejňování bezpečnostních zranitelností se vztahují na veškerý majetek, jehož ohrožení by mohlo potenciálně poškodit skupinu Daikin Europe
nebo narušit její činnost. To zahrnuje mimo jiné všechny produkty vyráběné a/nebo dodávané skupinou Daikin Europe, jakož i digitální aktiva, aplikace třetích stran a IT infrastrukturu využívanou ve skupině Daikin Europe.
Postup hlášení
Pokud zjistíte bezpečnostní zranitelnost, nahlaste ji prostřednictvím e-mailu skupně Daikin Europe na adresu: vulnerability@daikineurope.com.
Požadované informace v hlášení:
- Název modelu nebo jiný identifikátor dotčeného majetku;
- Popis zranitelnosti, včetně způsobu, jakým ji lze identifikovat nebo reprodukovat;
- Možný dopad zranitelnosti;
- Důkazní materiál (např. proof-of-concept, je-li k dispozici) nebo jiný důkaz prokazující kroky k reprodukci zranitelnosti;
- Kontaktní údaje oznamovatele (poskytnutí osobních údajů4 se nevyžaduje).
Potvrzení o přijetí hlášení
Po obdržení hlášení o bezpečnostní zranitelnosti potvrdí tým pro řešení zranitelností skupiny Daikin Europe oznamovateli přijetí hlášení do 7 pracovních dnů.
Potvrzení bude obsahovat referenční číslo nebo identifikátor. Pokud jsou k prošetření nahlášené bezpečnostní zranitelnosti zapotřebí další informace, tým pro řešení je oznamovateli sdělí.
Šetření
Tým pro řešení bezpečnostních zranitelností skupiny Daikin Europe provede interní šetření s cílem ověřit platnost, závažnost a rozsah nahlášené zranitelnosti.
Skupina Daikin Europe uznává důležitost transparentnosti a spolupráce při efektivním řízení nahlášených bezpečnostních zranitelností. V důsledku toho bude tým pro řešení bezpečnostních zranitelností v průběhu celého šetření pravidelně informovat oznamovatele o stavu vývoji šetření, včetně jakýchkoli významných zjištění.
Náprava
Pokud skupina Daikin Europe považuje za nezbytné řešit a vyřešit zranitelnost použitím záplaty, změnou konfigurace nebo jiným nápravným opatřením („oprava“ nebo „opravy“) k odstranění nebo zmírnění rizika, skupina Daikin Europe a/nebo její dodavatelé třetích stran připraví opravy. Opravy budou navrženy tak, aby řešily identifikovanou bezpečnostní zranitelnost, aniž by byla ohrožena funkčnost nebo použitelnost dotčeného majetku.
Jakmile budou opravy vyvinuty a bude otestována jejich účinnost, budou distribuovány běžnými kanály, jako jsou automatické aktualizace, aktualizace firmwaru, softwarové záplaty, v závislosti na povaze zranitelnosti. V případě potřeby budou obchodní partneři skupiny Daikin Europe, včetně prodejců a instalatérů, informováni o všech požadovaných opatřeních z jejich strany, jako je pomoc při distribuci oprav koncovým uživatelům nebo poskytování pokynů k aplikaci oprav.
Po odstranění nahlášených zranitelností provede skupina Daikin Europe post-mortem analýzy, aby vyhodnotila účinnost procesu reakce a identifikovala oblasti pro zlepšení. Poznatky získané z každého úsilí o nápravu zranitelností budou zdokumentovány a začleněny do budoucích postupů reakce s cílem zlepšit proces řešení nahlášených zranitelností.
Oznamovatelé budou informováni o nasazení oprav a dalších krocích přijatých ke zmírnění zranitelnosti.
Ochrana důvěrnosti a zveřejnění nahlášených bezpečnostních zranitelností
Skupina Daikin Europe se zavazuje k odpovědnému zveřejňování bezpečnostních zranitelností svým zákazníkům a koncovým uživatelům. Po dokončení vyšetřování stanoví skupina Daikin Europe vhodný plán zveřejnění, který bude obsahovat informace o dostupných opravách a pokyny k jejich aplikaci. Tým pro řešení bezpečnostních zranitelností bude odpovídajícím způsobem informovat oznamovatele. Cílem je zajistit, aby dotčené strany byly informovány o závažných bezpečnostních rizicích a byly jim poskytnuty pokyny, jak je zmírnit.
Skupina Daikin Europe si je vědoma rizik spojených s předčasným zveřejněním bezpečnostních zranitelností, a proto zdůrazňuje oznamovatelům, že každé takové zveřejnění v době, kdy ještě není zranitelnost vyřešena, představuje významnou bezpečnostní hrozbu, zejména pro koncové uživatele dotčeného majetku.
Předčasné zveřejnění by mohlo potenciálně usnadnit zneužití zranitelnosti škodlivými subjekty. Skupina Daikin Europe proto důrazně žádá, aby oznamovatelé zachovávali přísnou důvěrnost a zdrželi se sdělování jakýchkoli informací týkajících se podezřelé zranitelnosti třetím stranám, pokud k tomu nejsou výslovně písemně zmocněni skupinou Daikin Europe nebo pokud jim to neukládá platný zákon.
Etický hacking – co je povoleno a zakázáno
Co oznamovatel NESMÍ dělat:
- Nelegální činnost: Vyhněte se jakýmkoli činnostem, které porušují platné zákony nebo předpisy.
- Přístup k nadměrnému množství dat: Omezte přístup k datům na míru nezbytnou pro výzkum.
- Úpravy dat: Zdržte se jakýchkoli změn dat v systémech organizace.
- Destruktivní testování: Vyvarujte se používání nástrojů, které by mohly poškodit nebo narušit systémy organizace.
- Útoky typu DoS: Nepokoušejte se přetížit nebo vyřadit služby.
- Rušivé chování: Zdržte se jakýchkoli činností, které by mohly narušit provoz organizace.
- Triviální nebo nezneužitelné zranitelnosti: Neoznamujte zranitelnosti, které nelze zneužít nebo drobné konfigurační nedostatky.
- Slabá konfigurace TLS: Nehlaste zranitelnosti související se slabou konfigurací TLS, pokud nepředstavují významné bezpečnostní riziko.
- Neoprávněná komunikace: Neoznamujte zranitelnosti nikomu jinému než určenému bezpečnostnímu týmu nebo prostřednictvím určených kanálů.
- Sociální inženýrství nebo fyzické útoky: Nepokoušejte se oklamat nebo fyzicky poškodit zaměstnance organizace nebo její infrastrukturu.
- Vydírání: Nepožadujte finanční odměnu za nahlášení zranitelností.
Co oznamovatel MUSÍ udělat:
- Ochrana dat: Respektujte soukromí uživatelů a zaměstnanců skupiny Daikin Europe.
- Zabezpečení dat: Bezpečně uchovávejte veškerá data získaná během výzkumu.
- Včasné mazání dat: Data odstraňte okamžitě, jakmile již nejsou potřeba. Za výjimečných okolností, kdy je okamžité vymazání technicky nemožné nebo právně omezené (např. z důvodu zálohování, zákonného zadržení), musí být data vymazána do jednoho měsíce od odstranění zranitelnosti. Tato jednoměsíční lhůta představuje absolutní maximální dobu uchovávání a je třeba vyvinout veškeré úsilí, aby byla data vymazána co nejdříve.
Upozornění
Tyto Zásady ohlašování a zveřejňování bezpečnostních zranitelností podléhají pravidelné revizi a mohou být podle potřeby aktualizovány nebo změněny tak, aby odrážely změny v technologii, platné zákony nebo osvědčené postupy.