Skip to main content

Politika e Raportimit dhe Zbulimit të Vulnerabiliteteve e Daikin Europe Group

Ndryshuar së fundi më: 3 shkurt 2025

Hyrje

Daikin Europe N.V. (“DENV”) është një filial me pronësi të plotë të kompanisë japoneze Daikin Industries Ltd. Daikin Group prodhon, shet, shpërndan dhe ekzekuton tregtimin e pajisjeve të ajrit të kondicionuar, ngrohjes, ventilimit dhe ftohjes dhe biznesin e zgjidhjeve.

Daikin Europe N.V. së bashku me filialet e veta (këtu e tutje referuar si "Daikin Europe Group") është përkushtuar të garantojë sigurinë dhe integritetin e produkteve, sistemeve, shërbimeve dhe aplikacioneve të saj (këtu e tutje “Asetet”) për të garantuar, ndër të tjera, mbrojtjen e të dhënave, duke përfshirë të dhënat personale, dhe privatësinë e përdoruesve fundorë, si dhe ndikimin e keqpërdorimit të rrjetit në parandalimin e çdo funksioni të pafavorshëm ose burimeve të rrjetit.

Qëllimi i kësaj politike

Qëllimi i kësaj politike është që:

  1. të inkurajojë zbulimin e përgjegjshëm të çdo vulnerabiliteti të mundshëm të zbuluar në Asetet e Daikin Europe Group, dhe
  2. të krijojë një proces për raportimin e çështjeve të sigurisë te Daikin Europe Group dhe adresimin e çështjeve të tilla menjëherë, në mënyrë efektive dhe në përputhje me legjislacionin në fuqi².

Audienca e synuar

Individët e kualifikuar për të raportuar vulnerabilitetet përfshijnë, por nuk kufizohen me, studiues të sigurisë, përdoruesit fundorë, ekspertë të pavarur, partnerë të industrisë dhe pjesëtarë të publikut të gjerë (këtu e tutje, “Raportuesi”). Daikin Europe Group rekomandon leximin e plotë të kësaj politike të zbulimit të vulnerabiliteteve përpara se të raportoni një vulnerabilitet dhe të veproni gjithmonë në përputhje me të.

Daikin Europe Group vlerëson kontributet e të gjithë aktorëve për ta ndihmuar Daikin Europe Group për të garantuar sigurinë e Aseteve. Megjithatë, Daikin Europe Group nuk ofron shpërblime monetare për zbulimet e vulnerabiliteteve.

Fusha e veprimit

Kjo politikë e raportimit dhe zbulimit të vulnerabiliteteve zbatohet për çdo Aset që, nëse komprometohet, mund të dëmtojë potencialisht Daikin Europe Group ose të ndikojë në operacionet e tij. Kjo përfshin, por nuk kufizohet me, të gjitha produktet e prodhuara dhe/ose të furnizuara nga Daikin Europe Group, si dhe asetet dixhitale, aplikacionet e palëve të treta dhe infrastrukturën e IT-së, të përdorura brenda mjedisit të biznesit të Daikin Europe Group.

Raportimi

Në rastin e zbulimit të një vulnerabiliteti sigurie, ju lutemi paraqiteni atë te Daikin Europe Group duke përdorur adresën e mëposhtme: vulnerability@daikineurope.com

Kur raportoni një vulnerabilitet, ju lutemi jepni informacionin e mëposhtëm:

  • Emrat e modeleve ose identifikuesit e Aseteve të prekura dhe/ose informacionin që lejon identifikimin e Aseteve të prekura;
  • Përshkrimin e vulnerabilitetit, duke përfshirë mënyrën se si mund të identifikohet ose riprodhohet;
  • Ndikimin e mundshëm të vulnerabilitetit;
  • Kodin e provës së konceptit (nëse disponohet) ose prova të tjera që demonstrojnë hapat për të riprodhuar vulnerabilitetin;
  • Informacionet e kontaktit të Raportuesit (dhënia e të dhënave personale nuk kërkohet).

Vërtetimi i pranimit

Me marrjen e një raporti vulnerabiliteti, Ekipi i Reagimit ndaj Vulnerabilitetit i Daikin Europe Group do t’i konfirmojë Raportuesit marrjen e raportit brenda 7 ditëve pune.

Konfirmimi do të përfshijë një numër gjurmimi ose identifikues për qëllime referimi. Nëse kërkohet informacion i mëtejshëm për të hetuar vulnerabilitetin e raportuar, Ekipi i Reagimit ndaj Vulnerabilitetit do t’ia komunikojë këtë Raportuesit.

Hetimi

Ekipi i Reagimit ndaj Vulnerabilitetit i Daikin Europe Group do të hetojë brenda organizatës për t’u siguruar që vlefshmëria, niveli dhe shtrirja e çdo vulnerabiliteti të raportuar janë vlerësuar siç duhet.

Daikin Europe Group njeh rëndësinë e transparencës dhe bashkëpunimit në menaxhimin efektiv të vulnerabiliteteve të raportuara të sigurisë. Rrjedhimisht, gjatë të gjithë procesit të hetimit, Ekipi i Reagimit ndaj Vulnerabilitetit do të sigurojë përditësime të rregullta për Raportuesin, mbi statusin e progresit të tij, duke përfshirë çdo konstatim të rëndësishëm ose zhvillim të mëtejshëm.

Korrigjimi

Nëse Daikin Europe Group e sheh të nevojshme të adresojë dhe zgjidhë një vulnerabilitet duke aplikuar një korrigjim softueri, ndryshim konfigurimi ose masa të tjera korrigjuese (një “rregullim” ose “rregullime”) për të eliminuar ose zbutur rrezikun, Daikin Europe Group dhe/ose furnizuesit e tij të palëve të treta do të përgatisin rregullimet. Rregullimet do të dizajnohen për të adresuar vulnerabilitetin e identifikuar pa kompromentuar funksionalitetin ose përdorshmërinë e Aseteve të prekura.

Pasi korrigjimet të zhvillohen dhe testohen për efektshmëri, ato do të shpërndahen përmes kanaleve të rregullta, siç janë përditësimet Over-the-Air, përditësimet e firmuerit, korrigjimet e softuerit, në varësi të natyrës së vulnerabilitetit. Nëse është e nevojshme, partnerët e biznesit të Daikin Europe Group, duke përfshirë rishitësit dhe instaluesit, do të informohen për çdo veprim të kërkuar nga ana e tyre, si p.sh. asistimin me shpërndarjen e korrigjimeve të softuerit te përdoruesit fundorë ose dhënien e udhëzimeve për aplikimin e korrigjimit të softuerit.

Pas korrigjimit të vulnerabiliteteve të raportuara, Daikin Europe Group do të kryejë analiza post-mortem për të vlerësuar efektivitetin e procesit të reagimit dhe për të identifikuar fushat për t’u përmirësuar. Mësimet e nxjerra nga çdo përpjekje për korrigjimin e vulnerabilitetit do të dokumentohen dhe do të përfshihen në procedurat e ardhshme të reagimit për të përmirësuar procesin e trajtimit të vulnerabiliteteve të raportuara.

Të raportuarit do të informohen për vendosjen e rregullimeve dhe për çdo hap shtesë të marrë për të zbutur vulnerabilitetin.

Konfidencialiteti dhe zbulimi i vulnerabiliteteve të raportuara

Daikin Europe Group është i përkushtuar ndaj zbulimit të përgjegjshëm të vulnerabiliteteve të sigurisë te klientët dhe përdoruesit e vet fundorë. Pasi një vulnerabilitet të jetë hetuar plotësisht, Daikin Europe Group do të përcaktojë një plan të përshtatshëm zbulimi, siç është komunikimi në lidhje me disponueshmërinë e rregullimeve dhe udhëzimet se si t’i zbatoni ato. Ekipi i Reagimit ndaj Vulnerabiliteteve do ta informojë Raportuesin përkatësisht. Qëllimi është të sigurohet që palët e prekura të jenë të informuara për rreziqet serioze të sigurisë dhe të jepen udhëzime se si t’i zbusin ato.

Daikin Europe Group pranon rreziqet e natyrshme që lidhen me zbulimin e parakohshëm të vulnerabiliteteve dhe, për rrjedhojë, u thekson Raportuesve se çdo zbulim i tillë, ndërkohë që vulnerabiliteti mbetet i pazgjidhur, paraqet një kërcënim të konsiderueshëm sigurie, veçanërisht për përdoruesit fundorë të Aseteve të prekura.

Zbulimi i parakohshëm mund të mundësojë shfrytëzimin nga subjektet keqdashëse. Prandaj, Daikin Europe Group kërkon që Raportuesit e vulnerabiliteteve të mundshme të ruajnë konfidencialitet të rreptë dhe të përmbahen nga zbulimi i çdo informacioni në lidhje me vulnerabilitetin e dyshuar te palë të treta, përveç rasteve kur autorizohet shprehimisht me shkrim nga Daikin Europe Group ose mandatohet nga ligji në fuqi.

Udhëzimet etike për hakerimin

Çfarë NUK DUHET të bëjë një Raportues:

  • Veprimtaria e paligjshme: Shmangni çdo veprim që shkel ligjet ose rregulloret në fuqi.
  • Aksesi i tepërt i të dhënave: Kufizojeni aksesin e të dhënave në atë që është e nevojshme për kërkimin.
  • Modifikimi i të dhënave: Përmbahuni nga ndryshimi i të dhënave brenda sistemeve të organizatës.
  • Testimi shkatërrues: Shmangni përdorimin e mjeteve që mund të dëmtojnë ose prishin sistemet e organizatës.
  • Sulmet e refuzimit të shërbimit (DOS): Mos u përpiqni të mbingarkoni ose çaktivizoni shërbimet.
  • Sjellja përçarëse: Përmbahuni nga veprimet që mund të ndërhyjnë në operacionet e organizatës.
  • Vulnerabilitetet e parëndësishme ose të pashfrytëzueshme: Mos raportoni vulnerabilitete që nuk mund të shfrytëzohen ose janë probleme të vogla konfigurimi.
  • Konfigurim i dobët TLS: Shmangni raportimin e vulnerabiliteteve që lidhen me konfigurimet e dobëta TLS, përveç nëse ato përbëjnë një rrezik të konsiderueshëm sigurie.
  • Komunikimi i paautorizuar: Mos ia zbuloni vulnerabilitetet askujt tjetër përveç ekipit të caktuar të sigurisë ose përmes kanaleve të specifikuara.
  • Inxhinierimi social ose sulmet fizike: Mos u përpiqni të mashtroni ose dëmtoni fizikisht stafin ose infrastrukturën e organizatës.
  • Zhvatja: Mos kërkoni pagesë për zbulimin e vulnerabiliteteve.

Çfarë DUHET të bëjë një Raportues:

  • Mbrojtja e të dhënave: Respektoni privatësinë e përdoruesve dhe stafit të Daikin Europe Group.
  • Siguria e të dhënave: Ruani në mënyrë të sigurt çdo të dhënë të gjetur gjatë kërkimeve.
  • Fshirja në kohë e të dhënave: Fshijini të dhënat menjëherë, sapo të mos ju nevojiten më. Në rrethana të jashtëzakonshme, kur fshirja e menjëhershme është teknikisht e pamundur ose e kufizuar ligjërisht (p.sh. për shkak të mbajtjes së kopjeve rezervë, mbajtjeve ligjore), të dhënat duhet të fshihen brenda një muaji nga rregulllimi i vulnerabilitetit. Ky afat kohor prej një muaji përbën periudhën maksimale absolute të ruajtjes dhe duhet të bëhet çdo përpjekje për të fshirë të dhënat sa më shpejt të jetë e mundur.

Njoftim

Kjo Politikë e Raportimit dhe Zbulimit të Vulnerabiliteteve i nënshtrohet rishikimit periodik dhe mund të përditësohet ose ndryshohet sipas nevojës për të pasqyruar ndryshimet në teknologji, ligjet e zbatueshme ose praktikat më të mira.