Poslednja izmena: 03. februar 2025.
Uvod
Daikin Europe N.V. („DENV“) je u stoprocentnom vlasništvu japanske kompanije Daikin Industries Ltd. Daikin Grupa proizvodi, prodaje, distribuira i vrši marketing opreme i rešenja za klimatizaciju, grejanje, ventilaciju i hlađenje zajedno sa svojim podružnicama.
Daikin Europe N.V., zajedno sa svojim podružnicama (u daljem tekstu „Daikin Europe Grupa“), posvećena je obezbeđivanju sigurnosti i integriteta svojih proizvoda, sistema, usluga i aplikacija (u daljem tekstu „Sredstva“) kako bi se zaštitili, između ostalog, podaci, uključujući lične podatke, privatnost krajnjih korisnika, kao i sprečilo negativno uticanje na funkcionalnost mreže ili zloupotreba njenih resursa.
Svrha ove politike
Svrha ove politike je da:
podstakne odgovorno prijavljivanje potencijalnih ranjivosti otkrivenih u Sredstvima Daikin Europe Grupe, i
uspostavi proces za prijavljivanje bezbednosnih problema Daikin Europe Grupi i njihovo blagovremeno, efikasno i u skladu sa važećim zakonima rešavanje.
Ciljna publika
Lica koja imaju pravo da prijavljuju ranjivosti uključuju, ali nisu ograničena na, bezbednosne istraživače, krajnje korisnike, nezavisne eksperte, industrijske partnere i članove javnosti (u daljem tekstu „Prijavljivač“). Daikin Europe Grupa preporučuje da se ova politika detaljno pročita pre prijavljivanja ranjivosti i da se postupa u skladu sa njom.
Daikin Europe Grupa ceni doprinos svih zainteresovanih strana u pomaganju da se obezbedi sigurnost Sredstava, ali ne nudi finansijske nagrade za prijavljivanje ranjivosti.
Obuhvat
Ova Politika za prijavljivanje i objavljivanje ranjivosti odnosi se na sva Sredstva koja, ukoliko budu kompromitovana, mogu potencijalno naneti štetu Daikin Europe Grupi ili uticati na njeno poslovanje. Ovo uključuje, ali nije ograničeno na, sve proizvode koje proizvodi i/ili isporučuje Daikin Europe Grupa, kao i digitalna sredstva, aplikacije trećih strana i IT infrastrukturu koja se koristi u poslovanju Daikin Europe Grupe.
Prijavljivanje
Ukoliko otkrijete bezbednosnu ranjivost, molimo da je prijavite Daikin Europe Grupi na sledeću adresu:
vulnerability@daikineurope.com
Pri prijavljivanju ranjivosti, molimo da navedete sledeće informacije:
Naziv modela ili identifikator pogođenih Sredstava i/ili informacije koje omogućavaju identifikaciju pogođenih Sredstava;
Opis ranjivosti, uključujući kako može da se identifikuje ili reprodukuje;
Potencijalni uticaj ranjivosti;
Proof-of-concept kod (ako je dostupan) ili drugi dokaz sa koracima za reprodukciju ranjivosti;
Kontakt informacije Prijavljivača (nije obavezno dostavljanje ličnih podataka).
Potvrda prijema
Nakon prijema prijave o ranjivosti, Tim za odgovor na ranjivosti Daikin Europe Grupe poslaće potvrdu Prijavljivaču u roku od 7 radnih dana.
Potvrda će sadržati broj za praćenje ili identifikator radi referenci. Ukoliko budu potrebne dodatne informacije za istragu prijavljene ranjivosti, Tim za odgovor će obavestiti Prijavljivača.
Istraga
Tim za odgovor na ranjivosti Daikin Europe Grupe sprovešće istragu kako bi pravilno procenio validnost, ozbiljnost i obuhvat svake prijavljene ranjivosti.
Daikin Europe Grupa prepoznaje važnost transparentnosti i saradnje u efikasnom upravljanju prijavljenim bezbednosnim ranjivostima. Tokom procesa istrage, Tim će pružati redovna ažuriranja Prijavljivaču o statusu, uključujući značajna otkrića ili dalji razvoj situacije.
Rešavanje
Ako Daikin Europe Grupa proceni da je potrebno rešiti ranjivost primenom zakrpe, promenom konfiguracije ili drugim merama (u daljem tekstu „ispravka“), Daikin Europe Grupa i/ili njeni dobavljači će pripremiti odgovarajuće ispravke.
Ispravke će biti dizajnirane tako da otklone identifikovanu ranjivost bez narušavanja funkcionalnosti ili upotrebljivosti pogođenih Sredstava. Nakon razvoja i testiranja, ispravke će biti distribuirane kroz redovne kanale, kao što su OTA ažuriranja, ažuriranja firmware-a, zakrpe softvera, u zavisnosti od prirode ranjivosti.
Ukoliko je potrebno, poslovni partneri Daikin Europe Grupe, uključujući distributere i instalatere, biće obavešteni o potrebnim aktivnostima kao što su pomoć pri distribuciji zakrpa ili instrukcije za njihovu primenu.
Po rešavanju ranjivosti, Daikin Europe Grupa će sprovesti analizu kako bi procenila efikasnost procesa odgovora i identifikovala oblasti za unapređenje. Stečena iskustva biće dokumentovana i uključena u buduće procedure za unapređenje procesa upravljanja prijavljenim ranjivostima.
Prijavljivač će biti obavešten o primeni ispravki i dodatnim preduzetim koracima.
Poverljivost i objavljivanje prijavljenih ranjivosti
Daikin Europe Grupa je posvećena odgovornom objavljivanju bezbednosnih ranjivosti svojim klijentima i krajnjim korisnicima. Po završetku istrage, Daikin Europe Grupa će odrediti odgovarajući plan objavljivanja, uključujući komunikaciju o dostupnosti ispravki i instrukcije za njihovu primenu. Tim za odgovor će adekvatno informisati Prijavljivača.
Prevremeno objavljivanje može omogućiti zloupotrebu od strane zlonamernih aktera. Stoga, Daikin Europe Grupa traži od Prijavljivača da strogo čuva poverljivost i da ne objavljuje nikakve informacije o potencijalnoj ranjivosti trećim stranama, osim ukoliko to izričito ne odobri Daikin Europe Grupa u pisanoj formi ili ukoliko to ne zahteva važeći zakon.
Smernice za etički hacking
Šta Prijavljivač NE SME da radi:
Nezakonite aktivnosti: Izbegavati aktivnosti koje krše zakone i propise.
Prekomeran pristup podacima: Ograničiti pristup samo na ono što je neophodno za istragu.
Modifikacija podataka: Ne menjati podatke u sistemima organizacije.
Destruktivno testiranje: Ne koristiti alate koji mogu oštetiti ili ometati sisteme.
DoS napadi: Ne pokušavati preopterećenje ili onemogućavanje usluga.
Destruktivno ponašanje: Izbegavati aktivnosti koje ometaju rad organizacije.
Trivijalne ranjivosti: Ne prijavljivati ranjivosti koje nisu eksploatabilne ili su minorne.
Slabe TLS konfiguracije: Ne prijavljivati osim ako ne predstavljaju značajan rizik.
Neovlašćena komunikacija: Ne objavljivati ranjivosti bilo kome osim timu zaduženom za odgovor.
Socijalni inženjering i fizički napadi: Ne pokušavati obmane ili fizičke napade.
Ucena: Ne tražiti plaćanje za otkrivanje informacija.
Šta Prijavljivač MORA da radi:
Zaštita podataka: Poštovati privatnost korisnika i zaposlenih.
Sigurnost podataka: Bezbedno čuvati dobijene podatke.
Pravovremeno brisanje: Izbrisati podatke čim više nisu potrebni, najkasnije u roku od mesec dana nakon rešavanja ranjivosti, osim ako je brisanje tehnički nemoguće ili pravno ograničeno.
Obaveštenje
Ova Politika za prijavljivanje i objavljivanje ranjivosti podložna je periodičnom pregledu i može biti ažurirana po potrebi kako bi odražavala promene u tehnologiji, važećim zakonima ili najboljim praksama.