Artigo 66
Encontrou uma falha? A lei protege-o, se seguir as regras.
O artigo 66 cria um porto seguro para quem comunica, publica ou divulga vulnerabilidades de boa-fé: essa pessoa não viola as regras de confidencialidade, integridade e disponibilidade, nem leis, regulamentos, contratos ou códigos de conduta, pelo simples facto de ter divulgado. É uma das melhores notícias da lei, rara na região.
As quatro condições da boa-fé
- Sem coacção nem recompensa exigida: a divulgação não pode ser feita sob ameaça de publicação nem a troco de pagamento exigido.
- Prazo de 90 dias: o investigador deve dar ao responsável pelo sistema um prazo razoável, de pelo menos 90 dias de calendário, para corrigir a vulnerabilidade antes de a publicar ou divulgar.
- Precauções durante a identificação: devem ser tomadas as precauções necessárias para prevenir danos à privacidade, degradação ou falha de serviço, e destruição ou manipulação de dados.
- Divulgação cuidadosa: quem divulga deve ponderar o impacto e minimizar o dano que a divulgação pode causar.
Métodos que fazem perder a protecção
Ficam expressamente excluídos do porto seguro os métodos que envolvam:
- negação de serviço;
- evidência física (intrusão física);
- uso de código malicioso;
- engenharia social;
- alteração, remoção ou destruição de dados.
Como se compara
O regime segue as boas práticas internacionais de divulgação coordenada de vulnerabilidades e coloca Moçambique à frente de muitos países da região, onde investigadores de segurança continuam juridicamente expostos. O prazo de 90 dias coincide com o padrão de mercado usado pelos grandes programas de divulgação.