Senast ändrad: den 3 februari 2025
Inledning
Daikin Europe N.V. (“DENV”) är ett helägt dotterbolag till det japanska företaget Daikin Industries Ltd. Daikin Group och producerar, säljer, distribuerar samt genomför marknadsföring av luftkonditionering, värme, ventilation,kylutrustning och lösningsverksamhet tillsammans med sina dotterbolag.
Daikin Europe N.V. tillsammans med sina dotterbolag (fortsättningsvis “Daikin Europe Group”) har åtagit sig att säkerställa säkerheten och integriteten för sina produkter, system, tjänster och applikationer (fortsättningsvis ”Tillgångarna”) för att skydda, bland annat, skyddet av data inklusive personuppgifter, och slutanvändarnas integritet, samt att förhindra negativ inverkan på nätverksfunktioner eller felaktig användning av nätverksresurser.
Syftet med denna policy
Syftet med denna policy är att:
- uppmuntra ansvarsfullt avslöjande av alla potentiella sårbarheter som upptäcks i Daikin Europe Groups tillgångar och
- upprätta en process för att rapportera säkerhetsproblem till Daikin Europe Group och åtgärda problem omgående, effektivt och i enlighet med lagstiftningen².
Målgrupp
Personer som har rätt att rapportera sårbarheter innefattar, men är inte begränsade till, säkerhetsforskare, slutanvändare, oberoende experter, industripartners och allmänheten (fortsättningsvis ”Rapporteraren”). Daikin Europe Group rekommenderar att du läser denna policy om avslöjande av sårbarheter i sin helhet innan du rapporterar en sårbarhet och alltid agerar i enlighet med den.
Daikin Europe Group uppskattar alla intressenters bidragande för att hjälpa Daikin Europe Group säkerställa sina tillgångars säkerhet. Dock erbjuder Daikin Europe Group inte monetära belöningar för några avslöjanden av sårbarheter.
Omfattning
Denna policy för rapportering av sårbarheter och avslöjande gäller alla tillgångar som, om de äventyras, potentiellt kan skada Daikin Europe Group
eller påverka dess verksamhet. Detta innefattar, men är inte begränsat till, alla produkter som tillverkas och/eller levereras av Daikin Europe Group, såväl som digitala tillgångar, applikationer från tredje part, och IT-infrastruktur som används inom Daikin Europe Groups affärsmiljö.
Rapportering
I de fall du upptäcker sårbarheter i säkerheten, skicka in det till Daikin Europe Group genom att använda följande adress: vulnerability@daikineurope.com
När du rapporterar en sårbarhet ska du ange följande information:
- Modellnamn eller identifierare för de berörda tillgångarna och/eller information som gör att de berörda tillgångarna kan identifieras;
- Beskrivning av sårbarheten, inklusive hur den kan identifieras eller återskapas;
- Potentiell påverkan av sårbarheten;
- Proof-of-concept-kod (om tillgänglig) eller annat underlag som visar stegen för att återskapa sårbarheten;
- rapporterarens kontaktuppgifter (utlämning av personuppgifter4 krävs ej).
Bekräftelse på mottagning
Efter att ha mottagit en sårbarhetsrapport kommer Daikin Europe Groups sårbarhetsteam att bekräfta mottagandet av rapporten till rapporteraren inom 7 arbetsdagar.
Bekräftandet innehåller ett spårningsnummer eller identifierare i referenssyfte. Om ytterligare information krävs för att utreda den rapporterade sårbarheten så kommer sårbarhetsteamet kommunicera detta till rapporteraren.
Utredning
Daikin Europe Groups sårbarhetsteam kommer att utreda inom organisationen för att säkerställa att giltigheten, svårighetsgraden och omfattningen av varje rapporterad sårbarhet bedöms på ett korrekt sätt.
Daikin Europe Group inser vikten av transparens och samarbete för att hantera rapporterade säkerhetssårbarheter på ett effektivt sätt. Följaktligen kommer sårbarhetssvarsteamet under hela utredningsprocessen att tillhandahålla regelbundna uppdateringar till rapporteraren om statusen för dess framsteg inklusive alla viktiga resultat eller ytterligare utvecklingar.
Lösning
Om Daikin Europe Group anser det vara nödvändigt att följa upp och lösa en sårbarhet genom att applicera en patch, konfigurationsändring eller andra åtgärder för lösning (en "lösning" eller "lösningar") för att eliminera eller minska risken kommer Daikin Europe Group och/eller dess tredjepartsleverantörer förbereda lösningarna. Lösningarna kommer att utvecklas för att åtgärda den identifierade sårbarheten utan att kompromissa med funktionaliteten eller användbarheten för de berörda tillgångarna.
Så snart lösningarna är utvecklade och testade avseende effektivitet så kommer de att distribueras genom vanliga kanaler, såsom over-the-air-uppdateringar, mjukvaruuppdateringar, mjukvarupatchar beroende på sårbarhetens typ. Om det behövs kommer Daikin Europe Groups affärspartners inklusive återförsäljare och installatörer att informeras om alla nödvändiga åtgärder från deras sida, som att hjälpa till med distribution av patchar till slutanvändare eller ge vägledning om hur man applicerar patcharna.
Efter åtgärdande av rapporterade sårbarheter kommer Daikin Europe Group att utföra post-mortem-analyser för att utvärdera svarsprocessens effektivitet och identifiera områden för förbättring. Lärdomar från varje sårbarhetsåtgärd kommer att dokumenteras och införlivas i framtida svarsprocedurer för att förbättra processen för att hantera rapporterade sårbarheter.
Rapporteraren kommer informeras om införandet av korrigeringar och alla ytterligare steg som tas för att minska sårbarheten.
Sekretess och avslöjande av rapporterade sårbarheter
Daikin Europe Group har åtagit sig att ansvarsfullt avslöja säkerhetssårbarheter till sina kunder och slutanvändare. När en sårbarhet helt har utretts kommer Daikin Europe Group att fastställa en lämplig plan för offentliggörande, såsom kommunicerande rörande tillgängligheten av lösningar och instruktioner kring hur man applicerar dem. Sårbarhetsteamet kommer att informera rapporteraren i enlighet med detta. Målet är att säkerställa att de berörda parterna informeras om allvarliga säkerhetsrisker och förses med vägledning om hur man minskar dem.
Daikin Europe Group bekräftar riskerna förknippade med att avslöja sårbarheter i förtid och understryker därför för rapporterarna att varje sådant avslöjande, även om sårbarheten förblir olöst utgör ett betydande säkerhetshot, särskilt för slutanvändare av de berörda tillgångarna.
Ett för tidigt avslöjande kan potentiellt underlätta exploatering för illasinnade aktörer. Därför ber Daikin Europe Group att rapporteraren upprätthåller en strikt sekretess om potentiella sårbarheter och avstår från att avslöja all information om den misstänkta sårbarheten till tredje part, såvida det inte uttryckligen har getts skriftligt tillstånd av Daikin Europe Group eller bemyndigats av tillämplig lag.
Etiska riktlinjer för hackning
Vad en rapporterare INTE FÅR göra:
- Olaglig aktivitet: Undvik alla åtgärder som bryter mot lagar eller förordningar.
- Överdriven dataåtkomst: Begränsa åtkomst till data för vad som är nödvändigt för undersökningen.
- Ändring av data: Avstå från att ändra någon data inom organisationens system.
- Destruktiv testning: Undvik att använda verktyg som kan skada eller störa organisationens system.
- Överbelastningsattacker: Försök inte överbelasta eller inaktivera tjänster.
- Störande beteende: Avstå från åtgärder som skulle störa organisationens drift.
- Triviala eller icke-exploaterbara sårbarheter: Rapportera inte sårbarheter som inte kan exploateras eller som är av mindre konfigurationsproblem.
- Svag TLS-konfiguration: Undvik att rapportera sårbarheter relaterade till svaga TLS-konfigurationer såvida de inte utgör en betydande säkerhetsrisk.
- Obehörig kommunikation: Avslöja inte några sårbarheter till någon annan än det avsedda säkerhetsteamet eller genom de angivna kanalerna.
- Social ingenjörskonst eller fysiska attacker: Försök inte att bedra eller fysiskt skada organisationens personal eller infrastruktur.
- Utpressning: Kräv inte betalning för avslöjande av sårbarheter.
Vad en rapporterare MÅSTE göra:
- Dataskydd: Respektera integriteten för Daikin Europe Groups användare och personal.
- Datasäkerhet: Lagra erhållen data från undersökningen på ett säkert sätt.
- Radering av uppgifter i tid: Radera data omedelbart, så fort den inte längre behövs. Under mycket speciella omständigheter, där omedelbar radering är tekniskt omöjlig eller juridiskt begränsad (t.ex. på grund av säkerhetskopior, lagliga spärrar), måste data raderas inom en månad efter att sårbarheten har åtgärdats. Denna tidsram på en månad representerar den absoluta maximala lagringsperioden och alla ansträngningar bör göras för att radera data så snart som möjligt.
Meddelande
Denna policy för sårbarhetsrapportering och avslöjande är föremål för regelbunden granskning och kan uppdateras eller ändras vid behov för att återspegla förändringar i teknik, tillämpliga lagar eller bästa praxis.