Skip to main content

Política de comunicação e divulgação de vulnerabilidades do Daikin Europe Group

Última modificação em: 03/02/25

Introdução

Daikin Europe N.V. ("DENV") é uma subsidiária totalmente detida pela empresa japonesa Daikin Industries Ltd. O Grupo Daikin produz, vende, distribui e executa o marketing de equipamentos e soluções de ar condicionado, aquecimento, ventilação e refrigeração, juntamente com as respetivas subsidiárias.

A Daikin Europe N.V. e as respetivas subsidiárias, (doravante "Daikin Europe Group") está empenhada em proteger a segurança e a integridade dos seus produtos, sistemas, serviços e aplicações (doravante "Ativos") para assegurar, entre outros, a proteção dos dados, incluindo dados pessoais, e a privacidade dos utilizadores finais, assim como evitar impactos adversos na funcionalidade da rede ou a utilização incorreta dos recursos de rede.

Objetivo desta política

O objetivo desta política é:

  1. incentivar a divulgação responsável de potenciais vulnerabilidades descobertas nos Ativos do Daikin Europe Group, e
  2. estabelecer um processo para comunicar problemas de segurança ao Daikin Europe Group e abordar os eventuais problemas de forma atempada, eficaz e em conformidade com a legislação aplicável².

Público-alvo

As pessoas elegíveis para comunicar vulnerabilidades incluem, entre outras, investigadores de segurança, utilizadores finais, especialistas independentes, parceiros da indústria e membros do público em geral (doravante "Denunciante"). O Daikin Europe Group recomenda a leitura integral desta política de divulgação de vulnerabilidades antes de comunicar uma vulnerabilidade e agir sempre em conformidade com a mesma.

O Daikin Europe Group aprecia o contributo de todos os intervenientes para ajudar o Daikin Europe Group a garantir a segurança dos Ativos. No entanto, o Daikin Europe Group não oferece recompensas monetárias por divulgações de vulnerabilidades.

Âmbito

A Política de comunicação e divulgação de vulnerabilidades aplica-se a quaisquer Ativos que, se comprometidos, podem prejudicar o Daikin Europe Group ou ter um impacto nas suas operações. Isto inclui, entre outros, todos os produtos fabricados e/ou fornecidos pelo Daikin Europe Group, assim como ativos digitais, aplicações de terceiros e infraestruturas de TI utilizados no ambiente empresarial do Daikin Europe Group.

Relatórios

No caso de deteção de uma vulnerabilidade na segurança, envie a mesma para o Daikin Europe Group através do seguinte endereço: vulnerability@daikineurope.com

Ao comunicar uma vulnerabilidade, forneça as informações seguintes:

  • nome(s) ou identificador(es) dos modelos de Ativos afetados e/ou informações que permitam a identificação dos Ativos afetados;
  • descrição da vulnerabilidade, incluindo como a mesma pode ser identificada ou reproduzida;
  • potencial impacto da vulnerabilidade;
  • código de prova de conceito (se disponível) ou outras provas que demonstrem os passos para reproduzir a vulnerabilidade;
  • as informações de contacto do Denunciante (o fornecimento de dados pessoais não é necessário).

Confirmação de receção

Ao receber um relatório de vulnerabilidade, a Equipa de resposta a vulnerabilidades do Daikin Europe Group irá confirmar a receção do relatório ao Denunciante no espaço de 7 dias úteis.

A confirmação inclui um número de rastreio ou identificador para efeitos de referência. Se forem necessárias mais informações para investigar a vulnerabilidade comunicada, a Equipa de resposta a vulnerabilidades informa o Denunciante.

Investigação

A Equipa de resposta a vulnerabilidades do Daikin Europe Group procede a investigações na organização para assegurar que a validade, a gravidade e o âmbito de cada vulnerabilidade comunicada são devidamente avaliados.

O Daikin Europe Group reconhece a importância da transparência e da colaboração para gerir eficazmente as vulnerabilidades de segurança comunicadas. Consequentemente, ao longo do processo de investigação, a Equipa de resposta a vulnerabilidades fornece atualizações regulares ao Denunciante relativamente ao progresso, incluindo descobertas significativas ou outros desenvolvimentos.

Remediação

Se o Daikin Europe Group considerar necessário abordar e resolver uma vulnerabilidade aplicando uma correção, alteração da configuração ou outra medida de remedição (uma "solução" ou "soluções") para eliminar ou atenuar o risco, o Daikin Europe Group e/ou os respetivos fornecedores terceiros irão preparar as soluções. As reparações destinam-se a abordar a vulnerabilidade identificada sem comprometer a funcionalidade ou a usabilidade dos Ativos afetados.

Quando as reparações forem desenvolvidas e testadas quanto à eficácia, serão distribuídas através dos canais regulares, como atualizações sem fios, atualizações de firmware, patches de software, consoante a natureza da vulnerabilidade. Se necessário, os parceiros comerciais do Daikin Europe Group, incluindo revendedores e instaladores, serão informados das ações necessárias da sua parte, como auxiliar na distribuição de patches aos utilizadores finais ou oferecer orientação quanto à aplicação do patch.

Na sequência da remediação de vulnerabilidades comunicadas, o Daikin Europe Group realiza uma análise post-mortem para avaliar a eficácia do processo de resposta e identificar áreas de melhoria. As lições aprendidas de cada esforço de remediação de vulnerabilidades serão documentadas e incorporadas nos procedimentos de resposta futuros para melhorar o processo e lidar com as vulnerabilidades comunicadas.

O Denunciante será informado da implementação das reparações e dos passos adicionais levados a cabo para minimizar a vulnerabilidade.

Confidencialidade e divulgação das vulnerabilidades comunicadas

O Daikin Europe Group está empenhado na divulgação responsável de vulnerabilidades de segurança aos seus clientes e utilizadores finais. Quando uma vulnerabilidade for totalmente investigada, o Daikin Europe Group determinará um plano de divulgação adequado, como a comunicação relativa à disponibilidade de reparações e instruções sobre como aplicá-las. A Equipa de resposta a vulnerabilidades informará o Denunciante em conformidade. O objetivo é assegurar que as partes afetadas são informadas sobre os riscos de segurança graves e recebem orientações sobre como minimizá-los.

O Daikin Europe Group reconhece os riscos inerentes à divulgação prematura de vulnerabilidades e, por isso, realça aos Denunciantes que tal divulgação, enquanto a vulnerabilidade permanecer por resolver, representa uma ameaça de segurança significativa, particularmente para os utilizadores finais dos Ativos afetados.

A divulgação prematura pode facilitar a exploração por entidades maliciosas. Assim, o Daikin Europe Group solicita que os Denunciantes de potenciais vulnerabilidades mantenham a total confidencialidade e se abstenham de divulgar informações sobre a suspeita de vulnerabilidade a terceiros, salvo expressamente autorizado por escrito pelo Daikin Europe Group ou imposto pela legislação aplicável.

Orientações relativas a pirataria informática ética

O que um Denunciante NÃO DEVE FAZER:

  • Atividade ilegal: Evitar quaisquer ações que violem a legislação ou os regulamentos aplicáveis.
  • Acesso excessivo a dados: Limitar o acesso aos dados necessários para a investigação.
  • Modificação de dados: Abster-se de alterar quaisquer dados nos sistemas da organização.
  • Testes destrutivos: Evitar utilizar ferramentas que possam danificar ou prejudicar os sistemas da organização.
  • Ataques de negação de serviço: Não tentar sobrecarregar ou desativar os serviços.
  • Comportamento disruptivo: Abster-se de realizar ações que possam interferir com as operações da organização.
  • Vulnerabilidades triviais ou não exploráveis: Não comunicar vulnerabilidades que não possam ser exploradas ou sejam pequenos problemas de configuração.
  • Fraca configuração TLS: Evitar comunicar vulnerabilidades relacionadas com uma fraca configuração TLS, a não ser que representem um risco de segurança considerável.
  • Comunicação não autorizada: Não divulgar vulnerabilidades a outras pessoas que não as que integrem a equipa de segurança designada ou através dos canais especificados.
  • Engenharia social ou ataques físicos: Não tentar enganar ou prejudicar fisicamente os funcionários ou a infraestrutura da organização.
  • Extorsão: Não exigir qualquer pagamento pela divulgação de vulnerabilidades.

O que um Denunciante DEVE FAZER:

  • Proteção de dados: Respeitar a privacidade dos utilizadores e funcionários do Daikin Europe Group.
  • Segurança de dados: Armazenar em segurança os dados obtidos durante a investigação.
  • Eliminação atempada dos dados: Eliminar os dados imediatamente, logo que já não sejam necessários. Em circunstâncias excecionais, quando a eliminação imediata for tecnicamente impossível ou legalmente restrita (por exemplo, devido a cópias de segurança, imposições legais), os dados têm de ser eliminados no prazo de um mês após a reparação da vulnerabilidade. Este prazo de um mês representa o período de retenção máximo, sendo que devem ser envidados todos os esforços para eliminar os dados logo que possível.

Aviso

A presente Política de comunicação e divulgação de vulnerabilidades está sujeita a revisões periódicas e pode ser atualizada ou corrigida conforme necessário para refletir alterações de tecnologia, legislação aplicável ou melhores práticas.

Encontre mais informações

Centro de Experiência Virtual

Precisa de ajuda?

Encontre mais informações

Centro de Experiência Virtual

Precisa de ajuda?

Encontre mais informações

Centro de Experiência Virtual

Precisa de ajuda?