Skip to main content

Política de comunicação e divulgação de vulnerabilidades do Grupo Daikin Europe

Última modificação em: 3 de fevereiro de 2025

Introdução

A Daikin Europe N.V. ("DENV") é uma subsidiária totalmente detida pela sociedade japonesa Daikin Industries Ltd. O Grupo Daikin produz, vende, distribui e executa a comercialização de equipamentos de ar condicionado, aquecimento, ventilação e refrigeração, e soluções empresariais, juntamente com as suas subsidiárias.

A Daikin Europe N.V. ,e as suas subsidiárias, (doravante "Daikin Europe Group") está empenhada em proteger a segurança e a integridade dos seus produtos, sistemas, serviços e aplicações (doravante "Ativos") para assegurar, entre outros, a proteção dos dados, incluindo dados pessoais, e a privacidade dos utilizadores finais, assim como evitar impactos adversos na funcionalidade da rede ou a utilização incorreta dos recursos de rede.

Objetivo desta política

O objetivo desta política é:

  1. incentivar a divulgação responsável de potenciais vulnerabilidades descobertas nos Ativos do Daikin Europe Group, e
  2. estabelecer um processo para comunicar problemas de segurança ao Daikin Europe Group e abordar os eventuais problemas de forma atempada, eficaz e em conformidade com a legislação aplicável².

Público-alvo

As pessoas elegíveis para comunicar vulnerabilidades incluem, entre outras, investigadores de segurança, utilizadores finais, especialistas independentes, parceiros da indústria e membros do público em geral (doravante "Denunciante"). O Daikin Europe Group recomenda a leitura integral desta política de divulgação de vulnerabilidades antes de comunicar uma vulnerabilidade e agir sempre em conformidade com a mesma.

O Daikin Europe Group aprecia o contributo de todos os intervenientes para ajudar o Daikin Europe Group a garantir a segurança dos Ativos. No entanto, o Daikin Europe Group não oferece qualquer recompensa monetária pela divulgação de vulnerabilidades.

Âmbito

Esta Política de comunicação e divulgação de vulnerabilidades aplica-se a quaisquer Ativos que, se forem comprometidos, possam prejudicar o Daikin Europe Group

ou ter impacto nas suas operações. Isto inclui, entre outros, todos os produtos fabricados e/ou fornecidos pelo Daikin Europe Group, assim como ativos digitais, aplicações de terceiros e infraestruturas de TI utilizados no ambiente empresarial do Daikin Europe Group.

Comunicação

No caso de descoberta de uma vulnerabilidade de segurança, apresente-a ao Daikin Europe Group utilizando o endereço seguinte: vulnerability@daikineurope.com

Ao comunicar uma vulnerabilidade, forneça as informações seguintes:

  • nome(s) ou identificador(es) dos modelos de Ativos afetados e/ou informações que permitam a identificação dos Ativos afetados;
  • descrição da vulnerabilidade, incluindo como a mesma pode ser identificada ou reproduzida;
  • potencial impacto da vulnerabilidade;
  • código de prova de conceito (se disponível) ou outras provas que demonstrem os passos para reproduzir a vulnerabilidade;
  • informações de contacto do Denunciante (não é necessário facultar dados pessoais4).

Confirmação de receção

Ao receber uma comunicação de vulnerabilidade, a Equipa de resposta a vulnerabilidades do Daikin Europe Group confirma a receção da comunicação ao Denunciante no prazo de 7 dias úteis.

A confirmação inclui um número de rastreio ou identificador para efeitos de referência. Se forem necessárias mais informações para investigar a vulnerabilidade comunicada, a Equipa de resposta a vulnerabilidades informa o Denunciante.

Investigação

A Equipa de resposta a vulnerabilidades do Daikin Europe Group procede a investigações na organização para assegurar que a validade, a gravidade e o âmbito de cada vulnerabilidade comunicada são devidamente avaliados.

O Daikin Europe Group reconhece a importância da transparência e da colaboração para gerir eficazmente as vulnerabilidades de segurança comunicadas. Consequentemente, ao longo do processo de investigação, a Equipa de resposta a vulnerabilidades fornece atualizações regulares ao Denunciante relativamente ao progresso, incluindo descobertas significativas ou outros desenvolvimentos.

Remediação

Se o Daikin Europe Group considerar necessário abordar e resolver uma vulnerabilidade aplicando um patch, uma alteração de configuração ou outra medida ("reparação" ou "reparações") para eliminar ou minimizar o risco, o Daikin Europe Group e/ou os respetivos fornecedores preparam as reparações. As reparações destinam-se a abordar a vulnerabilidade identificada sem comprometer a funcionalidade ou a usabilidade dos Ativos afetados.

Quando as reparações forem desenvolvidas e testadas quanto à eficácia, serão distribuídas através dos canais regulares, como atualizações sem fios, atualizações de firmware, patches de software, consoante a natureza da vulnerabilidade. Se necessário, os parceiros comerciais do Daikin Europe Group, incluindo revendedores e instaladores, serão informados das ações necessárias da sua parte, como auxiliar na distribuição de patches aos utilizadores finais ou oferecer orientação quanto à aplicação do patch.

Na sequência da remediação de vulnerabilidades comunicadas, o Daikin Europe Group realiza uma análise post-mortem para avaliar a eficácia do processo de resposta e identificar áreas de melhoria. As lições aprendidas de cada esforço de remediação de vulnerabilidades serão documentadas e incorporadas nos procedimentos de resposta futuros para melhorar o processo e lidar com as vulnerabilidades comunicadas.

O Denunciante será informado da implementação das reparações e dos passos adicionais levados a cabo para minimizar a vulnerabilidade.

Confidencialidade e divulgação das vulnerabilidades comunicadas

O Daikin Europe Group está empenhado na divulgação responsável de vulnerabilidades de segurança aos seus clientes e utilizadores finais. Quando uma vulnerabilidade for totalmente investigada, o Daikin Europe Group determinará um plano de divulgação adequado, como a comunicação relativa à disponibilidade de reparações e instruções sobre como aplicá-las. A Equipa de resposta a vulnerabilidades informará o Denunciante em conformidade. O objetivo é assegurar que as partes afetadas são informadas sobre os riscos de segurança graves e recebem orientações sobre como minimizá-los.

O Daikin Europe Group reconhece os riscos inerentes à divulgação prematura de vulnerabilidades e, por isso, realça aos Denunciantes que tal divulgação, enquanto a vulnerabilidade permanecer por resolver, representa uma ameaça de segurança significativa, particularmente para os utilizadores finais dos Ativos afetados.

A divulgação prematura pode facilitar a exploração por entidades maliciosas. Assim, o Daikin Europe Group solicita que os Denunciantes de potenciais vulnerabilidades mantenham a total confidencialidade e se abstenham de divulgar informações sobre a suspeita de vulnerabilidade a terceiros, salvo expressamente autorizado por escrito pelo Daikin Europe Group ou imposto pela legislação aplicável.

Orientações relativas a pirataria informática ética

O que um Denunciante NÃO DEVE FAZER:

  • Atividade ilegal: Evitar quaisquer ações que violem a legislação ou os regulamentos aplicáveis.
  • Acesso excessivo a dados: Limitar o acesso aos dados necessários para a investigação.
  • Modificação de dados: Abster-se de alterar quaisquer dados nos sistemas da organização.
  • Testes destrutivos: Evitar utilizar ferramentas que possam danificar ou prejudicar os sistemas da organização.
  • Ataques de negação de serviço: Não tentar sobrecarregar ou desativar os serviços.
  • Comportamento disruptivo: Abster-se de realizar ações que possam interferir com as operações da organização.
  • Vulnerabilidades triviais ou não exploráveis: Não comunicar vulnerabilidades que não possam ser exploradas ou sejam pequenos problemas de configuração.
  • Fraca configuração TLS: Evitar comunicar vulnerabilidades relacionadas com uma fraca configuração TLS, a não ser que representem um risco de segurança considerável.
  • Comunicação não autorizada: Não divulgar vulnerabilidades a outras pessoas que não as que integrem a equipa de segurança designada ou através dos canais especificados.
  • Engenharia social ou ataques físicos: Não tentar enganar ou prejudicar fisicamente os funcionários ou a infraestrutura da organização.
  • Extorsão: Não exigir qualquer pagamento pela divulgação de vulnerabilidades.

O que um Denunciante DEVE FAZER:

  • Proteção de dados: Respeitar a privacidade dos utilizadores e funcionários do Daikin Europe Group.
  • Segurança de dados: Armazenar em segurança os dados obtidos durante a investigação.
  • Eliminação atempada dos dados: Eliminar os dados imediatamente, logo que já não sejam necessários. Em circunstâncias excecionais, quando a eliminação imediata for tecnicamente impossível ou legalmente restrita (por exemplo, devido a cópias de segurança, imposições legais), os dados têm de ser eliminados no prazo de um mês após a reparação da vulnerabilidade. Este prazo de um mês representa o período de retenção máximo, sendo que devem ser envidados todos os esforços para eliminar os dados logo que possível.

Aviso

A presente Política de comunicação e divulgação de vulnerabilidades está sujeita a revisões periódicas e pode ser atualizada ou corrigida conforme necessário para refletir alterações de tecnologia, legislação aplicável ou melhores práticas.