Política de Resposta a Incidentes — Portugal

1. Objecto

Esta política descreve a forma como a cepaos LLC (Wyoming, EUA) detecta, classifica, contém e comunica incidentes de segurança que afectem a Plataforma cepaos, em complemento à DPA, à Política de Segurança e ao SLA.

2. Severidades

• S1 — Crítico: indisponibilidade total da Plataforma, perda de dados ou violação de dados pessoais com risco elevado.
• S2 — Elevado: degradação severa, indisponibilidade parcial de funcionalidades críticas.
• S3 — Médio: degradação isolada, sem impacto sistémico.
• S4 — Baixo: incidente cosmético ou de impacto negligenciável.

3. Notificação ao Cliente

Em caso de violação de dados pessoais que afecte dados do Cliente, a cepaos notifica sem demora injustificada e, sempre que possível, num prazo máximo de 72 horas após ter conhecimento (art. 33 RGPD), fornecendo: natureza da violação, categorias e número aproximado de titulares afectados, consequências prováveis e medidas tomadas. Contacto: security@cepaos.com.

Quando o risco seja elevado para os direitos e liberdades dos titulares, a cepaos auxiliará o Cliente a notificar os titulares afectados nos termos do art. 34 RGPD.

4. Notificação à CNPD

Quando o Cliente seja Responsável pelo Tratamento dos dados afectados, é o Cliente quem comunica a violação à Comissão Nacional de Protecção de Dados (CNPD). A cepaos fornecerá os elementos necessários no menor prazo possível.

5. Status Page

A cepaos publica o estado dos seus serviços em tempo real e a cronologia de incidentes em status.cepaos.com.

6. Post-Mortem

Para incidentes S1 e S2, a cepaos disponibiliza um relatório post-mortem em 10 dias úteis após a resolução, com análise de causa-raiz e medidas correctivas.

7. Contactos

• Segurança: security@cepaos.com
• Suporte: soporte@cepaos.com