Politica de Gestao de Incidentes de Seguranca

Uma violacao de seguranca e todo incidente que resulte na destruicao, perda, alteracao acidental ou ilicita, divulgacao nao autorizada ou acesso nao autorizado a dados pessoais tratados pela cepaos.

Isso inclui, entre outros casos:

• Acesso nao autorizado a dados pessoais armazenados em nossos sistemas.
• Exfiltracao ou copia de dados pessoais por terceiros nao autorizados.
• Perda ou destruicao acidental de dados sem possibilidade de recuperacao.
• Divulgacao acidental de dados a destinatarios nao autorizados.
• Comprometimento de credenciais de acesso que tenham permitido acesso a dados pessoais.

A cepaos compromete-se a gerir qualquer violacao de seguranca com transparencia, diligencia e conformidade com a legislacao aplicavel de protecao de dados pessoais.

Diante de uma violacao confirmada que afete dados pessoais:

• Notificaremos os usuarios afetados dentro de 5 dias uteis apos determinar o alcance da violacao e conter o incidente.
• Notificaremos a autoridade competente de protecao de dados dentro de 72 horas apos tomar conhecimento da violacao, conforme a legislacao aplicavel.
• Adotaremos medidas tecnicas e organizacionais imediatas para conter o incidente e prevenir sua recorrencia.

Quando a cepaos notificar usuarios sobre uma violacao de seguranca que os afete, a comunicacao incluira:

• Natureza do incidente: descricao clara do que ocorreu, em termos compreensiveis.
• Dados afetados: categorias de dados pessoais que podem ter sido acessados, alterados ou divulgados.
• Periodo do incidente: o periodo durante o qual os dados estiveram expostos, na medida do determinavel.
• Medidas adotadas: acoes tomadas pela cepaos para conter o incidente e proteger os dados.
• Recomendacoes para o usuario: passos concretos que pode tomar para reduzir sua exposicao (ex.: alteracao de senha).
• Contato: canal direto para consultas e acompanhamento.

As notificacoes aos usuarios afetados serao realizadas pelos seguintes meios:

• E-mail registrado: enviado ao endereco registrado na conta cepaos do usuario.
• Aviso no dashboard: notificacao visivel ao acessar a plataforma, disponivel para todos os membros das organizacoes afetadas.

Em casos de alta gravidade com impacto generalizado, a cepaos podera adicionalmente publicar um aviso em seu site.

Se como usuario detectar ou suspeitar de atividade incomum em sua conta cepaos, ou acreditar ter identificado uma vulnerabilidade de seguranca na plataforma, pedimos que nos informe imediatamente:

• E-mail de seguranca: security@cepaos.com

Comprometemo-nos a responder dentro de 24 horas uteis apos o recebimento do seu relato.

Se reportar uma vulnerabilidade de seguranca de boa-fe, a cepaos compromete-se a nao tomar acoes legais contra voce por tal relato, desde que nao tenha acessado, copiado ou divulgado dados de terceiros.

A cepaos mantem um registro interno de todos os incidentes de seguranca declarados.

Na data de atualizacao desta politica (27 de marco de 2026), nao foram registradas violacoes de seguranca que tenham afetado dados pessoais de usuarios.

Este historico sera atualizado diante de qualquer incidente futuro que deva ser comunicado aos usuarios afetados.

Esta politica enquadra-se na legislacao aplicavel de protecao de dados pessoais, incluindo, entre outras:

• LGPD (Lei Geral de Protecao de Dados, Lei 13.709/2018) — Brasil.
• RGPD (Regulamento Geral de Protecao de Dados, UE 2016/679) — onde aplicavel.
• Legislacao nacional de protecao de dados aplicavel na jurisdicao do usuario.

Para mais informacoes sobre como a cepaos trata seus dados pessoais, consulte nossa Politica de Privacidade.

Para consultas sobre esta politica ou para reportar um incidente:

• Seguranca: security@cepaos.com
• Privacidade e dados pessoais: privacy@cepaos.com
• cepaos LLC — Wyoming, Estados Unidos