Política de notificación y divulgación de vulnerabilidades del Grupo Daikin Europe

Última modificación: 3 de febrero de 2025

Introducción

Daikin Europe N.V. ("DENV") es una filial propiedad al 100% de la empresa japonesa Daikin Industries Ltd. (Daikin). El Grupo Daikin produce, vende, distribuye y ejecuta la comercialización de equipos y soluciones de aire acondicionado, calefacción, ventilación y refrigeración, junto con sus filiales.

Daikin Europe N.V. junto con sus filiales (en lo sucesivo, el “Grupo Daikin Europe”) se compromete a garantizar la seguridad e integridad de sus productos, sistemas, servicios y aplicaciones (en lo sucesivo, los “Activos”) para salvaguardar, entre otras cosas, la protección de los datos, incluidos los datos personales, y la privacidad de los usuarios finales, así como evitar cualquier impacto adverso en la funcionalidad de la red o el uso indebido de los recursos de la red.

Objeto de esta política

La finalidad de esta política es:

1. fomentar la divulgación responsable de cualquier vulnerabilidad potencial descubierta en los Activos del Grupo Daikin Europe, y
2. establecer un proceso para informar de los problemas de seguridad al Grupo Daikin Europe y abordar dichos problemas con prontitud, eficacia y de conformidad con la legislación aplicable².

Destinatarios

Las personas que pueden notificar vulnerabilidades son, entre otras, investigadores de seguridad, usuarios finales, expertos independientes, socios industriales y miembros del público en general (en lo sucesivo, el “Informador”). El Grupo Daikin Europe recomienda leer esta política de divulgación de vulnerabilidades en su totalidad antes de informar de una vulnerabilidad y actuar siempre de acuerdo con ella.

El Grupo Daikin Europe agradece la contribución de todas las partes interesadas para ayudar al Grupo Daikin Europe a garantizar la seguridad de los activos. Sin embargo, el Grupo Daikin Europe no ofrece recompensas monetarias por la divulgación de vulnerabilidades.

Ámbito

Esta Política de Notificación y Divulgación de Vulnerabilidades se aplica a cualquier Activo que, si se ve comprometido, podría potencialmente dañar al Grupo Daikin Europe o afectar a sus operaciones. Esto incluye, entre otros, todos los productos fabricados y/o suministrados por el Grupo Daikin Europe, así como los activos digitales, las aplicaciones de terceros y la infraestructura de TI utilizada en el entorno empresarial del Grupo Daikin Europe.

Generación de informes

En caso de descubrir una vulnerabilidad de seguridad, por favor envíala al Grupo Daikin Europe utilizando la siguiente dirección: vulnerability@daikineurope.com

Al notificar una vulnerabilidad, facilita la siguiente información:

• Nombre(s) de modelo o identificador(es) de los Activos afectados y/o información que permita la identificación de los Activos afectados;
• Descripción de la vulnerabilidad, incluido cómo puede identificarse o reproducirse;
• Posible impacto de la vulnerabilidad;
• Código de prueba de concepto (si está disponible) u otras pruebas que demuestren los pasos para reproducir la vulnerabilidad;
• la información de contacto del Informador (no es necesario facilitar datos personales).

Acuse de recibo

Tras recibir una notificación de vulnerabilidad, el Equipo de Respuesta a Vulnerabilidades del Grupo Daikin Europe acusará recibo del informe al Informador en un plazo de 7 días laborables.

El acuse de recibo incluirá un número de seguimiento o identificador a efectos de referencia. Si se necesita más información para investigar la vulnerabilidad notificada, el Equipo de Respuesta a Vulnerabilidades se lo comunicará al Informador.

Investigación

El Equipo de Respuesta a Vulnerabilidades del Grupo Daikin Europe investigará dentro de la organización para garantizar que la validez, la gravedad y el alcance de cada vulnerabilidad notificada se evalúan adecuadamente.

El Grupo Daikin Europe reconoce la importancia de la transparencia y la colaboración en la gestión eficaz de las vulnerabilidades de seguridad notificadas. En consecuencia, a lo largo del proceso de investigación, el Equipo de Respuesta a Vulnerabilidades proporcionará actualizaciones periódicas al Informador, sobre el estado de su progreso, incluyendo cualquier hallazgo significativo o nuevos desarrollos.

Correcciones

Si el Grupo Daikin Europe considera necesario abordar y resolver una vulnerabilidad mediante la aplicación de un parche, un cambio de configuración u otra medida correctiva (una "corrección" o "correcciones") para eliminar o mitigar el riesgo, Daikin Europe Group y/o sus proveedores externos prepararán las correcciones. Las correcciones se diseñarán para abordar la vulnerabilidad identificada sin comprometer la funcionalidad o usabilidad de los Activos afectados.

Una vez desarrolladas las correcciones y comprobada su eficacia, se distribuirán a través de los canales habituales, como actualizaciones OTA, actualizaciones de firmware o parches de software, en función de la naturaleza de la vulnerabilidad. En caso necesario, se informará a los socios comerciales del Grupo Daikin Europe, incluidos revendedores e instaladores, de cualquier acción que se requiera por su parte, como ayudar en la distribución de parches a los usuarios finales o proporcionar orientación sobre la aplicación de parches.

Tras la corrección de las vulnerabilidades notificadas, el Grupo Daikin Europe llevará a cabo análisis a posteriori para evaluar la eficacia del proceso de respuesta e identificar áreas de mejora. Las lecciones aprendidas de cada reparación de vulnerabilidades se documentarán e incorporarán a futuros procedimientos de respuesta para mejorar el proceso de gestión de las vulnerabilidades notificadas.

Se informará de la implantación de las correcciones y de cualquier medida adicional adoptada para mitigar la vulnerabilidad.

Confidencialidad y divulgación de las vulnerabilidades notificadas

El Grupo Daikin Europe está comprometido con la divulgación responsable de las vulnerabilidades de seguridad a sus clientes y usuarios finales. Una vez que se haya investigado a fondo una vulnerabilidad, el Grupo Daikin Europe determinará un plan de divulgación adecuado, como la comunicación relativa a la disponibilidad de correcciones e instrucciones sobre cómo aplicarlas. El Equipo de Respuesta a Vulnerabilidades informará de ello al Informador. El objetivo es garantizar que las partes afectadas estén informadas de los riesgos de seguridad graves y reciban orientación sobre cómo mitigarlos.

El Grupo Daikin Europe reconoce los riesgos inherentes a la divulgación prematura de vulnerabilidades y, por lo tanto, subraya a los Informadores que cualquier divulgación de este tipo, mientras la vulnerabilidad siga sin resolverse, representa una amenaza significativa para la seguridad, en particular para los usuarios finales de los Activos afectados.

La divulgación prematura podría facilitar la explotación por parte de entidades malintencionadas. Por lo tanto, el Grupo Daikin Europe solicita que los informadores de posibles vulnerabilidades mantengan una estricta confidencialidad y se abstengan de revelar cualquier información relativa a la presunta vulnerabilidad a terceros, salvo autorización expresa por escrito del Grupo Daikin Europe o mandato de la legislación aplicable.

Directrices sobre piratería informática ética

Lo que NO DEBE hacer un Informador:

• Actividad ilegal:: Evitar cualquier acción que infrinja las leyes o reglamentos aplicables.
• Acceso excesivo a los datos: Limitar el acceso a los datos a lo necesario para la investigación.
• Modificación de datos: Abstenerse de alterar cualquier dato de los sistemas de la organización.
• Pruebas destructivas: Evitar utilizar herramientas que puedan dañar o interrumpir los sistemas de la organización.
• Ataques por denegación de servicio: No intentar sobrecargar o desactivar los servicios.
• Comportamiento perturbador: Abstenerse de realizar acciones que puedan interferir en el funcionamiento de la organización.
• Vulnerabilidades triviales o no explotables: No notificar vulnerabilidades que no puedan explotarse o que sean problemas menores de configuración.
• Configuración débil de TLS: Evitar informar sobre vulnerabilidades relacionadas con configuraciones TLS débiles a menos que supongan un riesgo de seguridad significativo.
• Comunicación no autorizada: No revelar las vulnerabilidades a nadie que no sea el equipo de seguridad designado o a través de los canales especificados.
• Ataques físicos o de ingeniería social: No intentar engañar o dañar físicamente al personal o la infraestructura de la organización.
• Extorsión: No exigir pagos por revelar vulnerabilidades.

Lo que DEBE hacer un Informador:

• Protección de datos: Respetar la privacidad de los usuarios y del personal del Grupo Daikin Europe.
• Seguridad de datos: Almacenar de forma segura los datos obtenidos durante la investigación.
• Eliminación oportuna de datos: Borrar los datos inmediatamente, en cuanto ya no los necesite. En circunstancias excepcionales, cuando la eliminación inmediata sea técnicamente imposible o esté legalmente restringida (por ejemplo, debido a copias de seguridad, retenciones legales), los datos deberán eliminarse en el plazo de un mes a partir de la detección de la vulnerabilidad. Este plazo de un mes representa el periodo máximo absoluto de conservación, y deberá hacerse todo lo posible por eliminar los datos lo antes posible.

Aviso

^{Esta Política de notificación y divulgación de vulnerabilidades está sujeta a revisiones periódicas y puede actualizarse o modificarse según sea necesario para reflejar los cambios en la tecnología, la legislación aplicable o las mejores prácticas.}