Política de Disclosure Responsável

Como a CME Tec recebe, trata e responde reportes de vulnerabilidade.

A CME Tec Ltda mantém esta política pública para orientar pesquisadores de segurança, clientes, parceiros e terceiros sobre como reportar vulnerabilidades, vazamentos de dados ou comportamentos anômalos identificados em sistemas que operamos, hospedamos, mantemos ou desenvolvemos — incluindo a plataforma CupomZen e demais serviços sob os domínios da CME Tec.

A política aplica-se, simetricamente, à conduta da CME Tec ao identificar vulnerabilidades em sistemas operados por terceiros: nos comprometemos publicamente com o mesmo padrão que esperamos receber.

1. Princípios

1. Boa fé presumida. Pesquisadores que reportarem em conformidade com esta política são tratados como aliados. Não acionamos judicial ou administrativamente quem agir dentro do escopo descrito.
2. Confidencialidade durante a janela de correção. Detalhes técnicos exploráveis permanecem confidenciais até que a correção esteja em produção ou até o término do prazo de coordenação (item 4).
3. Reciprocidade técnica não-remunerada. Quando aplicável e a critério do reportante, oferecemos apoio técnico para validação da correção, sem cobrança e sem condicionamento a qualquer contratação comercial.
4. Separação rigorosa entre disclosure e proposta comercial. Reportes de vulnerabilidade não são canal de prospecção. Conversa comercial, quando ocorre, parte de iniciativa expressa do reportado, em momento posterior e desvinculado.
5. Conformidade com a legislação brasileira. Esta política observa a Lei nº 13.709/2018 (LGPD), a Lei nº 14.155/2021 (crimes cibernéticos), e as orientações do CTIR Gov para órgãos públicos federais.

2. Escopo

Em escopo

• Vulnerabilidades em sistemas sob os domínios cmetec.com.br e cupomzen.com.br e seus respectivos subdomínios.
• Vazamentos de credenciais, chaves de API ou dados pessoais associados à CME Tec em fontes públicas (Certificate Transparency logs, paste sites, repositórios expostos, fóruns).
• Comportamento anômalo de infraestrutura (servidores indevidamente expostos, configurações de email permissivas, headers ausentes, certificados emitidos sem nosso conhecimento).
• Phishing, spoofing ou abuso de marca utilizando o nome ou identidade visual da CME Tec.
• Vulnerabilidades específicas da infraestrutura de email do domínio taochi.com.br (DKIM, SPF, DMARC, MTA-STS, TLS-RPT), uma vez que o servidor de email é operado pela CME Tec.

Fora de escopo (salvo acordo prévio escrito)

• Testes ativos que envolvam negação de serviço, força bruta, engenharia social contra colaboradores ou interferência em dados de produção de clientes.
• Vulnerabilidades já reportadas publicamente sem correlação direta com sistemas da CME Tec.
• Aplicações e site institucional do domínio taochi.com.br (hospedados em infraestrutura separada). Para esses ativos, consulte a política do próprio domínio.

3. Conduta esperada do pesquisador

• Limitar testes ao mínimo necessário para demonstrar a vulnerabilidade.
• Não exfiltrar, copiar, alterar ou destruir dados de produção ou de terceiros. Se houver exposição involuntária a dados sensíveis, parar imediatamente e reportar.
• Não condicionar a divulgação ao pagamento de qualquer valor. A CME Tec não opera bug bounty monetário no momento; reconhecimento público na página de agradecimentos é a contraprestação ofertada, quando o reportante aceitar.
• Coordenar a divulgação pública dos detalhes técnicos conforme o cronograma do item 4.

4. Cronograma de coordenação

• D+0 (recebimento): confirmação automática em até 24 horas.
• D+5 dias úteis: triagem concluída, classificação de severidade comunicada, plano preliminar de correção compartilhado.
• D+30 a D+90: janela padrão para correção, conforme severidade e complexidade. Prorrogações são negociadas explicitamente.
• D+90 (limite): se não houver correção e nem prorrogação acordada, o reportante está autorizado a divulgar publicamente. A CME Tec manifesta-se na mesma data com nota técnica.

Para vulnerabilidades sob exploração ativa, o cronograma é comprimido a critério da equipe técnica e do reportante, podendo a divulgação ocorrer imediatamente após mitigação.

5. Compromissos da CME Tec

• Reconhecer publicamente, com permissão do reportante, sua contribuição em https://cmetec.com.br/security/agradecimentos.
• Não tomar nem promover ação legal contra pesquisadores que sigam esta política, e defender publicamente sua conduta se questionada por terceiros.
• Documentar internamente cada reporte, com lições aprendidas incorporadas ao processo de desenvolvimento e operação.
• Reportar autoridades competentes (ANPD, CTIR Gov, autoridade judicial) quando o achado configurar incidente regulatório, sem expor a identidade do reportante salvo autorização expressa.

6. Como reportar

Canal primário, criptografado quando possível:

• Email: security@cmetec.com.br
• Formulário web: https://cmetec.com.br/reportar-vulnerabilidade
• PGP (recomendado): chave publicada em https://cmetec.com.br/pgp-key.txt · Fingerprint 96A6 64A4 B2D2 1023 5773 6607 D26C F9A4 C236 5580

Conteúdo recomendado no reporte:

• Identificação do sistema afetado (URL, endpoint, domínio).
• Descrição técnica do achado, com passos para reprodução.
• Severidade estimada e impacto potencial.
• Indicação de preferência quanto a reconhecimento público (nome, pseudônimo ou anonimato).

7. Vigência e revisão

Esta política entra em vigor em 25 de maio de 2026 e será revisada anualmente, ou antes em caso de mudança regulatória relevante. A versão corrente é sempre a publicada em https://cmetec.com.br/security/politica-de-disclosure.

← Voltar para /security