Política de comunicação e divulgação de vulnerabilidades do Daikin Europe Group

Última modificação em: 03/02/25

Introdução

Daikin Europe N.V. ("DENV") é uma subsidiária totalmente detida pela empresa japonesa Daikin Industries Ltd. O Grupo Daikin produz, vende, distribui e executa o marketing de equipamentos e soluções de ar condicionado, aquecimento, ventilação e refrigeração, juntamente com as respetivas subsidiárias.

A Daikin Europe N.V. e as respetivas subsidiárias, (doravante "Daikin Europe Group") está empenhada em proteger a segurança e a integridade dos seus produtos, sistemas, serviços e aplicações (doravante "Ativos") para assegurar, entre outros, a proteção dos dados, incluindo dados pessoais, e a privacidade dos utilizadores finais, assim como evitar impactos adversos na funcionalidade da rede ou a utilização incorreta dos recursos de rede.

Objetivo desta política

O objetivo desta política é:

1. incentivar a divulgação responsável de potenciais vulnerabilidades descobertas nos Ativos do Daikin Europe Group, e
2. estabelecer um processo para comunicar problemas de segurança ao Daikin Europe Group e abordar os eventuais problemas de forma atempada, eficaz e em conformidade com a legislação aplicável².

Público-alvo

As pessoas elegíveis para comunicar vulnerabilidades incluem, entre outras, investigadores de segurança, utilizadores finais, especialistas independentes, parceiros da indústria e membros do público em geral (doravante "Denunciante"). O Daikin Europe Group recomenda a leitura integral desta política de divulgação de vulnerabilidades antes de comunicar uma vulnerabilidade e agir sempre em conformidade com a mesma.

O Daikin Europe Group aprecia o contributo de todos os intervenientes para ajudar o Daikin Europe Group a garantir a segurança dos Ativos. No entanto, o Daikin Europe Group não oferece recompensas monetárias por divulgações de vulnerabilidades.

Âmbito

A Política de comunicação e divulgação de vulnerabilidades aplica-se a quaisquer Ativos que, se comprometidos, podem prejudicar o Daikin Europe Group ou ter um impacto nas suas operações. Isto inclui, entre outros, todos os produtos fabricados e/ou fornecidos pelo Daikin Europe Group, assim como ativos digitais, aplicações de terceiros e infraestruturas de TI utilizados no ambiente empresarial do Daikin Europe Group.

Relatórios

No caso de deteção de uma vulnerabilidade na segurança, envie a mesma para o Daikin Europe Group através do seguinte endereço: vulnerability@daikineurope.com

Ao comunicar uma vulnerabilidade, forneça as informações seguintes:

• nome(s) ou identificador(es) dos modelos de Ativos afetados e/ou informações que permitam a identificação dos Ativos afetados;
• descrição da vulnerabilidade, incluindo como a mesma pode ser identificada ou reproduzida;
• potencial impacto da vulnerabilidade;
• código de prova de conceito (se disponível) ou outras provas que demonstrem os passos para reproduzir a vulnerabilidade;
• as informações de contacto do Denunciante (o fornecimento de dados pessoais não é necessário).

Confirmação de receção

Ao receber um relatório de vulnerabilidade, a Equipa de resposta a vulnerabilidades do Daikin Europe Group irá confirmar a receção do relatório ao Denunciante no espaço de 7 dias úteis.

A confirmação inclui um número de rastreio ou identificador para efeitos de referência. Se forem necessárias mais informações para investigar a vulnerabilidade comunicada, a Equipa de resposta a vulnerabilidades informa o Denunciante.

Investigação

A Equipa de resposta a vulnerabilidades do Daikin Europe Group procede a investigações na organização para assegurar que a validade, a gravidade e o âmbito de cada vulnerabilidade comunicada são devidamente avaliados.

O Daikin Europe Group reconhece a importância da transparência e da colaboração para gerir eficazmente as vulnerabilidades de segurança comunicadas. Consequentemente, ao longo do processo de investigação, a Equipa de resposta a vulnerabilidades fornece atualizações regulares ao Denunciante relativamente ao progresso, incluindo descobertas significativas ou outros desenvolvimentos.

Remediação

Se o Daikin Europe Group considerar necessário abordar e resolver uma vulnerabilidade aplicando uma correção, alteração da configuração ou outra medida de remedição (uma "solução" ou "soluções") para eliminar ou atenuar o risco, o Daikin Europe Group e/ou os respetivos fornecedores terceiros irão preparar as soluções. As reparações destinam-se a abordar a vulnerabilidade identificada sem comprometer a funcionalidade ou a usabilidade dos Ativos afetados.

Quando as reparações forem desenvolvidas e testadas quanto à eficácia, serão distribuídas através dos canais regulares, como atualizações sem fios, atualizações de firmware, patches de software, consoante a natureza da vulnerabilidade. Se necessário, os parceiros comerciais do Daikin Europe Group, incluindo revendedores e instaladores, serão informados das ações necessárias da sua parte, como auxiliar na distribuição de patches aos utilizadores finais ou oferecer orientação quanto à aplicação do patch.

Na sequência da remediação de vulnerabilidades comunicadas, o Daikin Europe Group realiza uma análise post-mortem para avaliar a eficácia do processo de resposta e identificar áreas de melhoria. As lições aprendidas de cada esforço de remediação de vulnerabilidades serão documentadas e incorporadas nos procedimentos de resposta futuros para melhorar o processo e lidar com as vulnerabilidades comunicadas.

O Denunciante será informado da implementação das reparações e dos passos adicionais levados a cabo para minimizar a vulnerabilidade.

Confidencialidade e divulgação das vulnerabilidades comunicadas

O Daikin Europe Group está empenhado na divulgação responsável de vulnerabilidades de segurança aos seus clientes e utilizadores finais. Quando uma vulnerabilidade for totalmente investigada, o Daikin Europe Group determinará um plano de divulgação adequado, como a comunicação relativa à disponibilidade de reparações e instruções sobre como aplicá-las. A Equipa de resposta a vulnerabilidades informará o Denunciante em conformidade. O objetivo é assegurar que as partes afetadas são informadas sobre os riscos de segurança graves e recebem orientações sobre como minimizá-los.

O Daikin Europe Group reconhece os riscos inerentes à divulgação prematura de vulnerabilidades e, por isso, realça aos Denunciantes que tal divulgação, enquanto a vulnerabilidade permanecer por resolver, representa uma ameaça de segurança significativa, particularmente para os utilizadores finais dos Ativos afetados.

A divulgação prematura pode facilitar a exploração por entidades maliciosas. Assim, o Daikin Europe Group solicita que os Denunciantes de potenciais vulnerabilidades mantenham a total confidencialidade e se abstenham de divulgar informações sobre a suspeita de vulnerabilidade a terceiros, salvo expressamente autorizado por escrito pelo Daikin Europe Group ou imposto pela legislação aplicável.

Orientações relativas a pirataria informática ética

O que um Denunciante NÃO DEVE FAZER:

• Atividade ilegal: Evitar quaisquer ações que violem a legislação ou os regulamentos aplicáveis.
• Acesso excessivo a dados: Limitar o acesso aos dados necessários para a investigação.
• Modificação de dados: Abster-se de alterar quaisquer dados nos sistemas da organização.
• Testes destrutivos: Evitar utilizar ferramentas que possam danificar ou prejudicar os sistemas da organização.
• Ataques de negação de serviço: Não tentar sobrecarregar ou desativar os serviços.
• Comportamento disruptivo: Abster-se de realizar ações que possam interferir com as operações da organização.
• Vulnerabilidades triviais ou não exploráveis: Não comunicar vulnerabilidades que não possam ser exploradas ou sejam pequenos problemas de configuração.
• Fraca configuração TLS: Evitar comunicar vulnerabilidades relacionadas com uma fraca configuração TLS, a não ser que representem um risco de segurança considerável.
• Comunicação não autorizada: Não divulgar vulnerabilidades a outras pessoas que não as que integrem a equipa de segurança designada ou através dos canais especificados.
• Engenharia social ou ataques físicos: Não tentar enganar ou prejudicar fisicamente os funcionários ou a infraestrutura da organização.
• Extorsão: Não exigir qualquer pagamento pela divulgação de vulnerabilidades.

O que um Denunciante DEVE FAZER:

• Proteção de dados: Respeitar a privacidade dos utilizadores e funcionários do Daikin Europe Group.
• Segurança de dados: Armazenar em segurança os dados obtidos durante a investigação.
• Eliminação atempada dos dados: Eliminar os dados imediatamente, logo que já não sejam necessários. Em circunstâncias excecionais, quando a eliminação imediata for tecnicamente impossível ou legalmente restrita (por exemplo, devido a cópias de segurança, imposições legais), os dados têm de ser eliminados no prazo de um mês após a reparação da vulnerabilidade. Este prazo de um mês representa o período de retenção máximo, sendo que devem ser envidados todos os esforços para eliminar os dados logo que possível.

Aviso

^{A presente Política de comunicação e divulgação de vulnerabilidades está sujeita a revisões periódicas e pode ser atualizada ou corrigida conforme necessário para refletir alterações de tecnologia, legislação aplicável ou melhores práticas.}