🔐 Declaração de uma falha de segurança
Na Enki Home, a segurança dos nossos utilizadores e dos seus dados é uma prioridade absoluta. Se identificou uma vulnerabilidade ou uma falha de segurança na nossa aplicação móvel ou nos nossos sistemas, convidamo-lo a informar-nos da seguinte forma:
🛡️ Política de divulgação de vulnerabilidades
1. Âmbito da nossa política
Esta política aplica-se a qualquer vulnerabilidade que possa descobrir nos nossos sistemas ou produtos.
🔍 Ativos abrangidos:
A nossa gama de produtos IoT ligados (tomadas, lâmpadas, câmaras, etc.)
As nossas aplicações móveis oficiais (iOS e Android)
A nossa plataforma na nuvem e as APIs associadas publicamente acessíveis
🚫 Vulnerabilidades excluídas do âmbito:
Para concentrar os nossos esforços nas ameaças mais críticas, não aceitamos relatórios sobre:
Ataques de negação de serviço (DoS/DDoS)
Resultados de verificações automatizadas sem prova de exploração concreta
2. Regras de envolvimento e "Safe Harbor" (Cláusula de não agressão)
Comprometemo-nos a não intentar ações judiciais contra qualquer pessoa que comunique uma vulnerabilidade de boa-fé, desde que as seguintes regras sejam respeitadas:
Age com o objetivo de melhorar a segurança, sem intenção de prejudicar a nossa empresa ou os nossos utilizadores
Não consulta, modifica ou elimina quaisquer dados que não lhe pertençam
Concede-nos um prazo razoável para corrigir a falha antes de qualquer divulgação pública (princípio da divulgação coordenada)
Não realiza nenhuma ação que possa degradar o desempenho dos nossos serviços (ex.: ataques DoS)
📧 Como comunicar uma falha
O nosso compromisso com o tratamento de vulnerabilidades
A Enki compromete-se a tratar as vulnerabilidades que lhe são comunicadas de forma transparente e diligente. Definimos quatro níveis de criticidade com base no sistema de pontuação CVSS (Common Vulnerability Scoring System) ou numa avaliação interna equivalente.
| Nível de Criticidade | Descrição (Exemplos) | Confirmação de receção e primeira avaliação | Objetivo de correção |
| Crítico | Permite o controlo remoto do produto, uma fuga massiva de dados pessoais. | 2 dias úteis | 15 dias |
| Elevado | Permite contornar mecanismos de segurança importantes, aceder a dados sensíveis. | 3 dias úteis | 30 dias |
| Médio | Permite uma degradação do serviço, uma fuga limitada de dados não sensíveis. | 5 dias úteis | 90 dias |
| Baixo | Falhas de segurança com um impacto menor ou difíceis de explorar. | 10 dias úteis | Próxima atualização principal |
Por favor, envie um e-mail para o seguinte endereço:
📬 security@enki-home.com
Na sua mensagem, inclua o máximo de informações possível para nos permitir compreender e reproduzir o problema. Os seus dados de contacto serão tratados em conformidade com o RGPD. Agradecemos que utilize o modelo abaixo para estruturar a sua comunicação.
Hello, I would like to report a security vulnerability concerning one of your products. Here are the necessary details to identify and reproduce the issue: 1. Information about the affected component - Object reference: [Insert product or component reference, e.g., "Model XYZ-2023", "Firmware v1.2.3"] - Type of box/Object: [Specify the model of the box or the environment concerned, e.g., "Connect Box", "VLINK Bulb"] - Software/firmware version: [Indicate the exact version, e.g., "Firmware 2.0.1", "Mobile app v2.5.1"] 2. Description of the vulnerability - Type of flaw: [For example: "SQL Injection", "Buffer Overflow", "Weak Authentication"] - Detailed description: [Precisely describe the vulnerability, its mechanism, and the conditions required to exploit it] - Proof of concept (PoC): [If possible, provide steps to reproduce the flaw or an example of code] 3. Potential impact - Possible consequences: [For example: "Unauthorized access to user data", "Remote code execution", "Denial of service"] 4. Contact information (optional but recommended) - Name or Pseudonym: [For our thanks] - Contact: [Your email] 5. Additional information - Date of discovery: [DD/MM/YYYY] - Other relevant details: [For example: "The flaw has been tested on several similar devices"]
📬 Resposta e seguimento
Após a receção da sua comunicação, procedemos da seguinte forma:
Confirmação de receção do seu e-mail dependendo da criticidade (ver tabela).
Avaliação da falha de acordo com os critérios acima.
Contacto para solicitar esclarecimentos, se necessário.
Correção priorizada de acordo com o nível de criticidade.
Notificação assim que a falha for resolvida (na medida do possível).
🙏 Obrigado pela sua vigilância
A sua contribuição para a segurança da nossa plataforma é valiosa. Agradecemos a todas as pessoas que nos ajudam a manter um elevado nível de segurança para todos os nossos utilizadores.