ScoutAtlas
Legal · resumos em linguagem clara acima de cada secção

Scout Atlas legal.

Linguagem clara primeiro, formal depois. Tratamos páginas legais como produtos — legíveis, bem versionadas e honestas sobre o que fazemos e o que não fazemos.

Plain summary

Tratamos a segurança como funcionalidade de produto. Esta página lista subcontratantes, SLAs de resposta a incidentes e regras do programa de divulgação de vulnerabilidades. Para narrativa textual, ver a página de segurança pública.

Subcontratantes

Avisamos os admins com pelo menos 30 dias de antecedência antes de qualquer alteração. A lista live espelha-se em /security/sub-processors.json.

  • Supabase — BD Postgres, autenticação, row-level security. Região UE para clubes europeus, US a pedido.
  • Vercel — hosting de aplicação e edge delivery do site marketing e workspace autenticada.
  • Stripe — processamento de pagamentos. PCI-DSS Level 1.
  • Resend — email transacional (magic links, notificações, digests).
  • Cloudflare — DNS e proteção DDoS.

Resposta a incidentes

  • Deteção. Alertas em tempo real sobre anomalias de autenticação, picos de erro e padrões de acesso à BD. Rotação founder-on-call 24/7.
  • Triagem. Severidade classificada em 30 minutos (S1/S2/S3) por runbook público.
  • Divulgação. Clubes afetados notificados em 72 h após confirmação, com detalhe técnico.
  • Post-mortem. Post-mortem escrito publicado em 14 dias, com ações corretivas e prazos.

Divulgação de vulnerabilidades

Corremos um programa aberto. Escreva para security@scoutatlas.co com passos de reprodução e (quando aplicável) PoC.

  • Confirmamos receção em 48 h.
  • Comprometemo-nos com prazo de remediação em 7 dias, escalado por severidade.
  • Damos crédito a investigadores no changelog quando os patches saem — com permissão.
  • Comprometemo-nos a não tomar ação legal contra investigadores de boa-fé que sigam as regras do programa.

Fora do âmbito

Os seguintes estão explicitamente fora do programa: ataques denial-of-service, social engineering ao staff, vulnerabilidades em serviços terceiros já divulgadas publicamente e testes de segurança física.

Cifragem

  • TLS 1.3 em trânsito, apenas cipher suites modernas, HSTS preload.
  • AES-256-GCM em repouso para colunas sensíveis.
  • Cifragem end-to-end para mensagens Deal Room com chaves por sala que não conseguimos ler.
  • Envelopes de chave por clube para streams privados opt-in (GPS, biometria, médico).

Auditorias

  • Auditoria de prontidão SOC 2 Type II — Q4 2026.
  • Penetration test independente — anual a partir do segundo ano (2027).
  • Revisão interna trimestral de permissões e logs de auditoria.

Operado por Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (“Oney AŞ”), sociedade anónima constituída sob as leis da República da Türkiye, com sede registada em İstanbul, Türkiye.

Última atualização · 5 maio 2026 · contacto: legal@scoutatlas.co