Viimati muudetud: 3.02.2025
Sissejuhatus
Daikin Europe N.V. („DENV“) on täielikult Jaapani ettevõtte Daikin Industries Ltd. omanduses olev tütarettevõte. Daikin Group koos oma tütarettevõtetega toodab, müüb, levitab ja turustab kliima-, kütte-, ventilatsiooni- ja külmutusseadmeid ning -lahendusi.
Daikin Europe N.V. koos oma tütarettevõtetega (edaspidi „Daikin Europe Group“) on pühendunud oma toodete, süsteemide, teenuste ja rakenduste (edaspidi „Varade“) turvalisuse ja terviklikkuse tagamisele, et kaitsta muu hulgas andmete, sealhulgas isikuandmete ja lõppkasutajate privaatsust ning vältida negatiivset mõju võrgu funktsionaalsusele või võrguressursside väärkasutamist.
Selle poliitika eesmärk
Selle poliitika eesmärk on
- julgustada Daikin Europe Groupi varades avastatud võimalikke haavatavusi vastutustundlikult avalikustama ja
- panna paika protsess turvaprobleemidest Daikin Europe Groupile teatamiseks ja nende probleemide kiireks, tõhusaks ja kohaldatavate õigusaktidega kooskõlas toimuvaks lahendamiseks².
Sihtrühm
Turvanõrkustest teatamiseks on muu hulgas õigus turvalisuse uurijatel, lõppkasutajatel, sõltumatutel ekspertidel, tööstuspartneritel ja üldsusel (edaspidi „Teataja“). Daikin Europe Group soovitab enne turvanõrkustest teatamist selle turvanõrkuse avalikustamise poliitika täielikult läbi lugeda ja alati selle kohaselt tegutseda.
Daikin Europe Group hindab kõigi sidusrühmade panust Daikin Europe Groupi varade turvalisuse tagamisse. Daikin Europe Group ei paku aga turvanõrkuse avalikustamise eest rahalist preemiat.
Ulatus
See turvanõrkusest teatamise ja avalikustamise poliitika kehtib kõigi varade kohta, mis ohtu sattumise korral võivad kahjustada Daikin Europe Groupi või mõjutada selle tegevust. See hõlmab muu hulgas kõiki Daikin Europe Groupi toodetud ja/või tarnitud tooteid, samuti digitaalseid varasid, kolmandate osapoolte rakendusi ja IT-infrastruktuuri, mida kasutatakse Daikin Europe Groupi ärikeskkonnas.
Aruandlus
Turvanõrkuse avastamise korral edastage see Daikin Europe Groupile aadressile vulnerability@daikineurope.com
Haavatavusest teatamisel esitage järgmine teave:
- Mõjutatud Varade mudeli nimi/nimed või identifikaator(id) ja/või teave, mis võimaldab mõjutatud Varasid tuvastada;
- Turvanõrkuse kirjeldus, sealhulgas kuidas seda saab tuvastada või taasesitada;
- Turvanõrkuse võimalik mõju;
- Kontseptsiooni tõestuskood (kui see on olemas) või muud tõendid, mis näitavad turvanõrkuse taasesitamise samme;
- Teataja kontaktandmed (isikuandmete esitamine ei ole kohustuslik).
Kättesaamise kinnitus
Pärast turvanõrkuse teate saamist kinnitab Daikin Europe Groupi turvanõrkustele reageerimise meeskond teatajale 7 tööpäeva jooksul, et on teate kätte saanud.
Kinnitus sisaldab viitamiseks jälgimisnumbrit või identifikaatorit. Kui teatatud turvanõrkuse uurimiseks on vaja lisateavet, annab turvanõrkustele reageerimise meeskond sellest teatajale teada.
Uurimine
Daikin Europe Groupi turvanõrkustele reageerimise meeskond viib organisatsioonis läbi uurimise, tagamaks et iga teatatud turvanõrkuse olemasolu, tõsidust ja ulatust hinnataks nõuetekohaselt.
Daikin Europe Group on teadlik, et läbipaistvus ja koostöö on teatatud turvanõrkuste tõhusaks käsitlemiseks oluline. Seetõttu annab turvanõrkustele reageerimise meeskond kogu uurimisprotsessi vältel teatajale regulaarset tagasisidet edusammude kohta, sealhulgas oluliste leidude või edasiste arengute kohta.
Parandusmeetmed
Kui Daikin Europe Group peab vajalikuks turvanõrkusega tegeleda ja lahendada see, paigaldades riski kõrvaldamiseks või leevendamiseks paiga, tehes konfiguratsioonimuudatuse või rakendades mõnda muud parandusmeedet („parandus“ või „parandused“), valmistavad Daikin Europe Group ja/või selle kolmandatest osapooltest tarnijad ette parandused. Tuvastatud turvanõrkuse kõrvaldamiseks kavandatakse sellised parandused, mis ei kahjusta mõjutatud varade funktsionaalsust ega kasutatavust.
Kui parandused on välja töötatud ja nende tõhusust on testitud, levitatakse neid tavapäraste kanalite kaudu, näiteks kaugvärskenduste, püsivara värskenduste või tarkvaraparanduste kaudu, olenevalt turvanõrkuse olemusest. Vajadusel teavitatakse Daikin Europe Groupi äripartnereid, sh edasimüüjaid ja paigaldajaid, kõigist nendepoolsetest vajalikest toimingutest, näiteks paikade lõppkasutajatele edastamine või paikade paigaldamisega abistamine.
Pärast teatatud haavatavuste kõrvaldamist viib Daikin Europe Group läbi järelanalüüse, et hinnata reageerimisprotsessi tõhusust ja teha kindlaks parendusvaldkonnad. Igast turvanõrkuse parandamisest saadud õppetunnid dokumenteeritakse ja kaasatakse tulevastesse reageerimisprotseduuridesse, et parandada teatatud turvanõrkuste käsitlemise protsessi.
Teavitajat teavitatakse paranduste juurutamisest ja kõigist täiendavatest meetmetest, mida turvanõrkuse leevendamiseks kasutatakse.
Teatatud turvanõrkuste konfidentsiaalsus ja avalikustamine
Daikin Europe Group on veendunud, et turvanõrkustest tuleb oma klientidele ja lõppkasutajatele vastutustundlikult teatada. Kui turvanõrkust on läbi uuritud, määrab Daikin Europe Group kindlaks sobiva avalikustamiskava, näiteks teabe edastamise paranduste olemasolu ja nende rakendamise juhiste kohta. Turvanõrkuse lahendamise meeskond teavitab teatajat vastavalt sellele. Eesmärk on tagada, et mõjutatud osapooli teavitataks tõsistest turvariskidest ja neile antaks juhiseid nende leevendamiseks.
Daikin Europe Group tunnistab turvanõrkuse enneaegse avalikustamisega kaasnevaid riske ja rõhutab seetõttu teatajatele, et iga selline avalikustamine, kuni turvanõrkus on lahendamata, kujutab endast märkimisväärset turvaohtu, eriti mõjutatud varade lõppkasutajatele.
Enneaegne avalikustamine võib potentsiaalselt hõlbustada turvanõrkuse ärakasutamist pahatahtlike isikute poolt. Seetõttu palub Daikin Europe Group, et potentsiaalsetest turvanõrkustest teatajad säilitaksid range konfidentsiaalsuse ja hoiduksid kahtlustatava turvanõrkuse kohta käiva teabe avaldamisest kolmandatele isikutele, välja arvatud juhul, kui Daikin Europe Group on selleks andnud selgesõnalise kirjaliku loa või kui seda näeb ette kohaldatav seadus.
Eetilise häkkimise juhised
Mida teataja EI TOHI teha.
- Ebaseaduslik tegevus: vältige tegevusi, mis rikuvad kehtivaid seadusi või eeskirju.
- Liigne juurdepääs andmetele: andmetele juurdepääs peab piirduma vaid uuringu jaoks hädavajalikuga.
- Andmete muutmine: hoiduge organisatsiooni süsteemides olevate andmete muutmisest.
- Hävitav testimine: vältige tööriistade kasutamist, mis võivad organisatsiooni süsteeme kahjustada või häirida.
- Teenusetõkestamise rünnakud: ärge proovige teenuseid üle koormata ega keelata.
- Häiriv käitumine: hoiduge tegevustest, mis võivad häirida organisatsiooni tegevust.
- Triviaalsed või mitteärakasutatavad haavatavused: ärge teatage turvanõrkustest, mida ei saa ära kasutada või mis on väiksemad konfiguratsiooniprobleemid.
- Nõrk TLS-i konfiguratsioon: vältige nõrkade TLS-konfiguratsioonidega seotud turvanõrkustest teatamist, välja arvatud juhul, kui need kujutavad endast olulist turvariski.
- Volitamata kommunikatsioon: ärge avaldage turvanõrkusi kellelegi teisele peale selleks ettenähtud turvameeskonna või kindlaksmääratud kanaleid kasutades.
- Sotsiaalne manipuleerimine või füüsilised rünnakud: ärge proovige organisatsiooni töötajaid ega infrastruktuuri füüsiliselt kahjustada ega petta.
- Väljapressimine: ärge nõudke turvanõrkuste avalikustamise eest tasu.
Mida teataja PEAB tegema.
- Andmekaitse: austage Daikin Europe Groupi kasutajate ja töötajate privaatsust.
- Andmete turvalisus: uuringu käigus saadud andmeid tuleb turvaliselt säilitada.
- Andmete õigeaegne kustutamine: kustutage andmed kohe kui neid enam vaja pole. Erandjuhtudel, kui kohene kustutamine on tehniliselt võimatu või seadusega piiratud (nt varukoopiate või juriidiliste ootetingimuste tõttu), tuleb andmed kustutada ühe kuu jooksul pärast turvanõrkuse parandamist. See ühekuuline ajavahemik on absoluutne maksimaalne säilitusperiood ja andmete võimalikult kiireks kustutamiseks tuleks teha kõik endast olenev.