Daikin Europe Csoport Sebezhetőség bejelentési és nyilvánosságra hozási irányelv

Utolsó módosítás: 2025. február 03.

Bevezetés

A Daikin Europe N.V. (DENV) a japán székhelyű Daikin Industries Ltd. tulajdonában lévő fiókvállalat. A Daikin Group és leányvállalatai légkondicionálási, fűtési, szellőztetési és hűtési berendezéseket és ipari megoldásokat gyártanak, értékesítenek, forgalmaznak és népszerűsítenek.

A Daikin Europe N.V. leányvállalataival együtt (a továbbiakban mint: „Daikin Europe Csoport”) elkötelezett a termékei, rendszerei, szolgáltatásai és alkalmazásai (a továbbiakban: „Eszközök”) biztonságának és integritásának biztosítása mellett, többek között az adatok védelmének -ideértve a személyes adatokat is,- és a végfelhasználók adatvédelmének biztosítása érdekében, továbbá a hálózat működését veszélyeztető negatív hatások megelőzése és a hálózati források helytelen használatának elkerülése érdekében.

A jelen irányelv célja

A jelen irányelv célja a következő:

1. a Daikin Europe Csoport Eszközeinél felfedezett potenciális sebezhetőségek felelősségteljes közzétételének ösztönzése, és
2. a biztonsági problémák a Daikin Europe Csoporthoz történő bejelentése folyamatának meghatározása, illetve az ilyen jellegű problémák gyors, hatékony és a vonatkozó törvénykezéssel² összhangban történő kezelése.

Célközönség

A sebezhetőségek bejelentésére jogosult személyek közé tartoznak - nem kizárólagosan,- a biztonsági kutatók, végfelhasználók, független szakértők, ipari partnerek, és a nyilvánosság tagjai (a továbbiakban: „a Bejelentő”). Egy sebezhetőség bejelentése előtt a Daikin Europe Csoport javasolja a sebezhetőségek közzétételére vonatkozó jelen irányelv teljes elolvasását, illetve az azzal összhangban történő cselekvést.

A Daikin Europe Csoport nagyra becsüli az összes érintett fél hozzájárulását a Daikin Europe Csoport támogatásában az Eszközei biztonsága elősegítéséhez. Ugyanakkor a Daikin Europe Csoport nem kínál pénzbeli jutalmat a sebezhetőségi problémák bejelentéséért.

Hatálya

A jelen Sebezhetőség bejelentési és nyilvánosságra hozási irányelv minden Eszközre vonatkozik, amelyek károsodása potenciálisan ártalmas a Daikin Europe Csoportra és hatással lesz annak tevékenységére. Ide tartozik - de nem kizárólagosan,- a Daikin Europe Csoport által gyártott és/vagy beszállított összes termék, illetve a digitális eszközök, harmadik felek alkalmazásai, és a Daikin Europe Csoport üzleti környezetén belül használt IT infrastruktúra.

Jelentések

Biztonsági sebezhetőségi probléma felfedezése esetén, kérjük, küldje be azt a Daikin Europe Csoportnak az alábbi e-mail címre: vulnerability@daikineurope.com

Egy sebezhetőség bejelentésekor kérjük, adja meg a következő információkat:

• Az érintett Eszközök modellneve és azonosítója és/vagy azon információk, amelyek lehetővé teszik az érintett Eszközök azonosítását;
• A sebezhetőség leírása, ideértve az azonosításuk és reprodukálhatóságuk módját;
• A sebezhetőség potenciális hatása;
• A „proof-of-concept” kód (ha van) vagy más bizonyíték, amely a sebezhetőség reprodukálásának lépéseit demonstrálja;
• A Bejelentő kapcsolattartási információi (a személyes adatok4 megadása nem kötelező).

Átvételi bizonylat

A sebezhetőségi jelentés beérkezésekor a Daikin Europe Csoport sebezhetőségre reagáló csapata 7 munkanapon belül visszaigazolja a bejelentés beérkezését a Bejelentőnek.

Referencia céljából a bizonylat tartalmazni fog egy követési számot vagy azonosítót. Ha további információra van szükség a bejelentett sebezhetőség vizsgálatához, a Sebezhetőséget vizsgáló csapat felveszi a kapcsolatot a Bejelentővel.

Vizsgálat

A Daikin Europe Csoport Sebezhetőséget vizsgáló csapata vizsgálatot indít a szervezeten belül annak biztosításához, hogy az egyes sebezhetőségi bejelentések érvényessége, súlyossága és hatálya megfelelően lesz értékelve.

A Daikin Europe Csoport elismeri a transzparencia és az együttműködés fontosságát a bejelentett biztonsági sebezhetőségek hatékony kezelése során. Következésképpen a vizsgálati folyamat során a Sebezhetőséget vizsgáló csapat rendszeres frissítést küld a Bejelentőnek az előrehaladás állapotáról, amely tartalmazza a vizsgálat során tapasztalt jelentős eredményeket vagy a további fejlesztéseket.

Kármentesítés

Ha a Daikin Europe Csoport szükségesnek találja egy javítás, konfigurációs módosítások vagy egyéb kármentesítési intézkedés („javítás” vagy „javítások”) alkalmazásával megoldani a sebezhetőségi problémát a kockázat elhárítása vagy enyhítése érdekében, akkor a Daikin Europe Csoport és/vagy harmadik fél beszállítói elkészítik a javításokat. A javításokat úgy tervezik meg, hogy az érintett Eszközök funkcionálásának vagy használhatóságának veszélyeztetése nélkül célozzák meg az azonosított sebezhetőséget.

A javítások elkészítése és hatékonyságuk tesztelése után a hagyományos csatornákon keresztül lesznek elérhetőek, például fedélzeti frissítések, belső vezérlőprogram frissítések, szoftverjavítások keretében, az adott sebezhetőség fajtájától függően. Szükség esetén a Daikin Europe Csoport üzleti partnerei, ideértve a viszonteladókat és telepítő szakembereket is,- értesítést kapnak az általuk elvégzendő teendőkről, mint a javítások továbbítása a végfelhasználók számára vagy segítségnyújtás biztosítása a javítás alkalmazása során.

A bejelentett sebezhetőségek kármentesítését követően a Daikin Europe Csoport utólagos végelemzéseket készít a válaszadási folyamat hatékonyságának értékelése és a fejlődési területek azonosítása érdekében. Az egyes sebezhetőségek kármentesítési erőfeszítéseiből tanultakat dokumentálják és beépítik a jövőbeli válaszadási eljárásokba, a bejelentett sebezhetőségek kezelési folyamatának javítása érdekében.

A Bejelentő értesítést kap az elvégzett javításokról és a sebezhetőség enyhítése érdekében tett további lépésekről.

Titoktartás és a bejelentett sebezhetőségek közzététele

A Daikin Europe Csoport elkötelezett a biztonsági sebezhetőségek az ügyfelei és végfelhasználói felé történő, felelős közzététele iránt. A sebezhetőség teljes körű kivizsgálása után a Daikin Europe Csoport meghatározza a megfelelő közzétételi tervet, mint a javítások elérhetőségét és azok alkalmazására vonatkozó utasításokat tartalmazó kommunikációt. A Sebezhetőséget vizsgáló csapat értesíteni fogja a Bejelentőt. A cél annak biztosítása, hogy az érintett felek értesítést kapjanak a súlyos biztonsági kockázatokról, illetve iránymutatást kapjanak azok enyhítésének módjáról.

A Daikin Europe Csoport elismeri a sebezhetőségi javítások idő előtti közzétételével kapcsolatos kockázatokat, és ezért hangsúlyozza a Bejelentőknek, hogy a sebezhetőség megoldása előtti közzététel jelentős biztonsági fenyegetést jelent, kiváltképpen az érintett Eszközök végfelhasználói számára.

Az idő előtti közzététel potenciálisan a rosszindulatú entitások általi kihasználáshoz vezethet. Ezért a Daikin Europe Csoport azt kéri a potenciális sebezhetőségek Bejelentőitől, hogy alkalmazzanak szigorú titoktartást, és tartózkodjanak a gyanított sebezhetőséggel kapcsolatos információk harmadik feleknek történő közzétételétől, kivéve ha ezt a Daikin Europe Csoport írásban kifejezetten jóváhagyja, vagy a vonatkozó törvények erre kötelezik őket.

Etikus hekkelési irányelvek

Mit NE TEGYEN a Bejelentő:

• Törvénytelen tevékenység: Kerülje az olyan tevékenységet, amely sérti a vonatkozó törvényeket és szabályozásokat.
• Túlzott adatelérhetőség: Korlátozza az adatok elérhetőségét azokra, amelyek a vizsgálathoz szükségesek.
• Adatok módosítása: Tartózkodjon a szervezet rendszerein belüli adatok módosításától.
• Ártalmas tesztelés: Kerülje az olyan eszközök használatát, amelyek károsíthatják a szervezet rendszereit vagy ártalmasak lehetnek azokra nézve.
• Szolgáltatásmegtagadási támadások: Ne kísérelje meg túlterhelni vagy kikapcsolni a szolgáltatásokat.
• Zavaró magatartás: Tartózkodjon az olyan műveletektől, amelyek hatással lehetnek a szervezet műveleteire.
• Triviális vagy nem kihasználható sebezhetőségek: Ne jelentsen be olyan sebezhetőségeket, amelyek nem kihasználhatóak, vagy amelyek kisebb konfigurációs problémák.
• Gyenge TLS konfiguráció: Kerülje a gyenge TLS konfigurációhoz kapcsolódó sebezhetőségek bejelentését, kivéve ha azok jelentős biztonsági kockázatot jelentenek.
• Jogosulatlan kommunikáció: Ne tegye közzé a sebezhetőségeket senkinek, aki nem a kijelölt biztonsági csapat tagja, továbbá a közzétételt kizárólag a meghatározott csatornákon keresztül tegye meg.
• Pszichológiai manipulációs vagy fizikai támadások: Ne próbálja meg megtéveszteni vagy fizikailag megkárosítani a szervezet alkalmazottait vagy infrastruktúráját.
• Zsarolás: Ne követeljen pénzt a sebezhetőségek közzétételéért.

Mit TEGYEN a Bejelentő:

• Adatvédelem: Tartsa tiszteletben a Daikin Europe Csoport felhasználói és alkalmazottai adatainak védelmét.
• Adatbiztonság: Tárolja biztonságosan a kutatás során begyűjtött adatokat.
• Időben történő adattörlés: Azonnal törölje az adatokat, amint már nincs szükség azokra. Kivételes körülmények között, ahol az azonnali adattörlés technikailag lehetetlen vagy törvényileg korlátozott (pl. biztonsági mentések, törvényileg előírt megőrzés esetén), az adatokat egy hónappal a sebezhetőség javítása után törölni kell. Ez az egy hónapos időkeret az abszolút maximális megőrzési időtartam, és minden lehetséges erőfeszítést meg kell tenni a lehető legkorábbi adattörlés érdekében.

Megjegyzés

^{A jelen Sebezhetőségi jelentés és közzétételi irányelv rendszeres felülvizsgálat tárgyát képezi, és igény szerint frissíthető vagy kiegészíthető annak érdekében, hogy megfelelően tükrözze a technológia, a vonatkozó törvények vagy legjobb gyakorlatok változásait.}