Skip to main content

Политика за докладване и разкриване на пропуски на Група Daikin Europe

Последна промяна на: 03 февруари 2025 г.

Въведение

Daikin Europe N.V. („DENV“) е дъщерна компания, изцяло притежавана от японската компания Daikin Industries Ltd. Daikin Group произвежда, продава, дистрибутира и предлага на пазара климатична, отоплителна, вентилационна и хладилна техника и предлага бизнес решения заедно със своите европейски дъщерни дружества.

Daikin Europe N.V. заедно със своите дъщерни дружества (наричани по-долу „Група Daikin Europe“), се ангажира с осигуряването на сигурността и целостта на своите продукти, системи, услуги и приложения (наричани по-долу „Активи“) с цел да гарантира, наред с другото, защитата на данните, включително лични данни, и поверителността на крайните потребители, както и предотвратяването на евентуално неблагоприятно въздействие върху функционирането на мрежата или неправомерно използване на мрежовите ресурси.

Цел на настоящата политика

Целта на настоящата политика е:

  1. да насърчава отговорното разкриване на потенциални пропуски, открити в Активите на Групата Daikin Europe, както и
  2. да утвърди процес за докладване на проблеми, свързани със сигурността, пред Групата Daikin Europe и за тяхното своевременно и ефективно разрешаване в съответствие с действащото законодателство².

Целева аудитория

Лицата, които имат право да докладват пропуски, включват, но не се ограничават до, експерти по киберсигурност, крайни потребители, независими специалисти, браншови партньори и представители на широката общественост (наричани по-долу „Докладващ“). Групата Daikin Europe препоръчва настоящата политика за разкриване на пропуски да бъде прочетена изцяло преди подаване на сигнал и стриктно спазвана при всяко действие, свързано с докладване.

Групата Daikin Europe високо цени приноса на всички заинтересовани страни в усилията по гарантиране сигурността на Активите. Следва да се отбележи, че Групата Daikin Europe не предвижда предоставянето на парични стимули във връзка с разкриването на пропуски.

Обхват

Настоящата политика за докладване и разкриване на пропуски се прилага по отношение на всички Активи, които, при наличие на слабости или неправомерен достъп, биха могли да нанесат вреда на Групата Daikin Europe

или да окажат влияние върху нейното функциониране. Това включва, но не се ограничава до, всички продукти, произведени и/или доставяни от Групата Daikin Europe, както и цифровите активи, приложенията на трети страни и ИТ инфраструктурата, използвани в рамките на бизнес средата на Групата Daikin Europe.

Докладване

При откриване на пропуск, свързан със сигурността, моля изпратете информацията до Групата Daikin Europe на следния адрес: vulnerability@daikineurope.com

При докладване на пропуск, моля да предоставите следната информация:

  • Наименование(я) или идентификатор(и) на засегнатите Активи и/или информация, позволяваща тяхната идентификация;
  • Описание на пропуска, включително как може да бъде открит или възпроизведен;
  • Потенциалното въздействие на пропуска;
  • Примерен код (ако е наличен) или други доказателства, описващи стъпките за възпроизвеждане на пропуска;
  • Информация за контакт с Докладващия (предоставянето на лични данни4 не е задължително).

Потвърждение за получаване

След получаване на сигнал за пропуск, Екипът за сигнали и пропуски на Групата Daikin Europe ще потвърди неговото получаване на Докладващия в срок до 7 работни дни.

Потвърждението ще съдържа референтен номер или идентификатор за последващи справки. Ако за нуждите на разследването е необходима допълнителна информация относно докладвания пропуск, екипът ще се свърже с Докладващия.

Разследване

Екипът за сигнали и пропуски на Групата Daikin Europe ще проведе вътрешно разследване с цел да гарантира, че валидността, сериозността и обхватът на всеки докладван сигнал за пропуск са адекватно оценени.

Групата Daikin Europe признава значимостта на прозрачността и сътрудничеството при ефективното разглеждане и отстраняване на пропуски в сигурността. В тази връзка, по време на процеса на разследване, Екипът за сигнали и пропуски ще предоставя на Докладващия редовна информация относно напредъка, включително за съществени констатации или други нови данни.

Отстраняване

Ако Групата Daikin Europe прецени, че е необходимо даден пропуск да бъде разгледан и отстранен чрез прилагане на корекция, промяна в конфигурацията или друга коригираща мярка (наричана по-долу „корекция“ или „корекции“), те ще бъдат подготвени от Групата Daikin Europe и/или от нейни доставчици от трети страни. Корекциите ще бъдат разработени така, че да отстраняват идентифицирания пропуск, без да се нарушава функционалността или възможността за използване на съответните Активи.

След като корекциите бъдат разработени и успешно тествани за ефективност, те ще бъдат разпространени чрез обичайните канали, като безжични актуализации, фърмуерни актуализации, софтуерни кръпки, в зависимост от естеството на пропуска. Ако е необходимо, деловите партньори на Групата Daikin Europe, включително дистрибутори и монтажници, ще бъдат информирани относно необходимите действия от тяхна страна - например съдействие при разпространение на корекции до крайните потребители или даване на указания относно тяхното прилагане.

След отстраняване на докладваните пропуски, Групата Daikin Europe ще извършва анализи пост фактум с цел оценка на ефективността на предприетите действия и идентифициране на области за подобрение. Поуките, извлечени от всяка дейност по отстраняване на пропуски, ще бъдат документирани и включвани в бъдещи процедури за действие, с цел повишаване на ефективността при работа с нови сигнали.

Докладващият ще бъде информиран относно внедряването на корекциите и евентуални допълнителни мерки, предприети за ограничаване на съответния пропуск.

Поверителност и разкриване на докладвани пропуски

Групата Daikin Europe се ангажира с отговорно разкриване на пропуски в сигурността пред своите клиенти и крайни потребители. След цялостно разследване на даден пропуск, Групата Daikin Europe ще определи подходящ план за неговото публично обявяване - например чрез съобщение за наличието на корекции и указания за тяхното прилагане. Екипът за сигнали и пропуски ще информира Докладващия относно предприетите действия. Целта е засегнатите страни да бъдат своевременно уведомени за сериозни рискове, свързани със сигурността, както и да получат насоки за тяхното ограничаване.

Групата Daikin Europe отчита присъщите рискове при преждевременно разкриване на пропуски и затова обръща внимание на Докладващите, че всяко оповестяване на подобна информация преди нейното окончателно разрешаване представлява съществена заплаха за сигурността - особено за крайните потребители на съответните Активи.

Преждевременното разкриване може потенциално да улесни злоумишлено използване от недоброжелателни страни. Поради това, Групата Daikin Europe настоятелно моли Докладващите на потенциални пропуски да спазват строга поверителност и да се въздържат от разпространяване на каквато и да е информация относно съмнения за пропуск пред трети страни, освен ако не е изрично упълномощено в писмена форма от страна на Групата Daikin Europe или не се изисква по силата на действащото законодателство

Насоки за етично откриване на пропуски

Какво НЕ бива да прави Докладващият:

  • Незаконни действия: Избягвайте всякакви действия, които нарушават действащото законодателство или нормативна уредба.
  • Прекомерен достъп до данни: Ограничете достъпа до данни само до необходимото за целите на изследването.
  • Промяна на данни: Не променяйте каквито и да е данни в системите на организацията.
  • Използване на рискови инструменти: Избягвайте използването на инструменти или методи, които могат да повредят или нарушат работата на системите на организацията.
  • Атаки от тип „отказ на услуга“ (DoS): Не се опитвайте да претоварвате или да прекъсвате работата на услуги.
  • Поведение, водещо до смущения: Избягвайте действия, които могат да попречат на нормалната работа на организацията.
  • Несъществени или неизползваеми пропуски: Не докладвайте пропуски, които не могат реално да се използват на практика или представляват незначителни отклонения в конфигурацията.
  • Пропуски, свързани със слаба конфигурация на протокола за защитена комуникация (TLS): Не докладвайте за пропуски, свързани със слаба конфигурация на протокола за защитена комуникация (TLS), освен ако те не представляват съществен риск за сигурността.
  • Неофициално общуване: Не разкривайте информация за пропуски пред други лица освен пред определените членове на екипа по сигурността или чрез посочените официални канали.
  • Социално инженерство или физически атаки: Не се опитвайте да заблуждавате или да навредите физически на служители или инфраструктура на организацията.
  • Изнудване: Не изисквайте заплащане в замяна на предоставяне на информация за пропуски.

Какво ТРЯБВА да прави Докладващият:

  • Защита на данните: Уважавайте поверителността на потребителите и служителите на Групата Daikin Europe.
  • Сигурност на данните: Съхранявайте всички получени данни по време на изследването по сигурен начин.
  • Своевременно изтриване на данните: Изтривайте всички данни веднага след като вече не са необходими. В изключителни случаи, когато незабавното изтриване е технически невъзможно или правно ограничено (например поради резервни копия или съдебно задържане на данни), съхраняването не трябва да надвишава един месец след отстраняването на пропуска. Този едномесечен срок представлява абсолютен максимум, като трябва да се положат всички усилия данните да бъдат заличени възможно най-скоро.

Забележка

Настоящата Политика за докладване и разкриване на пропуски подлежи на периодичен преглед и може да бъде актуализирана или изменяна при необходимост, с оглед промени в технологиите, действащото законодателство или добрите практики.