Senest ændret: 03/02/2025
Introduktion
Daikin Europe N.V. (»DENV«) er et helejet datterselskab af det japanske selskab Daikin Industries Ltd. Daikin Group producerer, sælger, distribuerer og markedsfører aircondition-, varme-, ventilations- og køleudstyr samt løsninger sammen med sine datterselskaber.
Daikin Europe N.V. og dennes datterselskaber (herefter kaldet “Daikin Europe Group”) forpligter sig til at beskytte sine produkters, systemers, tjenesters og applikationers (herefter kaldet “Aktiver”) sikkerhed og integritet for blandt andet at værne om data, herunder personoplysninger, og slutbrugernes privatliv samt for at forhindre negativ indvirkning på netværksfunktionalitet eller misbrug af netværksressourcer.
Formålet med denne politik
Formålet med denne politik er at:
- opmuntre til ansvarlig afsløring af eventuelle sårbarheder, der identificeres i Daikin Europe Groups aktiver, samt at
- etablere en proces for rapportering af sikkerhedsproblemer til Daikin Europe Group samt omgående og effektiv håndtering af sådanne problemer i henhold til den gældende lovgivning².
Målgruppe
De individer, der kan rapportere sårbarheder, omfatter, men er ikke begrænset til sikkerhedsgranskere, slutbrugere, uafhængige eksperter, branchepartnere og medlemmer af offentligheden (herefter kaldet “Anmelder”). Daikin Europe Group anbefaler, at man læser denne Politik for rapportering og afsløring af sårbarheder i sin helhed, inden man foretager en rapportering, og altid efterlever den.
Daikin Europe Group sætter pris på alle interessenters bidrag, der kan hjælpe Daikin Europe Group med at værne om sine aktivers sikkerhed. Dog,Daikin Europe Group tilbyder ikke økonomiske belønninger for afsløring af sårbarheder.
Omfang
Denne politik for rapportering og afsløring af sårbarheder gælder for alle aktiver, der, hvis de kompromitteres, potentielt kan skade Daikin Europe Group eller påvirke dens drift. Dette inkluderer, men er ikke begrænset til, alle produkter, der produceres og/eller leveres af Daikin Europe Group, samt digitale aktiver, tredjepartsapplikationer og de it-infrastrukturer, der benyttes i Daikin Europe Groups virksomhedsmiljø.
Rapportering
Hvis du opdager en sikkerhedsrisiko, bedes du indsende den til Daikin Europe Group på følgende adresse: vulnerability@daikineurope.com
Ved rapportering af en sårbarhed bedes du angive følgende informationer:
- Modelnavne(e) eller modelangivelse(r) på den eller de pågældende aktiver og/eller information, som gør det muligt at identificere de pågældende aktiver;
- Beskrivelse af sårbarheden, samt hvordan den kan identificeres eller genskabes;
- Sårbarhedens potentielle konsekvenser;
- Proof-of-concept-kode (hvis den findes) eller anden evidens, som viser, hvordan man genskaber sårbarheden;
- Anmelderens kontaktoplysninger (det er ikke nødvendigt at angive personoplysninger).
Bekræftelse af modtagelse
Ved modtagelse af en sårbarhedsrapport vil sårbarhedsresponsteamet fra Daikin Europe Group kvittere for modtagelsen af rapporten til Anmelderen inden for 7 arbejdsdage.
Bekræftelsen inkluderer at sporingsnummer eller en identifikator, som man kan henvise til. Hvis der er brug for yderligere information for at undersøge den rapporterede sårbarhed nærmere, underretter sårbarhedsresponsteamet anmelderen om dette.
Undersøgelse
Daikin Europe Groups sårbarhedsresponsteam undersøger sagen internt i organisationen for at sikre en korrekt vurdering af den rapporterede sårbarheds validitet, alvor og omfang.
Daikin Europe Group anerkender, hvor stor betydning transparens og samarbejde har for en effektiv håndtering af rapporterede sikkerhedssårbarheder. Derfor vil sårbarhedsresponsteamet løbende holde anmelderen opdateret om efterforskningens status, herunder væsentlige opdagelser eller den videre udvikling.
Korrigering
Hvis Daikin Europe Group finder det nødvendigt at håndtere og løse en sårbarhed ved at anvende en patch, konfigurationsændring eller anden afhjælpende foranstaltning (en »rettelse« eller »rettelser«) for at eliminere eller mindske risikoen, vil Daikin Europe Group og/eller dens tredjepartsleverandører udarbejde rettelserne. Løsninger udarbejdes med det formål at håndtere den identificerede sårbarhed, uden at det påvirker de pågældende aktivers funktionalitet eller anvendelighed.
Når løsningerne er blevet udviklet og testet, distribueres de via typiske kanaler såsom over-the-air-opdateringer, firmwareopdateringer og softwarepatches, afhængigt af sårbarhedens natur. Ved behov vil Daikin Europe Groups forretningspartnere, herunder forhandlere og installatører, bliver informeret om nødvendige tiltag fra deres side, fx at hjælpe med at distribuere patches til slutbrugere eller vejlede slutbrugerne i, hvordan patchen fungerer.
Efter korrigering af rapporterede sårbarheder foretager Daikin Europe Group såkaldte post mortem-analyser for at evaluere responsprocessens effektivitet og identificere områder, der kan forbedres. Erfaringer fra hver enkelt sårbarhedskorrigering dokumenteres og inkorporeres i fremtidige responsprocedurer for at optimere håndteringen af rapporterede sårbarheder.
Anmelderen bliver informeret om udrulningen af løsninger og yderligere tiltag, der iværksættes for at afhjælpe sårbarheden.
Fortrolighed og afsløring af rapporterede sårbarheder
Daikin Europe Group sætter en ære i at informere kunder og slutbrugere om sikkerhedssårbarheder på en ansvarlig måde. Når en sårbarhed er blevet efterforsket fuldt ud, udarbejder Daikin Europe Group en passende informationsplan, fx kommunikation om tilgængelige løsninger og instruktioner i, hvordan de iværksættes. Sårbarhedsresponsteamet informerer anmelderen på passende vis. Målet er at sikre, at alle berørte parter bliver informeret om alvorlige sikkerhedsrisici og får hjælp til at afhjælpe dem.
Daikin Europe Group anerkender risikoen ved at afsløre sårbarheder for tidligt og understreger over for anmeldere, at enhver afsløring, inden der foreligger en løsning, udgør en væsentlig sikkerhedstrussel, især for slutbrugerne af de pågældende aktiver.
For tidlig afsløring kan i værste fald gøre sårbarheder nemmere for ondsindede aktører at udnytte. Daikin Europe Group kræver derfor, at anmeldere af potentielle sårbarheder behandler informationerne fortroligt og ikke videregiver informationer om den mistænkte sårbarhed til tredjeparter, medmindre Daikin Europe Group har givet udtrykkelig tilladelse til dette, eller hvis det er påbudt ved lov.
Retningslinjer for etisk hacking
En anmelder MÅ IKKE gøre følgende:
- Bryde loven: Undgå enhver handling, der er en overtrædelse af gældende love og regler.
- Skaffe sig uretmæssig adgang til data: Begræns adgangen til data til det, der er nødvendigt for undersøgelsen.
- Ændre data: Undlad at ændre data i organisationens systemer.
- Foretage destruktive tests: Undlad at anvende værktøjer, der kan skade eller forstyrre organisationens systemer.
- Udføre Denial-of-service-angreb: Forsøg ikke at overbelaste tjenester eller sætte dem ud af funktion.
- Forstyrrende adfærd: Undlad handlinger, som kan interferere med organisationens drift.
- Sårbarheder, som er trivielle eller ikke kan udnyttes: Lad være med at rapportere sårbarheder, som ikke kan udnyttes, eller som er mindre konfigurationsproblemer.
- Svag TLS-konfiguration: Lad være med at rapportere sårbarheder, som skyldes svage TLS-konfigurationer, medmindre de udgør en væsentlig sikkerhedsrisiko.
- Uautoriseret videregivelse: Afslør ikke sårbarheder for andre end det udpegede sikkerhedsteam eller via de specificerede kanaler.
- Social engineering eller fysiske angreb: Du må ikke bedrage eller gøre fysisk skade på organisationens ansatte eller infrastruktur.
- Afpresning: Du må ikke kræve betaling for at afsløre svagheder.
En anmelder SKAL gøre følgende:
- Beskytte data: Respekter Daikin Europe Groups brugeres og ansattes privatliv.
- Værne om datasikkerheden: Opbevar alle data, du har fået adgang til under din efterforskning, på en sikker måde.
- Slette data rettidigt: Slet data, så snart de ikke længere er nødvendige. I særlige tilfælde, hvor omgående sletning ikke er teknisk muligt eller er i strid med loven (fx på grund af backup og krav om opbevaringstider), skal dataene slettes inden for en måned efter korrigeringen af sårbarheden. Denne tidsfrist på en måned er den maksimale tid, dataene må opbevares, og man skal gøre sit yderste for at slette dataene snarest muligt.