Política de Divulgação de Vulnerabilidades — Portugal
Última atualização: 19 de maio de 2026
1. Introdução
A cepaos LLC opera uma plataforma SaaS de gestão vitivinícola e incentiva a comunicação responsável de vulnerabilidades de segurança por parte da comunidade.
2. No Âmbito
- cepaos.com
- app.cepaos.com
- API pública
- Formulários públicos
- Fluxos de autenticação
3. Fora do Âmbito
- Infraestrutura de terceiros (Stripe, Supabase, etc.)
- Engenharia social a colaboradores
- Ataques DoS/DDoS
- Spam e phishing
- Relatórios automatizados sem análise manual
4. Como Comunicar
Enviar comunicação para security@cepaos.com com descrição técnica, passos de reprodução e impacto potencial.
5. Safe Harbor
A cepaos compromete-se a não tomar acções legais contra investigadores de boa-fé que cumpram esta política. Esta protecção não cobre acesso não autorizado a dados de clientes, divulgação pública prematura ou tentativas de extorsão.
6. Prazos de Resposta
| Etapa | Prazo |
|---|---|
| Confirmação de recepção | 48 horas úteis |
| Avaliação inicial | 5 dias úteis |
| Actualizações | Cada 15 dias |
7. Programa de Recompensas
Nesta fase, a cepaos não atribui recompensas monetárias mas mantém um Hall of Fame público para investigadores que contribuam de forma significativa.
8. Restrição de Divulgação Pública
Pedimos que a divulgação pública aguarde 90 dias corridos ou a confirmação de implementação da correcção, o que ocorrer primeiro.
9. Contactos
- security@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Esta política pode ser actualizada periodicamente.