Skip to main content

Daikin Europe Group beleid voor het melden en openbaar maken van kwetsbaarheden

Laatst gewijzigd op: 3 februari 2025

Introductie

Daikin Europe N.V. (“DENV”) is een volle dochteronderneming van de Japanse vennootschap Daikin Industries Ltd.. De Daikin Groep produceert, verkoopt, verdeelt en voert marketingactiviteiten uit voor airconditioning, verwarmings-, luchtreinigings- en koudetechniek en –oplossingen in samenwerking met zijn dochterondernemingen.

Daikin Europe N.V.streeft er samen met haar dochterondernemingen (hierna de “Daikin Europe Group” genoemd) naar om de veiligheid en integriteit van haar producten, systemen, diensten en toepassingen (hierna de “Activa” genoemd) te waarborgen, om onder andere de bescherming van gegevens, inclusief persoonsgegevens, en de privacy van eindgebruikers te beschermen en om een negatieve impact op de netwerkfunctionaliteit of het misbruik van netwerkbronnen te voorkomen.

Doel van dit beleid

Het doel van dit beleid is:

  1. het aanmoedigen van verantwoorde openbaarmaking van alle mogelijke kwetsbaarheden die zijn ontdekt in de Activa van Daikin Europe Group, en
  2. het vastleggen van een proces voor het melden van beveiligingskwetsbaarheden aan Daikin Europe Group en het snel, doeltreffend en in overeenstemming met de toepasselijke wetgeving aanpakken van dergelijke kwetsbaarheden².

Doelgroep

Personen die in aanmerking komen om kwetsbaarheden te melden zijn onder andere beveiligingsonderzoekers, eindgebruikers, onafhankelijke experts, partners uit de industrie en leden van het algemene publiek (hierna de “Melder”). Daikin Europe Group raadt u aan om dit beleid voor het openbaar maken van kwetsbaarheden volledig te lezen voordat u een kwetsbaarheid meldt en om er altijd naar te handelen.

Daikin Europe Group waardeert de bijdragen van alle belanghebbenden om Daikin Europe Group te helpen de veiligheid van Activa te verzekeren. Daikin Europe Group biedt echter geen geldelijke beloning voor het onthullen van kwetsbaarheden.

Bereik

Dit beleid voor het melden en openbaar maken van kwetsbaarheden is van toepassing op alle Activa die, indien gecompromitteerd, de Daikin Europe Group mogelijk schade zouden kunnen berokkenen

of haar activiteiten zouden kunnen beïnvloeden. Dit omvat, maar is niet beperkt tot, alle producten die worden vervaardigd en/of geleverd door Daikin Europe Group, evenals digitale activa, toepassingen van derden en IT-infrastructuur die worden gebruikt binnen de bedrijfsomgeving van Daikin Europe Group.

Melding

Als u een kwetsbaarheid in de beveiliging ontdekt, kunt u deze melden aan Daikin Europe Group via het volgende e-mailadres: vulnerability@daikineurope.com

Geef bij het melden van een kwetsbaarheid de volgende informatie:

  • Modelna(a)m(en) of identificator(en) van de betrokken Activa en/of informatie die identificatie van de betrokken Activa mogelijk maakt;
  • Beschrijving van de kwetsbaarheid, inclusief hoe deze kan worden geïdentificeerd of gereproduceerd;
  • Potentiële impact van de kwetsbaarheid;
  • Proof-of-concept code (indien beschikbaar) of ander bewijsmateriaal dat stappen aantoont om de kwetsbaarheid te reproduceren;
  • de contactgegevens van de Melder (het verstrekken van persoonsgegevens4 is niet vereist).

Bevestiging van ontvangst

Na ontvangst van een kwetsbaarheidsrapport zal het Vulnerability Response Team van Daikin Europe Group de melder binnen 7 werkdagen een ontvangstbevestiging sturen.

De bevestiging bevat een volgnummer of identificatiecode voor referentiedoeleinden. Als er meer informatie nodig is om de gemelde kwetsbaarheid te onderzoeken, deelt het Vulnerability Response Team dit mee aan de Melder.

Onderzoek

Het Vulnerability Response Team van Daikin Europe Group zal onderzoek doen binnen de organisatie om ervoor te zorgen dat de geldigheid, de ernst en het bereik van elke gemelde kwetsbaarheid naar behoren worden beoordeeld.

Daikin Europe Group erkent het belang van transparantie en samenwerking bij het effectief beheren van gemelde beveiligingskwetsbaarheden. Daarom zal het Vulnerability Response Team gedurende het onderzoeksproces de Melder regelmatig op de hoogte houden van de voortgang, inclusief belangrijke bevindingen of verdere ontwikkelingen.

Herstel

Als Daikin Europe Group het nodig acht om een kwetsbaarheid aan te pakken en op te lossen door een patch, configuratiewijziging of andere herstelmaatregel (een “fix” of “fixes”) toe te passen om het risico te elimineren of te beperken, zullen Daikin Europe Group en/of zijn externe leveranciers de fixes voorbereiden. Fixes zullen worden ontworpen om de geïdentificeerde kwetsbaarheid te verhelpen zonder de functionaliteit of bruikbaarheid van de aangetaste Activa in gevaar te brengen.

Zodra fixes zijn ontwikkeld en getest op effectiviteit, worden ze verspreid via reguliere kanalen, zoals over-the-air updates, firmware updates, softwarepatches, afhankelijk van de aard van de kwetsbaarheid. Indien nodig zullen de handelspartners van Daikin Europe Group, met inbegrip van wederverkopers en installateurs, op de hoogte worden gebracht van de vereiste acties van hun kant, zoals helpen bij de distributie van patches naar eindgebruikers of begeleiding bieden bij het toepassen van patches.

Nadat de gemelde kwetsbaarheden zijn verholpen, zal Daikin Europe Group post-mortem analyses uitvoeren om de doeltreffendheid van het reactieproces te evalueren en gebieden voor verbetering te identificeren. De lessen die uit elke poging tot herstel van kwetsbaarheden worden geleerd, worden gedocumenteerd en opgenomen in toekomstige reactieprocedures om het proces van afhandeling van gemelde kwetsbaarheden te verbeteren.

De gemelde partijen zullen op de hoogte worden gebracht van de implementatie van fixes en eventuele extra stappen die worden genomen om de kwetsbaarheid te verhelpen.

Vertrouwelijkheid en openbaarmaking van gemelde kwetsbaarheden

Daikin Europe Group zet zich in voor een verantwoorde bekendmaking van beveiligingskwetsbaarheden aan zijn klanten en eindgebruikers. Zodra een kwetsbaarheid volledig is onderzocht, zal Daikin Europe Group een geschikt openbaarmakingsplan opstellen, zoals de communicatie over de beschikbaarheid van oplossingen en instructies over hoe ze toe te passen. Het Vulnerability Response Team zal de Melder hiervan op de hoogte stellen. Het doel is om ervoor te zorgen dat de betrokken partijen op de hoogte zijn van ernstige beveiligingsrisico's en advies krijgen over hoe ze deze risico's kunnen beperken.

Daikin Europe Group erkent de inherente risico's die gepaard gaan met het vroegtijdig bekendmaken van kwetsbaarheden en benadrukt daarom aan de Melders dat een dergelijke bekendmaking, zolang de kwetsbaarheid onopgelost blijft, een aanzienlijke bedreiging vormt voor de veiligheid, in het bijzonder voor eindgebruikers van de betrokken Activa.

Voortijdige openbaarmaking kan mogelijk misbruik door kwaadwillende entiteiten vergemakkelijken. Daarom vraagt de Daikin Europe Group aan Melders van mogelijke kwetsbaarheden om strikte vertrouwelijkheid te bewaren en geen informatie over de vermoedelijke kwetsbaarheid bekend te maken aan derden, tenzij de Daikin Europe Group hiervoor uitdrukkelijk schriftelijk toestemming heeft gegeven of de toepasselijke wetgeving dit vereist.

Richtlijnen ethisch hacken

Wat een Melder NIET MAG doen:

  • Illegale activiteiten: Vermijd elke handeling die in strijd is met de toepasselijke wet- en regelgeving.
  • Buitensporige gegevenstoegang: Beperk de toegang tot gegevens tot wat nodig is voor het onderzoek.
  • Wijziging gegevens: Verander geen gegevens in de systemen van de organisatie.
  • Destructief testen: Vermijd het gebruik van tools die de systemen van de organisatie kunnen beschadigen of verstoren.
  • Denial-of-service attacks: Tracht de services niet te overbelasten of uit te schakelen.
  • Ontwrichtend gedrag: Onthoud u van acties die de activiteiten van de organisatie kunnen verstoren.
  • Triviale of niet-uitbuitbare kwetsbaarheden: Meld geen kwetsbaarheden die niet uitgebuit kunnen worden of kleine configuratieproblemen zijn.
  • Zwakke TLS-configuratie: Vermijd meldingen van kwetsbaarheden die te maken hebben met zwakke TLS-configuraties, tenzij ze een significant beveiligingsrisico vormen.
  • Ongeautoriseerde communicatie: Maak kwetsbaarheden uitsluitend bekend aan het aangewezen beveiligingsteam of via de aangegeven kanalen.
  • Social engineering of fysieke aanvallen: Tracht niet het personeel of de infrastructuur van de organisatie te misleiden of fysiek te beschadigen.
  • Afpersing: Eis geen betaling voor het onthullen van kwetsbaarheden.

Wat een Melder MOET doen:

  • Gegevensbescherming: Respecteer de privacy van de gebruikers en het personeel van Daikin Europe Group.
  • Gegevensbeveiliging: Sla alle gegevens die tijdens het onderzoek zijn verkregen veilig op.
  • Tijdige gegevensverwijdering: Verwijder gegevens onmiddellijk, zodra ze niet langer nodig zijn. In uitzonderlijke omstandigheden, waarbij onmiddellijke verwijdering technisch onmogelijk is of wettelijk beperkt (bv. vanwege back-ups, wettelijke bewaarplicht), moeten de gegevens binnen een maand nadat de kwetsbaarheid is verholpen, worden verwijderd. Dit tijdsbestek van een maand vertegenwoordigt de absolute maximale bewaarperiode en er moet alles aan worden gedaan om gegevens zo snel mogelijk te verwijderen.

Kennisgeving

Dit Beleid voor het melden en openbaar maken van kwetsbaarheden wordt regelmatig herzien en kan indien nodig worden bijgewerkt of gewijzigd om veranderingen in technologie, toepasselijke wetten of beste praktijken weer te geven.