Efficlose

Política de Divulgação de Vulnerabilidades

Política de Divulgação de Vulnerabilidades da Efficlose. Saiba como reportar de forma responsável vulnerabilidades de segurança.

Última atualização: 21 de dezembro de 2025

Introdução

A Efficlose esforça-se por ajudar os nossos parceiros e clientes a minimizar o risco associado a vulnerabilidades de segurança nos nossos produtos. Estamos empenhados em manter as melhores práticas da indústria em segurança e tratamento de vulnerabilidades e pretendemos fornecer aos clientes informação atempada, orientação e opções de mitigação para abordar vulnerabilidades.

Tratamento de Relatórios de Vulnerabilidades

Valorizamos o contributo dos parceiros da indústria e dos investigadores de segurança e agradecemos todas as contribuições para as nossas iniciativas de segurança. O nosso objetivo é garantir que remédios e/ou estratégias de mitigação estejam disponíveis no momento da divulgação de vulnerabilidades específicas da Efficlose e trabalhar com fornecedores terceiros quando a remediação exigir a sua colaboração.

Se acredita ter descoberto uma vulnerabilidade, problema de privacidade, dados expostos ou outras questões de segurança em qualquer dos nossos ativos, queremos ouvi-lo. Esta política descreve os passos para reportar vulnerabilidades, o que esperamos e o que pode esperar de nós.

De acordo com esta política, toda a informação divulgada sobre novas vulnerabilidades é considerada confidencial e só será partilhada entre a Efficlose e a parte que reporta se a informação não for já do conhecimento público até estar disponível um remédio e as atividades de divulgação forem coordenadas.

Sistemas no Âmbito

Esta política aplica-se a quaisquer ativos detidos, operados ou mantidos pela Efficlose, incluindo:

  • O site e aplicações web da Efficlose
  • Aplicações móveis da Efficlose
  • APIs e serviços de backend da Efficlose
  • Qualquer outro ativo digital sob o domínio efficlose.com

Fora do Âmbito

O seguinte é considerado fora do âmbito desta política:

  • Ativos ou outro equipamento não detido pela Efficlose
  • Serviços de terceiros integrados com a Efficlose (estes devem ser reportados ao respetivo fornecedor)
  • Ataques de engenharia social contra funcionários ou contratados da Efficlose
  • Vulnerabilidades de segurança física
  • Ataques de Negação de Serviço (DoS)

Vulnerabilidades descobertas ou suspeitas em sistemas fora do âmbito devem ser reportadas ao fornecedor apropriado ou à autoridade aplicável.

Os Nossos Compromissos

Ao trabalhar connosco de acordo com esta política, pode esperar que:

  • Respondamos prontamente: Reconheceremos o seu relatório em 3 dias úteis e trabalharemos consigo para compreender e validar o seu relatório.
  • Mantenhamos informado: Esforçar-nos-emos por mantê-lo informado sobre o progresso de uma vulnerabilidade à medida que é processada.
  • Remediemos prontamente: Trabalharemos para remediar vulnerabilidades descobertas prontamente, dentro das nossas restrições operacionais.
  • Forneçamos Safe Harbor: Estendemos proteção Safe Harbor para a sua investigação de vulnerabilidades relacionada com esta política.
  • Reconheçamos os investigadores: Com a sua permissão, reconheceremos o seu contributo nos nossos avisos de segurança.

As Nossas Expectativas

Ao participar no nosso programa de divulgação de vulnerabilidades de boa fé, pedimos que:

  • Siga as regras: Cumpra as regras, incluindo seguir esta política e outros acordos relevantes. Se houver qualquer inconsistência entre esta política e quaisquer outros termos aplicáveis, os termos desta política prevalecerão.
  • Reporte prontamente: Reporte prontamente qualquer vulnerabilidade que tenha descoberto.
  • Respeite a privacidade: Evite violar a privacidade de outros, perturbar os nossos sistemas, destruir dados e/ou prejudicar a experiência do utilizador.
  • Use os canais oficiais: Use apenas os Canais Oficiais para discutir informação sobre vulnerabilidades connosco.
  • Dê tempo razoável: Forneça-nos um período de tempo razoável (mínimo 90 dias a partir do relatório inicial) para resolver o problema antes de o divulgar publicamente.
  • Mantenha-se no âmbito: Execute testes apenas em sistemas no âmbito e respeite sistemas e atividades que estão fora do âmbito.
  • Limite o acesso a dados: Se uma vulnerabilidade proporcionar acesso não intencional a dados, limite a quantidade de dados a que acede ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito. Além disso, cesse os testes e submeta um relatório imediatamente se encontrar quaisquer dados de utilizador durante os testes, como Informação Pessoalmente Identificável (PII), Informação de Saúde Pessoal (PHI), dados de cartão de crédito ou informação proprietária.
  • Use contas de teste: Deve interagir apenas com contas de teste que possui ou com permissão explícita do titular da conta.
  • Mantenha a confidencialidade: Não divulgue detalhes da vulnerabilidade até a Efficlose confirmar a correção.
  • Não armazene dados: Não armazene quaisquer dados descobertos durante o processo de teste.
  • Sem extorsão: Não se envolva em extorsão.

Canais Oficiais

Por favor reporte questões de segurança via [email protected], fornecendo toda a informação relevante. Quanto mais detalhes fornecer, mais rapidamente podemos triar e abordar o problema.

Ao submeter um relatório, inclua por favor:

  • Descrição da vulnerabilidade
  • Passos para reproduzir o problema
  • Impacto potencial da vulnerabilidade
  • Qualquer código de prova de conceito ou capturas de ecrã
  • A sua informação de contacto para questões de seguimento

Safe Harbor

Ao conduzir investigação de vulnerabilidades ao abrigo desta política, consideramos esta investigação como:

  • Autorizada relativamente às leis anti-hacking: Não iniciaremos nem apoiaremos ação legal contra si por violações acidentais e de boa fé desta política.
  • Autorizada relativamente às leis anti-contornamento: Não intentaremos uma reclamação contra si por contornamento de controlos tecnológicos.
  • Isenta de restrições dos Termos de Serviço: Renunciamos às restrições nos nossos Termos de Serviço (TOS) e/ou Política de Utilização Aceitável (AUP) que interfeririam com a realização de investigação de segurança numa base limitada.
  • Lícita e de boa fé: A sua investigação é considerada lícita, útil para a segurança geral da Internet e conduzida de boa fé.

Espera-se que cumpra todas as leis aplicáveis na sua investigação, testes e reporte. Se uma terceira parte iniciar ação legal contra si e cumpriu esta política, tomaremos medidas para dar a conhecer que as suas ações foram realizadas em conformidade com esta política.

Se tiver preocupações ou não tiver a certeza se a sua investigação de segurança é consistente com esta política em qualquer momento, submeta por favor um relatório para [email protected].

Note que o Safe Harbor aplica-se apenas a reclamações legais sob o controlo da Efficlose e que a política não vincula terceiros independentes.

Cronograma de Resposta

Pretendemos seguir estes cronogramas de resposta:

AçãoCronograma
Reconhecimento inicialEm 3 dias úteis
Triagem e avaliação inicialEm 7 dias úteis
Atualização de estadoA cada 14 dias durante a investigação
Objetivo de resoluçãoEm 90 dias para a maioria das vulnerabilidades

Reconhecimento

Acreditamos em reconhecer os valiosos contributos dos investigadores de segurança. Com a sua permissão, iremos:

  • Reconhecê-lo nos nossos avisos de segurança
  • Incluí-lo no nosso Hall da Fama de Investigadores de Segurança (se aplicável)
  • Fornecer uma carta de agradecimento mediante pedido

Alterações a Esta Política

Podemos rever esta política de tempos a tempos. A versão mais atual da política regerá o nosso tratamento dos relatórios de vulnerabilidades e estará sempre disponível em divulgação-de-vulnerabilidades.

Contacte-nos

Se tiver alguma questão sobre esta Política de Divulgação de Vulnerabilidades, contacte-nos em:

Agradecemos a sua ajuda em manter a Efficlose e os nossos utilizadores em segurança.