Vulnerability Disclosure Policy

Divulgação Coordenada de Vulnerabilidades

Vulnerability Disclosure Policy (VDP) para o Password Depot

Em vigor desde: 10 de março de 2026

Comunicar uma vulnerabilidade Security Advisories
Safe Harbor Âmbito Confirmação em 48h Coordinated Disclosure
Objetivo e âmbito

Objetivo desta política

A AceBIT GmbH acolhe comunicações sobre vulnerabilidades de segurança no Password Depot e nos serviços web relacionados com o produto, mantidos pela AceBIT. Esta política descreve como os investigadores de segurança podem comunicar potenciais vulnerabilidades, que regras se aplicam à investigação de segurança e que compromissos a AceBIT assume no âmbito de uma divulgação coordenada.

As comunicações podem ser efetuadas em alemão ou inglês.

Âmbito

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Serviços web relacionados com o produto em password-depot.de

Incluindo componentes de terceiros, na medida em que façam parte dos produtos acima indicados.

Fora do âmbito

  • Ambientes de produção de clientes, instalações personalizadas e outros sistemas de terceiros
  • Serviços ou infraestruturas operados por terceiros que não fazem parte do Password Depot
  • Social engineering, phishing, ataques físicos, spam, brute force, credential stuffing, varrimentos em massa ou testes de denial-of-service
Safe Harbor

Safe Harbor

Se agir de boa-fé, cumprir esta política, limitar os seus testes ao âmbito acima descrito e não aceder, modificar, eliminar, exfiltrar dados nem comprometer serviços, abster-nos-emos — na medida do legalmente permitido — de intentar ações cíveis decorrentes dessa investigação de segurança.

Na medida em que esteja ao nosso alcance e seja legalmente permitido, também não apresentaremos queixa criminal em relação a essa investigação de segurança.

Esta disposição não se aplica a ações fora do âmbito, a testes contra sistemas de clientes ou outros sistemas de terceiros, a violações de proteção de dados, a perturbações operacionais ou a outras infrações à legislação aplicável.

Esta política não constitui autorização para testes fora do âmbito aqui descrito.
Guidelines

As nossas expectativas para os investigadores de segurança

1 Atue com cuidado, de boa-fé, e limite os seus testes ao necessário para demonstrar a vulnerabilidade de forma reproduzível.
2 Não aceda a dados reais de clientes. Se inadvertidamente obtiver acesso a dados sensíveis, interrompa o teste imediatamente e informe-nos sem demora.
3 Não modifique, elimine, exfiltre nem publique quaisquer dados.
4 Não realize testes que possam comprometer sistemas ou serviços ou degradar a sua disponibilidade.
5 Não utilize social engineering, phishing, ataques físicos e não instale backdoors nem mecanismos de persistência.
6 Não partilhe detalhes publicamente antes de termos acordado conjuntamente uma data de divulgação coordenada.
Comunicação

Como comunicar uma vulnerabilidade de segurança

Enviar comunicação

Envie a sua comunicação para:

security@password-depot.de

Inclua, por favor

  • Produto afetado, versão, build e componente
  • Descrição da vulnerabilidade
  • Passos para reprodução / proof of concept
  • Avaliação do impacto e da gravidade
  • Ambiente de teste, configuração e pré-requisitos
  • Dados de contacto e, se pretendido, indicação sobre créditos de autoria
Não envie dados pessoais desnecessários nem grandes volumes de dados provenientes de ambientes de produção.

Confidencialidade

Tratamos a sua comunicação e — se assim o desejar — a sua identidade de forma confidencial, na medida do legalmente permitido. Apenas publicamos o seu nome com o seu consentimento prévio.

A transmissão das suas informações só ocorre na medida do necessário para a análise, correção e divulgação coordenada da vulnerabilidade ou para o cumprimento de obrigações legais.

Processo

O que acontece após a sua comunicação

Confirmação de receção 48 horas Confirmamos a receção da sua comunicação.
Avaliação inicial 7 dias Informamo-lo se classificamos a comunicação como válida, duplicada, fora do âmbito ou atualmente não reproduzível.
Atualizações regulares a cada 30 dias Mantemo-lo informado sobre o progresso até à correção ou até à divulgação coordenada.
Divulgação

Divulgação coordenada e Security Advisories

Assim que uma atualização de segurança ou outra medida corretiva eficaz estiver disponível, publicamos geralmente um security advisory para vulnerabilidades confirmadas que requeiram correção.

Se a publicação imediata comprometer a segurança dos nossos utilizadores, poderemos adiar a publicação até um momento adequado.

Um advisory contém, no mínimo

  • Uma descrição da vulnerabilidade
  • Os produtos e versões afetados
  • Impacto e gravidade
  • Orientações claras sobre correção ou mitigação

Nota sobre obrigações legais de comunicação

Se uma comunicação indicar uma vulnerabilidade ativamente explorada ou um incidente de segurança grave, poderemos ser legalmente obrigados a transmitir as informações técnicas necessárias às autoridades competentes, ao CSIRT relevante e à ENISA, bem como a notificar os utilizadores afetados.

Nesse contexto, só divulgamos a sua identidade na medida do legalmente exigido.

Reconhecimento

Atualmente não oferecemos recompensas financeiras nem pagamentos de bug bounty, salvo anúncio expresso em separado.

Se o desejar, mencionaremos o seu nome após a correção da vulnerabilidade num security advisory ou numa nota de agradecimento. Informe-nos na sua comunicação.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Alemanha
E-mail: security@password-depot.de
Comunicar vulnerabilidade