Ultima modifica: 03 febbraio 2025
Introduzione
Daikin Europe N.V. (“DENV”) è una consociata interamente controllata dalla società giapponese Daikin Industries Ltd. Il Gruppo Daikin produce, vende, distribuisce e promuove soluzioni per l'aria condizionata, il riscaldamento, la ventilazione e la refrigerazione, insieme alle sue consociate.
Daikin Europe N.V. insieme alle sue controllate (di seguito "Gruppo Daikin Europe"), si impegna a garantire la sicurezza e l'integrità dei propri prodotti, sistemi, servizi e applicazioni (di seguito, gli "Asset") per salvaguardare, tra l'altro, la protezione dei dati, compresi quelli personali, e la privacy degli utenti finali, oltre a prevenire qualsiasi impatto negativo sulla funzionalità della rete o l'uso improprio delle risorse di rete.
Scopo della presente politica
Lo scopo della presente politica è di:
- incoraggiare chiunque riscontri potenziali vulnerabilità negli Asset del Gruppo Daikin Europe a divulgarlo in modo responsabile, e
- stabilire un processo per segnalare al Gruppo Daikin Europe i problemi riscontrati in materia di sicurezza e per risolverli in modo tempestivo, efficace e conforme alla legislazione applicabile².
Destinatari
Le persone che possono segnalare le vulnerabilità includono, a titolo esemplificativo ma non esaustivo, ricercatori di sicurezza, utenti finali, esperti indipendenti, partner industriali e membri del pubblico in genere (di seguito, il "Segnalante"). Il Gruppo Daikin Europe raccomanda di leggere attentamente la presente politica sulla divulgazione delle vulnerabilità prima di segnalare una vulnerabilità e di agire sempre in modalità conformi alla stessa.
Il Gruppo Daikin Europe apprezza il contributo di tutte le parti interessate nell'aiutare il Gruppo stesso a garantire la sicurezza dei propri Asset. Tuttavia, il Gruppo Daikin Europe non offre alcun compenso monetario per le vulnerabilità divulgate.
Campo di applicazione
La presente Politica di segnalazione e divulgazione delle vulnerabilità si applica agli Asset che, se compromessi, potrebbero potenzialmente danneggiare il Gruppo Daikin Europe o influire negativamente sulle sue attività. Ciò include, a titolo esemplificativo ma non esaustivo, tutti i prodotti fabbricati e/o forniti dal Gruppo Daikin Europe, oltre ad asset digitali, applicazioni di terze parti, nonché l’infrastruttura informatica utilizzata all'interno dell'ambiente aziendale del Gruppo Daikin Europe.
Segnalazione
Qualora venga scoperta una vulnerabilità di sicurezza, si prega di segnalarla al Gruppo Daikin Europe utilizzando il seguente indirizzo: vulnerability@daikineurope.com
Quando si segnala una vulnerabilità, si prega di fornire le seguenti informazioni:
- Nome del modello o identificativo degli Asset interessati e/o informazioni che consentano di identificare gli Asset interessati;
- Descrizione della vulnerabilità, compreso il modo in cui può essere identificata o riprodotta;
- Impatto potenziale della vulnerabilità;
- Codice di tipo proof-of-concept (se disponibile) o altre prove che dimostrino i passaggi necessari per riprodurre la vulnerabilità;
- i dati di contatto del Segnalante (non è obbligatorio comunicare i dati personali4).
Conferma della ricezione
Una volta ricevuta la segnalazione di una vulnerabilità, il Team Vulnerability Response del Gruppo Daikin Europe provvederà a confermarne la ricezione al Segnalante entro 7 giorni lavorativi.
La conferma includerà un numero o un identificatore a cui fare riferimento per seguire la pratica. Se sono necessarie ulteriori informazioni per condurre indagini sulla vulnerabilità segnalata, il Team Vulnerability Response lo comunicherà al Segnalante.
Indagine
Il Team Vulnerability Response del Gruppo Daikin Europe condurrà un’indagine all'interno dell'organizzazione per garantire che la validità, la gravità e la portata di ogni vulnerabilità segnalata vengano valutate correttamente.
Il Gruppo Daikin Europe riconosce l'importanza della trasparenza e della collaborazione nella gestione efficace delle vulnerabilità di sicurezza segnalate. Di conseguenza, per tutta la durata dell’indagine, il Team Vulnerability Response aggiornerà regolarmente il Segnalante sui progressi compiuti, compresi eventuali risultati significativi o ulteriori sviluppi.
Rimedi
Se il Gruppo Daikin Europe ritiene che sia necessario intervenire e correggere una vulnerabilità applicando una patch, una modifica alla configurazione o un'altra misura correttiva (nel seguito, “correzione” o “correzioni”) per eliminare o mitigare il rischio, il Gruppo Daikin Europe e/o i suoi fornitori terzi predisporranno le correzioni. Le correzioni saranno progettate per risolvere la vulnerabilità identificata senza compromettere la funzionalità o l'usabilità degli Asset interessati.
Una volta sviluppate e testate per verificarne l'efficacia, le correzioni saranno distribuite attraverso canali regolari, come aggiornamenti over-the-air, aggiornamenti del firmware o patch software, a seconda della natura della vulnerabilità. Se necessario, i partner commerciali del Gruppo Daikin Europe, compresi i rivenditori e gli installatori, saranno informati di eventuali azioni necessarie da parte loro, come ad esempio l'assistenza nella distribuzione delle patch agli utenti finali o la fornitura di indicazioni sull'applicazione delle patch.
Dopo aver posto rimedio alle vulnerabilità segnalate, il Gruppo Daikin Europe condurrà delle analisi post-mortem per valutare l'efficacia del processo di risposta e identificare eventuali aree di miglioramento. Le lezioni apprese a seguito degli sforzi attuati per la correzione delle vulnerabilità saranno documentate e incorporate nelle future procedure di risposta, con l’obiettivo di migliorare il processo di gestione delle vulnerabilità segnalate.
I Segnalanti saranno informati dell'implementazione delle correzioni e di qualsiasi ulteriore misura adottata per mitigare la vulnerabilità.
Riservatezza e divulgazione delle vulnerabilità segnalate
Il Gruppo Daikin Europe si impegna a divulgare in modo responsabile le vulnerabilità di sicurezza ai propri clienti e utenti finali. Dopo aver condotto un’analisi approfondita, il Gruppo Daikin Europe determinerà un piano adeguato di divulgazione della vulnerabilità, ad esempio mediante comunicazioni relative alle correzioni disponibili e alle istruzioni per applicarle. Il Team Vulnerability Response informerà il Segnalante di conseguenza. L'obiettivo è garantire che le parti interessate vengano informate su eventuali gravi rischi per la sicurezza e che ricevano indicazioni su come limitarli.
Il Gruppo Daikin Europe riconosce i rischi intrinseci associati alla divulgazione prematura delle vulnerabilità e, pertanto, precisa ai Segnalanti che qualsiasi divulgazione di questo tipo, effettuata prima della risoluzione della vulnerabilità, rappresenta una minaccia significativa per la sicurezza, in particolare per gli utenti finali degli Asset interessati.
La divulgazione prematura potrebbe potenzialmente facilitare lo sfruttamento della vulnerabilità da parte di malintenzionati. Pertanto, il Gruppo Daikin Europe chiede ai Segnalanti di mantenere il massimo riserbo e di astenersi dal divulgare a terze parti qualsiasi informazione relativa alla presunta vulnerabilità, a meno che non siano stati espressamente autorizzati per iscritto a farlo dal Gruppo Daikin Europe o che ciò non sia previsto dalle leggi vigenti.
Le linee guida dell'hacking etico
Il Segnalante NON DEVE:
- Compiere attività illegali: è imperativo evitare azioni contrarie alle leggi e normative vigenti.
- Accedere ai dati in maniera eccessiva: limitando l'accesso ai dati a quanto necessario per la ricerca.
- Modificare i dati: astenersi dall'alterare qualsiasi dato presente nei sistemi dell'organizzazione.
- Effettuare test distruttivi: evitare l'uso di strumenti che potrebbero danneggiare o interrompere i sistemi dell'organizzazione.
- Effettuare attacchi denial-of-service: non tentare di sovraccaricare o disabilitare i servizi.
- Ostacolare le regolari attività: astenersi da azioni che potrebbero interferire con le attività dell'organizzazione.
- Segnalare vulnerabilità banali o non sfruttabili: evitare di segnalare le vulnerabilità che non possono essere sfruttate o derivanti da problemi di configurazione di lieve entità.
- Segnalare vulnerabilità legate a una configurazione TLS debole: evitare di segnalare le vulnerabilità relative a configurazioni TLS deboli, a meno che non rappresentino un rischio significativo per la sicurezza.
- Divulgare senza autorizzazione: non rivelare le vulnerabilità a persone diverse dal team di sicurezza incaricato o attraverso i canali specificati.
- Utilizzare metodi di ingegneria sociale o attacchi fisici: non tentare di ingannare o danneggiare fisicamente il personale o l'infrastruttura dell'organizzazione.
- Praticare l’estorsione: non chiedere denaro per rivelare le vulnerabilità.
Il Segnalante DEVE:
- Proteggere i dati: rispettare la privacy degli utenti e del personale del Gruppo Daikin Europe.
- Mantenere i dati al sicuro: archiviare in modo sicuro i dati ottenuti durante la ricerca.
- Eliminare tempestivamente i dati: eliminare immediatamente i dati non più necessari. In circostanze eccezionali, in cui l'eliminazione immediata dei dati è tecnicamente impossibile o legalmente limitata (ad es. a causa di backup o in caso di conservazione per motivi legali), i dati devono essere eliminati entro un mese dalla risoluzione della vulnerabilità. Il termine di un mese rappresenta il periodo massimo assoluto di conservazione, ma si dovrebbe compiere ogni sforzo per eliminare i dati il prima possibile.