Skip to main content

Πολιτική Αναφοράς και Γνωστοποίησης Ευπαθειών του Ομίλου Daikin Europe

Τελευταία τροποποίηση στις: 3 Φεβρουαρίου 2025

Εισαγωγή

Η Daikin Europe N.V. (“DENV”) είναι μια πλήρως ελεγχόμενη θυγατρική της Ιαπωνικής εταιρείας Daikin Industries Ltd. Ο Όμιλος Daikin παράγει, πουλάει, διανέμει και εκτελεί μάρκετινγκ συστημάτων κλιματισμού, θέρμανσης, εξαερισμού και εξοπλισμών ψύξης και επιχειρηματικών λύσεων μαζί με τις θυγατρικές της.

Η Daikin Europe N.V. μαζί με τις θυγατρικές της (εφεξής «Όμιλος Daikin Europe»), δεσμεύεται να διασφαλίζει την ασφάλεια και την ακεραιότητα των προϊόντων, συστημάτων, υπηρεσιών και εφαρμογών της (εφεξής «Περιουσιακά Στοιχεία»), προκειμένου να προστατεύει, μεταξύ άλλων, τα δεδομένα, συμπεριλαμβανομένων των προσωπικών δεδομένων, και την ιδιωτικότητα των τελικών χρηστών, καθώς και να αποτρέπει οποιαδήποτε αρνητική επίδραση στη λειτουργικότητα του δικτύου ή κακή χρήση των πόρων του.

Σκοπός της παρούσας πολιτικής

Ο σκοπός της παρούσας πολιτικής είναι:

  1. να ενθαρρύνει την υπεύθυνη γνωστοποίηση τυχόν πιθανών ευπαθειών που εντοπίζονται στα Περιουσιακά Στοιχεία του Ομίλου Daikin Europe και
  2. να καθιερώσει μια διαδικασία για την αναφορά θεμάτων ασφαλείας στον Όμιλο Daikin Europe και την αντιμετώπισή τους με άμεσο, αποτελεσματικό τρόπο και σύμφωνα με την ισχύουσα νομοθεσία².

Αποδέκτες

Δικαίωμα αναφοράς ευπαθειών έχουν, μεταξύ άλλων, ερευνητές ασφαλείας, τελικοί χρήστες, ανεξάρτητοι εμπειρογνώμονες, συνεργάτες του κλάδου και μέλη του ευρύτερου κοινού (εφεξής «Αναφέρων»). Ο Όμιλος Daikin Europe συνιστά την πλήρη ανάγνωση της παρούσας πολιτικής γνωστοποίησης ευπαθειών πριν από την υποβολή οποιασδήποτε αναφοράς και τη συμμόρφωση με τους όρους της.

Ο Όμιλος Daikin Europe εκτιμά τη συμβολή όλων των ενδιαφερόμενων μερών στην ενίσχυση της ασφάλειας των Περιουσιακών Στοιχείων του Ομίλου Daikin Europe. Ωστόσο, ο Όμιλος Daikin Europe δεν προσφέρει χρηματικές ανταμοιβές για αποκαλύψεις ευπάθειας.

Πεδίο εφαρμογής

Αυτή η Αναφορά ευπάθειας και πολιτική αποκάλυψης ισχύει τα οιαδήποτε περιουσιακά στοιχεία τα οποία, εφόσον τεθούν σε κίνδυνο, μπορούν ενδεχομένως να προκαλέσουν ζημιά στον Όμιλο Daikin Europe ή να επηρεάσουν τις λειτουργίες του. Αυτό περιλαμβάνει, μεταξύ άλλων, όλα τα προϊόντα που κατασκευάζονται και/ή διατίθενται από τον Όμιλο Daikin Europe, καθώς και τα ψηφιακά περιουσιακά στοιχεία, τις εφαρμογές τρίτων και την υποδομή πληροφορικής που χρησιμοποιείται στο επιχειρηματικό περιβάλλον του Ομίλου Daikin Europe.

Αναφορές

Στην περίπτωση διαπίστωσης ευπάθειας της ασφάλειας, υποβάλετέ την στον Όμιλο Daikin Europe χρησιμοποιώντας την ακόλουθη διεύθυνση: vulnerability@daikineurope.com

Όταν αναφέρετε μια ευπάθεια, παρακαλούμε να παρέχετε τις ακόλουθες πληροφορίες:

  • Το όνομα μοντέλου ή τον αναγνωριστικό κωδικό των επηρεαζόμενων Περιουσιακών Στοιχείων και/ή οποιαδήποτε πληροφορία που επιτρέπει την ταυτοποίησή τους.
  • Περιγραφή της ευπάθειας, συμπεριλαμβανομένου του τρόπου εντοπισμού ή αναπαραγωγής της.
  • Πιθανές επιπτώσεις της ευπάθειας.
  • Proof-of-concept κώδικα (αν υπάρχει) ή άλλα στοιχεία που αποδεικνύουν τα βήματα αναπαραγωγής της ευπάθειας.
  • Τις πληροφορίες επικοινωνίας του αναφέροντα (παροχή προσωπικών δεδομένων δεν απαιτείται).

Επιβεβαίωση παραλαβής

Κατά τη λήψη μιας αναφοράς ευπάθειας, η Ομάδα ανταπόκρισης ευπάθειας του Ομίλου Daikin Europe θα επιβεβαιώσει την λήψη της αναφοράς εντός 7 εργάσιμων ημερών.

Η επιβεβαίωση θα περιλαμβάνει έναν αριθμό παρακολούθησης ή αναγνωριστικό για μελλοντική αναφορά. Εάν απαιτούνται πρόσθετες πληροφορίες για τη διερεύνηση της αναφερόμενης ευπάθειας, η Ομάδα Αντιμετώπισης Ευπαθειών θα επικοινωνήσει με τον Αναφέροντα.

Διερεύνηση

Η Ομάδα Αντιμετώπισης Ευπαθειών του Ομίλου Daikin Europe θα διεξάγει εσωτερική έρευνα για να διασφαλίσει ότι κάθε αναφερόμενη ευπάθεια αξιολογείται σωστά ως προς την εγκυρότητα, τη σοβαρότητα και το εύρος της.

Ο Όμιλος Daikin Europe αναγνωρίζει τη σημασία της διαφάνειας και της συνεργασίας για την αποτελεσματική διαχείριση των ευπαθειών ασφαλείας. Επομένως, καθ’ όλη τη διάρκεια της διερεύνησης, η Ομάδα Αντιμετώπισης Ευπαθειών θα παρέχει τακτικές ενημερώσεις στον Αναφέροντα σχετικά με την πρόοδο, συμπεριλαμβανομένων σημαντικών ευρημάτων ή εξελίξεων.

Αντιμετώπιση

Εάν ο Όμιλος Daikin Europe κρίνει απαραίτητη την αντιμετώπιση και επίλυση μιας ευπάθειας εφαρμόζοντας ένα λογισμικό επιδιόρθωσης, μια αλλαγή ρύθμισης ή άλλο μέτρο αποκατάστασης (μια «διόρθωση» ή «διορθώσεις») για την εξάλειψη ή τον περιορισμό του κινδύνου, ο Όμιλος Daikin Europe ή/και οι τρίτοι προμηθευτές του θα προετοιμάσουν τις διορθώσεις. Οι διορθώσεις θα σχεδιαστούν με σκοπό την αντιμετώπιση της εντοπισμένης ευπάθειας χωρίς να επηρεαστεί η λειτουργικότητα ή η χρηστικότητα των επηρεαζόμενων Περιουσιακών Στοιχείων.

Μόλις οι διορθώσεις αναπτυχθούν και δοκιμαστούν ως προς την αποτελεσματικότητά τους, θα διανεμηθούν μέσω των κανονικών καναλιών, όπως αναβαθμίσεις over-the-air, ενημερώσεις υλικολογισμικού, patches λογισμικού, ανάλογα με τη φύση της ευπάθειας. Εάν απαιτείται, οι επιχειρηματικοί εταίροι του Ομίλου Daikin Europe, όπως μεταπωλητές και εγκαταστάτες, θα ενημερωθούν για τις ενέργειες που πρέπει να αναλάβουν, όπως η βοήθεια στη διανομή των patches στους τελικούς χρήστες ή η παροχή καθοδήγησης για την εφαρμογή των διορθώσεων.

Μετά την αποκατάσταση των αναφερόμενων ευπαθειών, ο Όμιλος Daikin Europe θα διεξάγει αναλύσεις post-mortem για να αξιολογήσει την αποτελεσματικότητα της διαδικασίας απόκρισης και να εντοπίσει περιοχές για βελτίωση. Τα μαθήματα που αποκτώνται από κάθε προσπάθεια αποκατάστασης ευπάθειας θα καταγράφονται και θα ενσωματώνονται στις μελλοντικές διαδικασίες απόκρισης για να ενισχυθεί η διαδικασία διαχείρισης των αναφερόμενων ευπαθειών.

Ο Αναφέρων θα ενημερωθεί για την εφαρμογή των διορθώσεων και για τυχόν επιπλέον ενέργειες που πραγματοποιήθηκαν για την μείωση της ευπάθειας.

Εμπιστευτικότητα και γνωστοποίηση των αναφερόμενων ευπαθειών

Ο Όμιλος Daikin Europe δεσμεύεται για την υπεύθυνη γνωστοποίηση των ευπαθειών ασφαλείας στους πελάτες και τους τελικούς χρήστες του. Μόλις μια ευπάθεια έχει πλήρως διερευνηθεί, ο Όμιλος Daikin Europe θα καθορίσει το κατάλληλο σχέδιο γνωστοποίησης, όπως η επικοινωνία σχετικά με τη διαθεσιμότητα των διορθώσεων και τις οδηγίες για την εφαρμογή τους. Η Ομάδα Αντιμετώπισης Ευπαθειών θα ενημερώσει τον Αναφέροντα αναλόγως. Ο στόχος είναι να διασφαλιστεί ότι τα επηρεαζόμενα μέρη ενημερώνονται για σοβαρούς κινδύνους ασφαλείας και παρέχονται οδηγίες για τον τρόπο μετριασμού τους.

Ο Όμιλος Daikin Europe αναγνωρίζει τους εγγενείς κινδύνους που συνδέονται με τη γνωστοποίηση ευπαθειών πριν την επίλυσή τους και, συνεπώς, τονίζει στους Αναφέροντες ότι οποιαδήποτε τέτοια γνωστοποίηση, ενώ η ευπάθεια παραμένει άλυτη, αποτελεί σημαντική απειλή ασφαλείας, ιδιαίτερα για τους τελικούς χρήστες των επηρεαζόμενων Περιουσιακών Στοιχείων.

Η πρόωρη γνωστοποίηση θα μπορούσε ενδεχομένως να διευκολύνει την εκμετάλλευση από κακόβουλους φορείς. Για το λόγο αυτό, ο Όμιλος Daikin Europe ζητά από τους Αναφέροντες πιθανών ευπαθειών να τηρούν αυστηρή εμπιστευτικότητα και να απέχουν από τη γνωστοποίηση οποιασδήποτε πληροφορίας σχετικά με την υποψιαζόμενη ευπάθεια σε τρίτους, εκτός αν τους επιτραπεί ρητώς γραπτώς από τον Όμιλο Daikin Europe ή απαιτείται από την ισχύουσα νομοθεσία.

Οδηγίες ηθικής hacking

Τι ΔΕΝ ΠΡΕΠΕΙ να κάνει ο Αναφέρων:

  • Παράνομη δραστηριότητα: Αποφύγετε οποιεσδήποτε ενέργειες που παραβιάζουν τους εφαρμοστέους νόμους ή κανονισμούς.
  • Υπερβολική πρόσβαση σε δεδομένα: Περιορίστε την πρόσβαση στα δεδομένα μόνο σε αυτά που είναι απαραίτητα για την έρευνα.
  • Τροποποίηση δεδομένων: Αποφύγετε να τροποποιείτε οποιαδήποτε δεδομένα στα συστήματα της οργάνωσης.
  • Καταστροφική δοκιμή: Αποφύγετε τη χρήση εργαλείων που θα μπορούσαν να προκαλέσουν ζημιά ή να διαταράξουν τα συστήματα της οργάνωσης.
  • Επιθέσεις αποδόμησης υπηρεσιών: Μην προσπαθήσετε να υπερφορτώσετε ή να απενεργοποιήσετε τις υπηρεσίες.
  • Διαταρακτική συμπεριφορά: Αποφύγετε ενέργειες που θα μπορούσαν να παρεμβαίνουν στις λειτουργίες της οργάνωσης.
  • Ασήμαντες ή μη εκμεταλλεύσιμες ευπάθειες: Μην αναφέρετε ευπάθειες για τις οποίες δεν είναι δυνατή εκμετάλλευση ή είναι μικρές ρυθμιστικές αλλαγές.
  • Αδύναμες ρυθμίσεις TLS: Αποφύγετε την αναφορά ευπαθειών που αφορούν αδύναμες ρυθμίσεις TLS, εκτός εάν παρουσιάζουν σημαντικό κίνδυνο ασφαλείας.
  • Μη εξουσιοδοτημένη επικοινωνία: Μην αποκαλύπτετε ευπάθειες σε κανέναν άλλο εκτός από την καθορισμένη ομάδα ασφαλείας ή μέσω των καθορισμένων καναλιών.
  • Κοινωνική μηχανική ή φυσικές επιθέσεις: Μην προσπαθήσετε να εξαπατήσετε ή να προκαλέσετε φυσική βλάβη στο προσωπικό ή την υποδομή της οργάνωσης.
  • Εκβιασμός: Μην απαιτείτε πληρωμή για τη γνωστοποίηση ευπαθειών.

Τι ΠΡΕΠΕΙ να κάνει ο Αναφέρων:

  • Προστασία δεδομένων: Σεβαστείτε την ιδιωτικότητα των χρηστών και του προσωπικού του Ομίλου Daikin Europe.
  • Ασφάλεια δεδομένων: Αποθηκεύστε με ασφάλεια οποιαδήποτε δεδομένα αποκτηθούν κατά τη διάρκεια της έρευνας.
  • Έγκαιρη διαγραφή δεδομένων: Διαγράψτε τα δεδομένα αμέσως, μόλις δεν είναι πλέον απαραίτητα. Σε εξαιρετικές περιστάσεις, όπου η άμεση διαγραφή είναι τεχνικά αδύνατη ή νομικά περιορισμένη (π.χ. λόγω αντιγράφων ασφαλείας ή νομικών δεσμεύσεων), τα δεδομένα πρέπει να διαγραφούν εντός ενός μήνα από την επίλυση της ευπάθειας. Αυτή η περίοδος του ενός μήνα αποτελεί τη μέγιστη περίοδο αποθήκευσης, και θα πρέπει να καταβληθεί κάθε δυνατή προσπάθεια για τη διαγραφή των δεδομένων το συντομότερο δυνατό.

Ειδοποίηση

Η Πολιτική Αναφοράς και Γνωστοποίησης Ευπαθειών υπόκειται σε περιοδική ανασκόπηση και μπορεί να ενημερώνεται ή να τροποποιείται κατά περίπτωση για να αντικατοπτρίζει τις αλλαγές στην τεχνολογία, στους εφαρμοστέους νόμους ή στις βέλτιστες πρακτικές.

Βρείτε περισσότερες πληροφορίες

Χρειαζεται βοήθεια?

Βρείτε περισσότερες πληροφορίες

Χρειαζεται βοήθεια?

Βρείτε περισσότερες πληροφορίες

Χρειαζεται βοήθεια?

Χρειαζεται βοήθεια?