Saltar para o conteúdo
Segurança

Política de segurança

Divulgação responsável, tratamento de vulnerabilidades e o nosso compromisso com a segurança dos seus dados.

Última atualização: maio de 2026

01 Política de divulgação responsável

A InfoPeak valoriza a comunidade de investigação em segurança e acolhe a divulgação responsável de vulnerabilidades. Se descobrir um problema de segurança num serviço InfoPeak, encorajamo-lo a reportá-lo.

Reportar uma vulnerabilidade

security@infopeak.io

Para divulgações sensíveis, solicite a nossa chave pública PGP.

02 Âmbito

Os seguintes serviços e ativos estão no âmbito da divulgação responsável:

  • infopeak.io - aplicação principal e site
  • auth.infopeak.io - serviço de autenticação
  • InfoPeak Pass - extensão do navegador
  • InfoPeak VPN - aplicações móveis e de secretária

03 Diretrizes de divulgação

Pedimos aos investigadores de segurança que sigam estas diretrizes:

  • Forneça detalhes suficientes para reproduzir a vulnerabilidade.
  • Não aceda, modifique nem elimine dados de outros utilizadores.
  • Não realize ataques de negação de serviço nem engenharia social.
  • Conceda-nos um prazo razoável (90 dias) para resolver o problema antes da divulgação pública.

04 Prazos de resposta

72 horas

Confirmamos a receção do seu relatório.

14 dias

Fornecemos uma avaliação inicial e o prazo previsto de resolução.

90 dias

Pretendemos resolver todas as vulnerabilidades confirmadas neste prazo.

05 Safe Harbor

A InfoPeak não tomará medidas legais contra investigadores de segurança que descubram e reportem vulnerabilidades de boa fé, em conformidade com esta política. Consideramos autorizada a investigação em segurança realizada ao abrigo desta política e não iniciaremos ações legais por contornar medidas tecnológicas quando a investigação for realizada em conformidade com esta política.

06 Resposta a incidentes e notificação de violações

Em caso de incidente de segurança ou violação de dados, a InfoPeak segue estes procedimentos em conformidade com a Diretiva NIS2 (UE) 2022/2555 e os artigos 33.º e 34.º do RGPD:

  • Em 24 horas: Alerta precoce ao CSIRT nacional competente (Computer Security Incident Response Team).
  • Em 72 horas: Notificação completa do incidente à autoridade de controlo (RGPD) e ao CSIRT (NIS2), incluindo avaliação do âmbito e medidas de mitigação.
  • Sem demora injustificada: Os utilizadores afetados serão notificados por e-mail com informação clara sobre a natureza da violação, dados afetados, medidas tomadas e ações recomendadas.
  • Em 1 mês: É submetido um relatório final às autoridades competentes com análise de causa raiz e medidas preventivas.

07 Arquitetura de segurança

A InfoPeak emprega as seguintes medidas de segurança no âmbito do nosso compromisso com o Cyber Resilience Act (CRA):

  • Cifragem em repouso: AES-256-CBC para todos os dados de utilizador armazenados.
  • Cifragem em trânsito: TLS 1.3 para todas as ligações.
  • Arquitetura zero-knowledge: As chaves de cifragem pessoais são derivadas no cliente. A InfoPeak não pode aceder ao seu conteúdo cifrado.
  • Alojamento apenas na UE: Toda a infraestrutura está localizada na União Europeia.
  • Atualizações de segurança regulares: Dependências e infraestrutura são monitorizadas e atualizadas continuamente.