Laatst gewijzigd op: 3/02/25
Inleiding
Daikin Europe N.V. (“DENV”) is een volle dochteronderneming van de Japanse vennootschap Daikin Industries Ltd. De Daikin Groep produceert, verkoopt, verdeelt en verhandelt in samenwerking met zijn dochterondernemingen apparatuur en oplossingen voor airconditioning, verwarming, ventilatie en koeling.
Daikin Europe N.V. streeft er samen met zijn dochterondernemingen (hierna de “Daikin Europe Group” genoemd) naar om de veiligheid en integriteit van zijn producten, systemen, services en toepassingen (hierna de “Activa” genoemd) te waarborgen om onder andere de bescherming van gegevens, inclusief persoonsgegevens, en de privacy van eindgebruikers te beschermen, en om een negatieve impact op de netwerkfunctionaliteit of het misbruik van netwerkbronnen te voorkomen.
Doel van dit beleid
Het doel van dit beleid is om:
- verantwoorde openbaarmaking van alle mogelijke kwetsbaarheden die zijn ontdekt in de Activa van Daikin Europe Group aan te moedigen, en
- een proces op te zetten om veiligheidsproblemen te rapporteren aan de Daikin Europe Group en dergelijke problemen snel, doeltreffend en in overeenstemming met de toepasselijke wetgeving aan te pakken².
Doelpubliek
Personen die in aanmerking komen om kwetsbaarheden te melden zijn onder andere beveiligingsonderzoekers, eindgebruikers, onafhankelijke experts, partners uit de industrie en leden van het algemene publiek (hierna de “Melder”). Daikin Europe Group raadt u aan om dit beleid voor het openbaar maken van kwetsbaarheden volledig te lezen voordat u een kwetsbaarheid meldt en om er altijd naar te handelen.
Daikin Europe Group waardeert de bijdragen van alle belanghebbenden om Daikin Europe Group te helpen de beveiliging van activa te garanderen. Daikin Europe Group biedt echter geen financiële beloning voor het onthullen van kwetsbaarheden.
Toepassingsgebied
Dit beleid inzake het rapporteren en openbaar maken van kwetsbaarheden is van toepassing op alle Activa die, indien gecompromitteerd, de Daikin Europe Group mogelijk schade kunnen berokkenen of een impact kunnen hebben op de operationele werking. Dit omvat, maar is niet beperkt tot, alle producten die worden vervaardigd en/of geleverd door Daikin Europe Group, evenals digitale activa, toepassingen van derden en IT-infrastructuur die worden gebruikt binnen de bedrijfsomgeving van Daikin Europe Group.
Rapporteren
Wie een beveiligingslek ontdekt, kan dat aan de Daikin Europe Group melden via het volgende adres: vulnerability@daikineurope.com
Geef bij het melden van een kwetsbaarheid de volgende informatie:
- Modelnamen of identificatoren van de betrokken Activa en/of informatie die identificatie van de betrokken Activa mogelijk maakt;
- Beschrijving van de kwetsbaarheid, inclusief hoe deze kan worden geïdentificeerd of gereproduceerd;
- Mogelijke impact van de kwetsbaarheid;
- Proof-of-concept-code (indien beschikbaar) of ander bewijsmateriaal dat de stappen aantoont om de kwetsbaarheid te reproduceren;
- de contactgegevens van de Melder (het verstrekken van persoonsgegevens4 is niet vereist).
Ontvangstbevestiging
Na ontvangst van een kwetsbaarheidsrapport zal het Vulnerability Response Team van Daikin Europe Group de Melder binnen 7 werkdagen een ontvangstbevestiging sturen.
De bevestiging bevat een volgnummer of identificatiecode voor referentiedoeleinden. Als er meer informatie nodig is om de gemelde kwetsbaarheid te onderzoeken, deelt het Vulnerability Response Team dat mee aan de Melder.
Onderzoek
Het Vulnerability Response Team van Daikin Europe Group zal een onderzoek instellen binnen de organisatie om ervoor te zorgen dat de geldigheid, ernst en reikwijdte van elke gemelde kwetsbaarheid naar behoren worden beoordeeld.
Daikin Europe Group erkent het belang van transparantie en samenwerking bij het effectief beheren van gemelde beveiligingskwetsbaarheden. Daarom zal het Vulnerability Response Team gedurende het onderzoeksproces de Melder regelmatig op de hoogte houden van de voortgang, inclusief belangrijke bevindingen of verdere ontwikkelingen.
Remediëring
Als Daikin Europe Group het nodig acht om een kwetsbaarheid aan te pakken en op te lossen door een patch, configuratiewijziging of andere herstelmaatregel (een “oplossing” of “oplossingen”) toe te passen om het risico te elimineren of te beperken, zullen Daikin Europe Group en/of zijn externe leveranciers de oplossingen voorbereiden. Oplossingen worden ontworpen om de geïdentificeerde kwetsbaarheid te verhelpen zonder de functionaliteit of bruikbaarheid van de aangetaste Assets in het gedrang te brengen.
Ontwikkelde oplossingen worden getest op doeltreffendheid en vervolgens verspreid via reguliere kanalen, zoals over-the-air-updates, firmware-updates, softwarepatches, afhankelijk van de aard van de kwetsbaarheid. Indien nodig worden de bedrijfspartners van Daikin Europe Group, waaronder wederverkopers en installateurs, op de hoogte gebracht van de vereiste acties van hun kant, zoals helpen bij de distributie van patches naar eindgebruikers of begeleiding bieden bij het aanbrengen van patches.
Nadat de gerapporteerde kwetsbaarheden zijn verholpen, zal Daikin Europe Group post-mortemanalyses uitvoeren om de doeltreffendheid van het reactieproces te evalueren en gebieden voor verbetering te identificeren. De lessen die uit elke poging tot herstel van kwetsbaarheden worden geleerd, worden gedocumenteerd en opgenomen in toekomstige reactieprocedures om de afhandeling van gemelde kwetsbaarheden te verbeteren.
De melders worden op de hoogte gebracht van de implementatie van oplossingen en eventuele extra stappen die worden ondernomen om de kwetsbaarheid te verhelpen.
Vertrouwelijkheid en openbaarmaking van gerapporteerde kwetsbaarheden
Daikin Europe Group zet zich in voor een verantwoorde bekendmaking van beveiligingskwetsbaarheden aan zijn klanten en eindgebruikers. Zodra een kwetsbaarheid volledig is onderzocht, zal Daikin Europe Group een geschikt openbaarmakingsplan opstellen, zoals de communicatie over de beschikbaarheid van oplossingen en instructies over hoe ze toe te passen. Het Vulnerability Response Team zal de Melder hiervan op de hoogte stellen. Het doel is om ervoor te zorgen dat de betrokken partijen op de hoogte zijn van ernstige beveiligingsrisico's en advies krijgen over hoe ze deze risico's kunnen beperken.
Daikin Europe Group erkent de inherente risico's die gepaard gaan met het vroegtijdig openbaar maken van kwetsbaarheden en benadrukt daarom aan de Melders dat een dergelijke openbaarmaking, terwijl de kwetsbaarheid onopgelost blijft, een aanzienlijke bedreiging vormt voor de veiligheid, in het bijzonder voor eindgebruikers van de betrokken Activa.
Voortijdige openbaarmaking kan mogelijk misbruik door kwaadwillende entiteiten vergemakkelijken. Daarom vraagt de Daikin Europe Group aan Melders van mogelijke kwetsbaarheden om strikte vertrouwelijkheid te bewaren en om geen informatie over de vermoedelijke kwetsbaarheid bekend te maken aan derden, tenzij de Daikin Europe Group hiervoor uitdrukkelijk schriftelijk toestemming heeft gegeven of de toepasselijke wetgeving dit vereist.
Richtlijnen voor ethisch hacken
Wat een Melder NIET MAG doen:
- Illegale activiteiten: Vermijd handelingen die de toepasselijke wet- en regelgeving schenden.
- Buitensporige toegang tot gegevens: Beperk de toegang tot gegevens tot wat nodig is voor het onderzoek.
- Wijziging van gegevens: Wijzig geen gegevens in de systemen van de organisatie.
- Destructieve tests: Vermijd het gebruik van tools die de systemen van de organisatie kunnen beschadigen of verstoren.
- Denial-of-service-aanvallen: Probeer services niet te overbelasten of uit te schakelen.
- Ontwrichtend gedrag: Voer geen acties uit die de activiteiten van de organisatie kunnen verstoren.
- Triviale of niet-uitbuitbare kwetsbaarheden: Rapporteer geen kwetsbaarheden die niet uitgebuit kunnen worden of kleine configuratieproblemen zijn.
- Zwakke TLS-configuratie: Vermijd het rapporteren van kwetsbaarheden gerelateerd aan zwakke TLS-configuraties, tenzij ze een significant beveiligingsrisico vormen.
- Ongeautoriseerde communicatie: Maak kwetsbaarheden alleen bekend aan het daartoe aangewezen beveiligingsteam of via de aangegeven kanalen.
- Social engineering of fysieke aanvallen: Doe geen pogingen om het personeel of de infrastructuur van de organisatie te misleiden of fysiek te beschadigen.
- Afpersing: Vraag geen betaling voor het onthullen van kwetsbaarheden.
Wat een Melder MOET doen:
- Gegevensbescherming: Respecteer de privacy van de gebruikers en het personeel van Daikin Europe Group.
- Beveiliging van gegevens: Sla alle gegevens die tijdens het onderzoek zijn verkregen veilig op.
- Tijdige verwijdering van gegevens: Verwijder gegevens onmiddellijk zodra ze niet langer nodig zijn. In uitzonderlijke omstandigheden, waarbij onmiddellijke verwijdering technisch onmogelijk is of wettelijk beperkt (bv. vanwege back-ups, wettelijke bewaarplicht), moeten de gegevens binnen een maand nadat de kwetsbaarheid is verholpen, worden verwijderd. Dit tijdsbestek van een maand vertegenwoordigt de absolute maximale bewaarperiode en er moet alles aan worden gedaan om gegevens zo snel mogelijk te verwijderen.