Política de Divulgação Coordenada de Vulnerabilidades

A Política de Divulgação Coordenada de Vulnerabilidades (CVD), designada como P39, estabelece um processo estruturado e formal para a receção, tratamento e divulgação pública de vulnerabilidades nas redes e sistemas de informação da organização. Esta política foi desenvolvida especificamente para colmatar lacunas identificadas em políticas anteriores relativamente à notificação e coordenação de vulnerabilidades detetadas externamente, assegurando conformidade proativa com o Artigo 21(2)(e) da Diretiva NIS2, bem como alinhamento com normas internacionais, incluindo a ISO/IEC 29147 e o Regulamento de Execução (UE) 2024/2690 da Comissão. O objetivo desta política é duplo: facilitar a deteção e resolução atempadas de vulnerabilidades de segurança, aproveitando tanto avaliações internas como contributos externos, e criar vias claras e seguras para partes externas, como investigadores de segurança, parceiros e clientes, notificarem vulnerabilidades. Em concreto, a política exige o estabelecimento de um canal público de notificação de vulnerabilidades, tipicamente um e-mail de contacto de segurança ou um formulário web cifrado publicado no website da organização, que suporte uma comunicação segura e eficaz com os notificadores. Esta política de CVD detalha os deveres e a colaboração exigidos entre todas as partes envolvidas: a Equipa de Resposta a Vulnerabilidades (VRT), responsável pela triagem e coordenação da remediação e divulgação; as equipas de TI e de desenvolvimento, que validam e tratam os aspetos técnicos das vulnerabilidades; profissionais de comunicação, que preparam avisos para partes interessadas e para o público; e os próprios notificadores externos, que devem cumprir orientações de divulgação responsável. Importa salientar que a política consagra um princípio de 'safe harbor': investigadores de boa-fé que atuem de acordo com as regras da política são protegidos de ações legais, promovendo uma cultura cooperativa de gestão de vulnerabilidades. A política é explícita quanto a níveis de serviço e controlos: as tomadas de conhecimento das notificações são garantidas no prazo de 2 dias úteis, a severidade é triada prontamente e vulnerabilidades críticas desencadeiam mitigação acelerada e escalonamento para a gestão. São indicados prazos de divulgação (tipicamente no prazo de 90 dias ou mediante acordo mútuo) e os avisos públicos são coordenados para maximizar a segurança, atribuindo crédito aos notificadores que consintam ser identificados. A confidencialidade das vulnerabilidades submetidas e das identidades dos notificadores é enfatizada até que seja acordada a divulgação pública coordenada. A governação do programa de CVD é rigorosa. A política é revista anualmente ou após incidentes significativos, com requisitos de melhoria contínua com base em revisões pós-morte. As métricas são acompanhadas, os registos são mantidos e são exigidas auditorias regulares para assegurar transparência e eficácia no tratamento de vulnerabilidades de acordo com a política e a regulamentação aplicável. Esta política não é adaptada a PME (não existe notação de PME como 'S') e pressupõe funções dedicadas de segurança, desenvolvimento e comunicação para a operação adequada do CVD, cumprindo requisitos rigorosos para a ISO/IEC 27001:2022 e diretivas setoriais como a NIS2.