Responsible Disclosure Policy

Kutonesa Consulting, Lda.

Versão: 1.0

Data de Entrada em Vigor: 1 de Janeiro de 2026

Aprovado por: Administração

1. Objetivo

A Kutonesa Consulting, Lda. ("Kutonesa") compromete-se a manter elevados padrões de segurança da informação e incentiva a divulgação responsável de vulnerabilidades identificadas nos seus sistemas, aplicações e infraestruturas.

Esta Política estabelece o processo para reporte responsável de vulnerabilidades de segurança.

2. Âmbito

Esta política aplica-se aos seguintes ativos:

  • Website institucional da Kutonesa
  • Subdomínios associados
  • Aplicações desenvolvidas e mantidas pela Kutonesa (quando sob controlo operacional direto)
  • Infraestruturas digitais sob gestão da Kutonesa

Ficam excluídos:

  • Sistemas de clientes (exceto se expressamente autorizado por contrato)
  • Sistemas de terceiros não operados pela Kutonesa
  • Engenharia social contra colaboradores
  • Ataques físicos

3. Como Reportar uma Vulnerabilidade

Se identificar uma vulnerabilidade de segurança, deverá:

  1. Enviar um email para: security@kutonesa.com
  2. Incluir obrigatoriamente:
    • Descrição detalhada da vulnerabilidade
    • Passos para reprodução
    • Evidências (logs, screenshots, PoC)
    • Data e hora da descoberta
    • Contacto para resposta

4. Regras de Conduta para Pesquisadores

A Kutonesa solicita que:

  • Actue de boa-fé;
  • Não explore a vulnerabilidade além do necessário para demonstrar a sua existência;
  • Não aceda, modifique ou elimine dados;
  • Não interrompa serviços;
  • Não divulgue publicamente antes de resolução acordada;
  • Respeite as leis aplicáveis.

5. Safe Harbor

Desde que o pesquisador cumpra esta política, actue de boa-fé e não cause danos intencionais, a Kutonesa compromete-se a:

  • Não iniciar ações legais relacionadas com o reporte;
  • Não denunciar o pesquisador às autoridades;
  • Reconhecer a colaboração de forma adequada (quando aplicável).

Este compromisso não se aplica a atividades ilegais ou abusivas.

6. Processo de Tratamento do Reporte

Após a recepção do reporte:

  1. Confirmação de recepção em até 5 dias úteis.
  2. Avaliação preliminar.
  3. Classificação da severidade (baseada em padrões como CVSS).
  4. Definição de plano de mitigação.
  5. Comunicação com o pesquisador sobre o estado da resolução.

O prazo de resolução dependerá da complexidade da vulnerabilidade.

7. Divulgação Pública

A divulgação pública poderá ocorrer:

  • Após correção da vulnerabilidade;
  • Mediante acordo entre as partes;
  • Em prazos razoáveis (ex: 90 dias), salvo circunstâncias excepcionais.

8. Recompensas

Actualmente, a Kutonesa não mantém um programa formal de bug bounty. Contudo, poderá reconhecer contribuições relevantes a seu exclusivo critério.

9. Limitação de Responsabilidade

Esta política não concede autorização para:

  • Testes de negação de serviço (DoS/DDoS);
  • Engenharia social;
  • Acesso a dados de clientes;
  • Testes automatizados agressivos;
  • Exploração de vulnerabilidades para benefício próprio.

10. Alterações à Política

A Kutonesa reserva-se o direito de actualizar esta política a qualquer momento.