Passa al contenuto principale

Politica per la segnalazione e la divulgazione delle vulnerabilità del Gruppo Daikin Europe

Ultima modifica: 3 febbraio 2025

Introduzione

Daikin Europe N.V. (“DENV”) è una società interamente controllata dall'azienda giapponese Daikin Industries Ltd. Il Gruppo Daikin produce, vende, distribuisce e commercializza soluzioni e impianti per la climatizzazione, il riscaldamento, la ventilazione e la refrigerazione, insieme alle sue controllate.

Daikin Europe N.V., insieme alle sue controllate (di seguito "Gruppo Daikin Europe"), si impegna a garantire la sicurezza e l'integrità dei propri prodotti, sistemi, servizi e applicazioni (di seguito, gli "Asset") per salvaguardare, tra l'altro, la protezione dei dati, compresi quelli personali, e la privacy degli utenti finali, oltre a prevenire qualsiasi impatto negativo sulla funzionalità della rete o l'uso improprio delle risorse di rete.

Scopo della presente politica

Lo scopo della presente politica è di:

  1. incoraggiare chiunque riscontri potenziali vulnerabilità negli Asset del Gruppo Daikin Europe a segnalarlo in modo responsabile, e
  2. stabilire un processo per segnalare al Gruppo Daikin Europe i problemi di sicurezza riscontrati e risolvere tali problemi in modo tempestivo, efficace e conforme alla legislazione applicabile².

Destinatari

Le persone che possono segnalare le vulnerabilità includono, a titolo esemplificativo ma non esaustivo, ricercatori di sicurezza, utenti finali, esperti indipendenti, partner industriali e membri del pubblico in genere (di seguito, il "Segnalante"). Il Gruppo Daikin Europe raccomanda di leggere attentamente la presente politica prima di segnalare una vulnerabilità e di agire sempre in conformità con essa.

Il Gruppo Daikin Europe apprezza il contributo di tutte le parti interessate nell'aiutare il Gruppo stesso a garantire la sicurezza dei propri Asset. Tuttavia, il Gruppo Daikin Europe non offre ricompense in denaro per la segnalazione delle vulnerabilità.

Campo di applicazione

La presente politica di segnalazione e divulgazione delle vulnerabilità si applica a qualsiasi Asset che, se compromesso, potrebbe potenzialmente danneggiare il Gruppo Daikin Europe

o avere ripercussioni sulle sue attività. Ciò include, a titolo esemplificativo ma non esaustivo, tutti i prodotti fabbricati e/o forniti dal Gruppo Daikin Europe, oltre ad asset digitali, applicazioni di terze parti, nonché l’infrastruttura informatica utilizzata all'interno dell'ambiente aziendale del Gruppo Daikin Europe.

Come effettuare una segnalazione

Chiunque rilevi una vulnerabilità di sicurezza è pregato di segnalarla al Gruppo Daikin Europe inviando un’e-mail al seguente indirizzo: vulnerability@daikineurope.com

Quando si segnala una vulnerabilità, si prega di fornire le seguenti informazioni:

  • Nome del modello o identificativo degli Asset interessati e/o informazioni che consentano di identificare gli Asset interessati;
  • Descrizione della vulnerabilità, compreso il modo in cui può essere identificata o riprodotta;
  • Impatto potenziale della vulnerabilità;
  • Codice di prova di concetto (se disponibile) o altre prove che dimostrino i passaggi necessari per riprodurre la vulnerabilità;
  • informazioni di contatto del Segnalatore (non occorre fornire dati personali4).

Conferma della ricezione

Dopo aver ricevuto una segnalazione riguardante una vulnerabilità, il Team Vulnerability Response del Gruppo Daikin Europe confermerà al Segnalante la ricezione della segnalazione entro 7 giorni lavorativi.

La conferma includerà un numero o un identificatore a cui fare riferimento per seguire la pratica. Se sono necessarie ulteriori informazioni per indagare sulla vulnerabilità segnalata, il team incaricato lo comunicherà a chi ha effettuato la segnalazione.

Indagine

Il Team Vulnerability Response del Gruppo Daikin Europe condurrà un’indagine all'interno dell'organizzazione per garantire che la validità, la gravità e la portata di ogni vulnerabilità segnalata siano valutate correttamente.

Il Gruppo Daikin Europe riconosce l'importanza della trasparenza e della collaborazione nella gestione efficace delle vulnerabilità di sicurezza segnalate. Di conseguenza, per tutta la durata dell’indagine, il team incaricato aggiornerà regolarmente il Segnalante sui progressi fatti, compresi eventuali risultati significativi o ulteriori sviluppi.

Rimedi

Se il Gruppo Daikin Europe ritiene necessario affrontare e risolvere una vulnerabilità applicando una patch, una modifica alla configurazione o un'altra misura (di seguito "correzione" o "correzioni") per eliminare o ridurre il rischio, il Gruppo Daikin Europe e/o i suoi fornitori terzi provvederanno a tali correzioni. Le correzioni saranno progettate per risolvere la vulnerabilità identificata senza compromettere la funzionalità o l'usabilità degli Asset interessati.

Una volta sviluppate e testate per verificarne l'efficacia, le correzioni saranno distribuite attraverso canali regolari, come aggiornamenti over-the-air, aggiornamenti del firmware o patch software, a seconda della natura della vulnerabilità. Se necessario, i partner commerciali del Gruppo Daikin Europe, compresi i rivenditori e gli installatori, saranno informati di eventuali azioni necessarie da parte loro, come ad esempio l'assistenza nella distribuzione delle patch agli utenti finali o la fornitura di indicazioni sull'applicazione delle patch.

Dopo aver posto rimedio alle vulnerabilità segnalate, il Gruppo Daikin Europe condurrà delle analisi post-mortem per valutare l'efficacia del processo di risposta e identificare eventuali aree di miglioramento. Le lezioni apprese a seguito di ogni sforzo per la correzione delle vulnerabilità saranno documentate e incorporate nelle future procedure di risposta, con l’obiettivo di migliorare il processo di gestione delle vulnerabilità segnalate.

I Segnalanti saranno informati dell'implementazione delle correzioni e di qualsiasi ulteriore misura adottata per mitigare la vulnerabilità.

Riservatezza e divulgazione delle vulnerabilità segnalate

Il Gruppo Daikin Europe si impegna a divulgare in modo responsabile le vulnerabilità di sicurezza ai propri clienti e utenti finali. Dopo un’analisi approfondita, il Gruppo Daikin Europe determinerà un piano adeguato per rendere nota la vulnerabilità, ad esempio informando sulle correzioni disponibili e fornendo istruzioni su come applicarle. Il Team Vulnerability Response informerà il Segnalante di conseguenza. L'obiettivo è garantire che le parti interessate siano informate sui gravi rischi per la sicurezza e che ricevano indicazioni su come limitarli.

Il Gruppo Daikin Europe riconosce i rischi intrinseci associati alla divulgazione prematura delle vulnerabilità e, pertanto, precisa ai Segnalanti che qualsiasi divulgazione di questo tipo, effettuata prima della risoluzione della vulnerabilità, rappresenta una minaccia significativa per la sicurezza, in particolare per gli utenti finali degli Asset interessati.

La divulgazione prematura potrebbe potenzialmente facilitare lo sfruttamento della vulnerabilità da parte di malintenzionati. Pertanto, il Gruppo Daikin Europe chiede ai Segnalanti di mantenere il massimo riserbo e di astenersi dal divulgare a terzi qualsiasi informazione relativa alla presunta vulnerabilità, a meno che non siano stati espressamente autorizzati per iscritto a farlo dal Gruppo Daikin Europe o ciò non sia previsto dalle leggi vigenti.

Le linee guida dell'hacking etico

Il Segnalante NON DEVE:

  • Compiere attività illegali: è imperativo evitare azioni contrarie alle leggi e normative vigenti.
  • Accedere ai dati in maniera eccessiva: limitando l'accesso ai dati a quanto necessario per la ricerca.
  • Modificare i dati: astenersi dall'alterare qualsiasi dato presente nei sistemi dell'organizzazione.
  • Effettuare test distruttivi: evitare l'uso di strumenti che potrebbero danneggiare o interrompere i sistemi dell'organizzazione.
  • Effettuare attacchi denial-of-service: non tentare di sovraccaricare o disabilitare i servizi.
  • Ostacolare le regolari attività: astenersi da azioni che potrebbero interferire con le attività dell'organizzazione.
  • Segnalare vulnerabilità banali o non sfruttabili: evitare di segnalare le vulnerabilità che non possono essere sfruttate o derivanti da problemi di configurazione di lieve entità.
  • Segnalare vulnerabilità legate a una configurazione TLS debole: evitare di segnalare le vulnerabilità relative a configurazioni TLS deboli, a meno che non rappresentino un rischio significativo per la sicurezza.
  • Divulgare senza autorizzazione: non rivelare le vulnerabilità a persone diverse dal team di sicurezza incaricato o attraverso i canali specificati.
  • Utilizzare metodi di ingegneria sociale o attacchi fisici: non tentare di ingannare o danneggiare fisicamente il personale o l'infrastruttura dell'organizzazione.
  • Praticare l’estorsione: non chiedere denaro per rivelare le vulnerabilità.

Il Segnalante DEVE:

  • Proteggere i dati: rispettare la privacy degli utenti e del personale del Gruppo Daikin Europe.
  • Mantenere i dati al sicuro: archiviare in modo sicuro i dati ottenuti durante la ricerca.
  • Eliminare tempestivamente i dati: eliminare immediatamente i dati non più necessari. In circostanze eccezionali, in cui l'eliminazione immediata dei dati è tecnicamente impossibile o legalmente limitata (ad es. a causa di backup o in caso di conservazione per motivi legali), i dati devono essere eliminati entro un mese dalla risoluzione della vulnerabilità. Il termine di un mese rappresenta il periodo massimo assoluto di conservazione, ma si dovrebbe fare ogni sforzo per eliminare i dati il prima possibile.

Nota bene

La presente Politica per la segnalazione e la divulgazione delle vulnerabilità è soggetta a revisione periodica e può essere aggiornata o modificata, se necessario, per riflettere i cambiamenti di tecnologie, leggi applicabili e migliori prassi.