KriptaCorp Corporação Segurança
KriptaCorp · DSEG

Segurança

Política de segurança, divulgação responsável e compromissos de protecção do ecossistema Kripta. A segurança é soberana — não delegamos a proteção do ecossistema a terceiros.

Contacto de Segurança
Email
[email protected]
🔑
Chave PGP
Disponível mediante pedido
Resposta inicial
48 horas úteis
🛡
Responsável
DSEG · CISO KriptaCorp
I

Princípios de Segurança

A segurança do ecossistema Kripta não é uma funcionalidade — é uma propriedade arquitectural. O Túmulo existe para garantir que a protecção do ecossistema não depende de nenhum fornecedor externo. A DSEG (Diretoria de Segurança Corporativa) é responsável pela segurança de toda a infraestrutura da KriptaCorp.

Seguimos três princípios que não são negociáveis e que governam todas as decisões de segurança dentro do Sistema Kripta:

01
Soberania de segurança. Nenhuma telemetria de segurança sai do perímetro do operador sem consentimento explícito. O Túmulo processa tudo localmente.
02
Transparência de arquitectura. A estrutura de segurança do ecossistema é declarada publicamente. O que protegemos, como protegemos e quem é responsável — tudo documentado.
03
Registo imutável. Todos os incidentes de segurança são registados de forma permanente — append-only, conforme o Sistema Kripta. Nenhum incidente é apagado ou minimizado.
II

Divulgação Responsável

A KriptaCorp encoraja a divulgação responsável de vulnerabilidades. Se descobriste uma vulnerabilidade no ecossistema Kripta, queremos saber — antes que alguém com intenções diferentes descubra a mesma coisa.

Tratamos todos os investigadores de segurança que actuam de boa fé com respeito e reconhecimento. A segurança do ecossistema é um esforço colectivo.

O nosso programa de divulgação responsável é coordenado pela DSEG. Não temos actualmente um programa de recompensas (bug bounty) formalizado — mas cada vulnerabilidade válida recebe reconhecimento público no nosso Hall of Security (a publicar) e resposta directa do CISO.

III

Escopo do Programa

O programa de divulgação responsável cobre os seguintes componentes do ecossistema Kripta. Vulnerabilidades fora de escopo não são elegíveis para reconhecimento mas podem ser reportadas para análise.

Em escopo
kriptacorp.com e subdomínios
Base-K — auth, API, storage, billing
Kripta-Identidade — KriptaAuth
Kripta-Platform
APIs públicas documentadas
SDKs oficiais do ecossistema
Fora de escopo
Ataques de engenharia social
Ataques de negação de serviço (DoS)
Spam ou phishing
Vulnerabilidades em terceiros
Instalações self-hosted do operador
Testes sem autorização prévia
IV

Processo de Reporte

O processo de divulgação responsável segue quatro etapas declaradas. Todos os prazos são contados em dias úteis a partir da recepção do reporte.

01
Envio
Envia o reporte para [email protected] com descrição detalhada, passos de reprodução e impacto estimado.
02
Confirmação
A DSEG confirma a recepção em 48 horas e atribui um identificador de rastreamento único ao reporte.
03
Análise
A DSEG analisa a vulnerabilidade em até 10 dias úteis e comunica o resultado: válida, inválida ou fora de escopo.
04
Resolução
Vulnerabilidades válidas são corrigidas no prazo acordado. O investigador é notificado e pode publicar o reporte após resolução.

Pedimos que não divulgues publicamente a vulnerabilidade antes de recebermos a confirmação de resolução ou antes de acordarmos um prazo de divulgação coordenada. O prazo máximo de divulgação coordenada é 90 dias a partir da confirmação.

V

Os nossos Compromissos

A KriptaCorp compromete-se com os seguintes compromissos em relação a todos os investigadores de segurança que actuam de boa fé:

Não iniciaremos acções legais contra investigadores que actuem de acordo com esta política.
Responderemos a todos os reportes válidos em 48 horas úteis com confirmação de recepção.
Manteremos o investigador informado sobre o progresso da resolução.
Daremos reconhecimento público (com autorização do investigador) no Hall of Security.
Não partilharemos informações pessoais do investigador sem consentimento explícito.
Registaremos todos os incidentes de forma permanente — o registo é imutável e auditável.
VI

Contacto de Segurança

Para reportes de vulnerabilidades, questões de segurança ou qualquer assunto relacionado com a protecção do ecossistema Kripta:

DSEG — Diretoria de Segurança Corporativa
Email principal [email protected]
Assunto recomendado [SECURITY] Descrição breve
Chave PGP Disponível mediante pedido por email
Resposta inicial 48 horas úteis
Responsável CISO · KriptaCorp
Divulgação máxima 90 dias após confirmação

Para questões gerais não relacionadas com segurança, utiliza os canais institucionais disponíveis na página A Corporação.