Daikin Europe Groupin haavoittuvuusraportointi- ja ilmoittamiskäytäntö

Viimeksi muokattu: 3. helmikuuta 2025

Johdanto

Daikin Europe N.V. (”DENV”) on japanilaisen Daikin Industries Ltd.:n täysin omistama tytäryhtiö. Daikin Group valmistaa, myy, jakelee ja markkinoi ilmastointi-, lämmitys-, ilmanvaihto- ja kylmäsäilytyslaitteistoja ja ratkaisuja tytäryhtiöidensä kanssa.

Daikin Europe N.V. tytäryhtiöineen (jäljempänä ”Daikin Europe Group”) on sitoutunut varmistamaan tuotteidensa, järjestelmiensä, palveluidensa ja sovelluksiensa (jäljempänä ”Tuotteet”) tietoturva ja eheys varmistaakseen muun muassa tietosuojan, henkilötiedot mukaan lukien, sekä peruskäyttäjien yksityisyyden suojan, sekä estääkseen mahdolliset haittavaikutukset verkon toiminnassa ja verkkoresurssien väärinkäytökset.

Näiden käytäntöjen tarkoitus

Näiden käytäntöjen tarkoituksena on:

1. kannustaa julkistamaan vastuullisesti kaikki mahdolliset haavoittuvuudet, jotka on havaittu Daikin Europe Groupin tuotteissa, ja
2. vakiinnuttaa prosessi tietoturvaongelmista raportointiin Daikin Europe Groupille sekä kyseisten ongelmien käsittelyyn viipymättä ja soveltuvan lainsäädännön mukaisesti².

Kohdeyleisö

Henkilöt, jotka voivat ilmoittaa haavoittuvuuksista, ovat rajoittamatta esimerkiksi tietoturvatutkijoita, peruskäyttäjiä, riippumattomia asiantuntijoita, alan kumppaneita sekä tavallisia kansalaisia (jäljempänä ”Ilmoittaja”). Daikin Europe Group suosittelee tämän haavoittuvuuksien ilmoittamiskäytännön lukemista kokonaan ennen haavoittuvuuden ilmoittamista ja toimimaan aina sen mukaisesti.

Daikin Europe Group arvostaa kaikkien osapuolten osuutta Daikin Europe Groupin tuotteiden tietoturvan varmistamisessa. Daikin Europe Group ei kuitenkaan tarjoa rahapalkintoja haavoittuvuuksista ilmoittamiselle.

Laajuus

Tämä haavoittuvuusraportointi ja ilmoittamiskäytäntö koskee mitä tahansa tuotetta, joka vaarantuessaan voisi vahingoittaa Daikin Europe Groupia tai vaikuttaa sen toimintaan. Näihin sisältyvät rajoittamatta kaikki Daikin Europe Groupin valmistamat ja/tai toimittamat tuotteet, mukaan lukien digitaaliset, muun osapuolen sovellukset sekä Daikin Europe Groupin liiketoimintaympäristön IT-infrastruktuuri.

Raportointi

Mikäli havaitset tietoturvahaavoittuvuuden, ilmoita siitä Daikin Europe Groupille seuraavaan osoitteeseen: vulnerability@daikineurope.com

Kun ilmoitat haavoittuvuudesta, ole hyvä ja anna seuraavat tiedot:

• Liittyvien tuotteiden mallinimet tai tunnisteet ja/tai tiedot, jotka mahdollistavat liittyvien tuotteiden tunnistamisen.
• Kuvaus haavoittuvuudesta mukaan lukien se, miten se voidaan havaita tai tuottaa uudelleen.
• Haavoittuvuuden mahdolliset vaikutukset.
• Soveltuvuusselvityksen koodi (jos saatavilla) tai muut todisteet, jotka esittävät vaiheet haavoittuvuuden esittämiseen.
• Ilmoittajan yhteystiedot (henkilötietoja ei tarvitse antaa).

Ilmoitus vastaanottamisesta

Kun haavoittuvuusilmoitus vastaanotetaan, Daikin Europe Groupin haavoittuvuuksien vastaustiimi kuittaa vastaanotetun ilmoituksen ilmoittajalle 7 työpäivän kuluessa.

Kuittaus sisältää seurantanumeron tai tunnisteen viitteeksi. Mikäli ilmoitetun haavoittuvuuden tutkiminen edellyttää lisätietoja, haavoittuvuuksien vastaustiimi kertoo tästä ilmoittajalle.

Tutkinta

Daikin Europe Groupin haavoittuvuuksien vastaustiimi tutkii asiaa organisaatiossa ja varmistaa, että kunkin ilmoitetun haavoittuvuuden oikeellisuus, vakavuus ja laajuus arvioidaan asianmukaisesti.

Daikin Europe Group tunnustaa läpinäkyvyyden ja yhteistoiminnan tärkeyden ilmoitettujen haavoittuvuuksien tehokkaassa hallinnassa. Tämän johdosta haavoittuvuuksien vastaustiimi lähettää ilmoittajalle tutkinnan aikana säännöllisesti päivityksiä edistymisestä, mukaan lukien mahdolliset merkittävät löydökset tai jatkotoimenpiteet.

Korjaustoimenpiteet

Jos Daikin Europe Group katsoo tarpeelliseksi käsitellä ja ratkaista haavoittuvuuden käyttämällä korjaustiedostoa, konfiguraation muutosta tai muuta korjaustoimenpidettä ("korjaus" tai "korjaukset") riskin eliminoimiseksi tai vähentämiseksi, Daikin Europe Group ja/tai sen muun osapuolen toimittajat laativat nämä korjaukset. Korjaukset suunnitellaan kohdistumaan havaittuun haavoittuvuuteen vaarantamatta liittyvien tuotteiden toiminnallisuutta tai käytettävyyttä.

Korjausten kehittämisen ja toimivuuden testaamisen jälkeen ne jaellaan normaalien kanavien kautta, kuten langattomina päivityksinä, laiteohjelmiston päivityksinä tai ohjelmiston korjaustiedostoina haavoittuvuuden luonteesta riippuen. Tarvittaessa Daikin Europe Groupin kumppaneille, jälleenmyyjät ja asennusliikkeet mukaan lukien, ilmoitetaan mahdollisesti näiden osalta tarvittavista toimista, kuten avustamisessa korjaustiedostojen jakelussa peruskäyttäjille tai korjaustiedoston käytön opastuksessa.

Sen jälkeen kun ilmoitetut haavoittuvuudet on korjattu, Daikin Europe Group tekee post-mortem-analyysit reagointiprosessin tehokkuuden arvioimiseksi sekä parannusalueiden tunnistamiseksi. Kustakin korjaustoimien prosessista opitut asiat dokumentoidaan ja sisällytetään myöhempiin reagointitoimien käytäntöihin ilmoitettujen haavoittuvuuksien käsittelyn tehostamiseksi.

Ilmoittajalle kerrotaan korjausten käyttöönotosta sekä muista mahdollisista toimenpiteistä haavoittuvuuden lieventämiseksi.

Ilmoitettujen haavoittuvuuksien luottamuksellisuus ja esittäminen

Daikin Europe Group on sitoutunut vastuulliseen tiedottamiseen tietoturvahaavoittuvuuksista asiakkailleen ja peruskäyttäjille. Sen jälkeen kun haavoittuvuus on tutkittu huolellisesti, Daikin Europe Group laatii soveltuvan tiedonantosuunnitelman, esimerkiksi tiedotteesta koskien korjausten saatavuutta sekä ohjeita niiden käyttämiseksi. Haavoittuvuuksien vastaustiimi tiedottaa asiasta tämän mukaisesti ilmoittajalle. Tavoitteena on varmistaa, että liittyvät osapuolet saavat tiedon vakavista tietoturvariskeistä ja ohjeet niiden lieventämiseksi.

Daikin Europe Group tunnistaa haavoittuvuuksien ennenaikaisen tiedottamisen riskit ja korostaa siten ilmoittajille, että tällainen tiedottaminen, ennen kuin haavoittuvuus on selvitetty, aiheuttaa merkittävän tietoturvauhan, varsinkin liittyvien tuotteiden peruskäyttäjille.

Ennenaikainen julkistaminen voi mahdollistaa haavoittuvuuden hyödyntämisen pahantahtoisten toimijoiden toimesta. Siksi Daikin Europe Group pyytää, että mahdollisten haavoittuvuuksien ilmoittajat säilyttävät tiukasti luottamuksellisuuden ja pidättäytyvät julkistamasta mitään tietoja epäillystä haavoittuvuudesta muille osapuolille, ellei Daikin Europe Group anna sille kirjallisesti nimenomaista lupaa tai sovellettava laki valtuuta sitä.

Eettisen hakkeroinnin ohjeita

Mitä ilmoittaja EI SAA tehdä:

• Laittomat toimet: Älä tee mitään sellaista, joka rikkoo sovellettavaa lakia tai määräyksiä.
• Tietojen liiallinen käsittely: Rajoita tietojen käsittely siihen, mikä on tarpeen tutkimusta varten.
• Tietojen muuttaminen: Älä muuta tietoja organisaation järjestelmien puitteissa.
• Rikkova testaus: Älä käytä työkaluja, jotka voisivat vaurioittaa tai häiritä organisaation järjestelmiä.
• Palvelunestohyökkäykset: Älä yritä ylikuormittaa palveluita tai estää niiden toimintaa.
• Häiritsevä toiminta: Pidättäydy toimista, jotka voivat häiritä organisaation toimintoja.
• Triviaaliset tai ei hyödynnettävissä olevat haavoittuvuudet: Älä ilmoita haavoittuvuuksista, joita ei voi hyödyntää tai jotka ovat vähäisiä konfigurointiongelmia.
• Heikko TLS-määritys: Älä ilmoita haavoittuvuuksia, jotka liittyvät heikkoon TLS-määritykseen, elleivät ne aiheuta merkittävää tietoturvariskiä.
• Luvaton tiedottaminen: Älä paljasta haavoittuvuuksia kenellekään muulle kuin ilmoitetulle tietoturvatiimille tai ilmoitettujen kanavien kautta.
• Käyttäjien manipulointi tai fyysiset hyökkäykset: Älä yritä huijata tai fyysisesti vahingoittaa organisaation henkilöstöä tai infrastruktuuria.
• Kiristäminen: Älä vaadi maksua haavoittuvuuksien paljastamisesta.

Mitä ilmoittajan TÄYTYY tehdä:

• Tietosuoja: Kunnioita Daikin Europe Groupin käyttäjien ja henkilöstön yksityisyyttä.
• Tietoturva: Tallenna tietoturvallisesti kaikki tutkimuksen aikana saadut tiedot.
• Tietojen poistaminen kohtuullisessa ajassa: Poista tiedot heti kun niitä ei enää tarvita. Poikkeustapauksissa, kun välitön poistaminen on teknisesti mahdotonta tai lain mukaan rajoitettua (esimerkiksi varmuuskopioiden tai oikeudellisen omistuksen vuoksi), tiedot on poistettava kuukauden kuluessa siitä, kun haavoittuvuus on korjattu. Tämä kuukauden jakso edustaa absoluuttisesti pisintä säilytysaikaa, ja tiedot on kaikin keinoin pyrittävä poistamaan mahdollisimman pian.

Huomautus

^{Tätä haavoittuvuusraportointi- ja ilmoittamiskäytäntöä arvioidaan määräajoin ja sitä voidaan päivittää tai muuttaa tarpeen mukaan kuvaamaan muutoksia tekniikassa, sovellettavissa laissa tai parhaissa käytännöissä.}