Política de segurança

A segurança dos dados da nossa comunidade é prioritária. Esta página explica como reportar uma vulnerabilidade e como respondemos.

Atualizado a 17 de maio de 2026

1. Reportar uma vulnerabilidade

Se descobrires uma vulnerabilidade de segurança, escreve para security@aukilo.com (ou para contact@aukilo.com com «[SECURITY]» no assunto).

Confirmamos a receção em 72 horas úteis e mantemos-te informado·a do seguimento.

Para acelerar a triagem, inclui se possível:

  • uma descrição clara da vulnerabilidade e do seu impacto;
  • os passos para a reproduzir;
  • a versão da app ou o URL afetado;
  • o teu pseudónimo se quiseres ser creditado·a.

2. Âmbito

Esta política abrange:

  • o site e os subdomínios de aukilo.com;
  • a app móvel Aukilo (iOS e Android);
  • as Edge Functions Supabase implantadas no projeto oficial.

3. Fora do âmbito

Os itens seguintes não estão abrangidos e não são elegíveis para divulgação responsável:

  • ataques de negação de serviço (DOS / DDoS);
  • phishing e engenharia social contra a equipa ou os utilizadores;
  • scraping massivo ou tentativas de contornar quotas;
  • vulnerabilidades já conhecidas ou em correção;
  • serviços de terceiros (Vercel, Supabase, Firebase, Google) — reporta diretamente ao fornecedor;
  • emails antigos ou domínios parqueados.

4. O nosso compromisso

Se respeitares as regras desta política:

  • não tomaremos ações legais contra ti;
  • trabalharemos contigo para confirmar e corrigir;
  • creditar-te-emos publicamente (com o teu consentimento) após o deploy do fix;
  • publicaremos, quando relevante, um post-mortem anónimo.

O Aukilo não opera (ainda) um programa de bug bounty pago. O reconhecimento é simbólico.

5. Regras a respeitar

Para beneficiares do nosso compromisso, por favor:

  • não aceder nem modificar dados de utilizadores sem o seu consentimento;
  • não degradar o serviço nem interromper o seu funcionamento;
  • não divulgar publicamente a vulnerabilidade antes de a corrigirmos;
  • não explorar a vulnerabilidade além da prova de conceito mínima.

6. Dados dos utilizadores

O Aukilo trata dados pessoais de acordo com o RGPD e a nossa política de privacidade. Se uma vulnerabilidade expuser dados pessoais, aplicaremos as obrigações de notificação previstas na lei (CNIL, utilizadores afetados).

7. Contacto

Para qualquer questão sobre esta política: security@aukilo.com.

Chave PGP disponível a pedido para relatórios sensíveis.