> For the complete documentation index, see [llms.txt](https://help.blazon.im/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://help.blazon.im/politicas/seguranca/politica-de-gestao-de-vulnerabilidades-de-seguranca.md).

# Política de Gestão de Vulnerabilidades de Segurança

## Aviso legal

Este documento contém informações operacionais e comerciais relacionadas aos serviços da Plataforma Blazon e destina-se exclusivamente ao uso informativo da Contratante.

A reprodução, adaptação, reutilização ou utilização deste material para fins comerciais, concorrenciais ou quaisquer finalidades distintas de sua utilização informativa relacionada à Plataforma Blazon dependerá de autorização prévia e formal da Blazon.

## 1. Objetivo

A Política de Gestão de Vulnerabilidades de Segurança da Blazon tem como objetivo estabelecer as diretrizes aplicáveis ao relato, análise, classificação, tratamento, mitigação e comunicação de vulnerabilidades de segurança relacionadas à Plataforma Blazon, definindo as responsabilidades das partes, os princípios de gestão de riscos e os procedimentos adotados para proteção da plataforma e de seus componentes.

Esta política busca assegurar que vulnerabilidades de segurança sejam tratadas de forma estruturada, transparente e proporcional ao risco identificado, promovendo a adoção de medidas técnicas e operacionais adequadas para preservação da confidencialidade, integridade e disponibilidade da Plataforma Blazon.

As disposições desta política complementam os contratos, propostas comerciais, o Catálogo de Serviços, a Política de Atendimento e os demais documentos da Blazon, estabelecendo um modelo único para gestão de vulnerabilidades de segurança durante todo o ciclo de vida da plataforma.

Esta política aplica-se às vulnerabilidades identificadas na Plataforma Blazon, bem como às vulnerabilidades relacionadas a componentes de terceiros utilizados por sua arquitetura, observadas as particularidades, limitações e responsabilidades estabelecidas neste documento.

## 2. Escopo

Esta política aplica-se à gestão de vulnerabilidades de segurança relacionadas à Plataforma Blazon, abrangendo as vulnerabilidades identificadas pela própria Blazon, por clientes, parceiros, pesquisadores de segurança ou quaisquer terceiros que as reportem por meio dos canais oficiais disponibilizados para esse fim.

Também estão compreendidas no escopo desta política as vulnerabilidades identificadas em componentes, bibliotecas, frameworks, sistemas operacionais, bancos de dados, serviços e demais tecnologias de terceiros utilizados pela Plataforma Blazon, desde que possam representar risco efetivo à segurança, confidencialidade, integridade ou disponibilidade da solução.

A aplicação desta política compreende todo o ciclo de gestão de vulnerabilidades, incluindo:

* relato da vulnerabilidade;
* recebimento e registro da ocorrência;
* análise de aplicabilidade;
* classificação da vulnerabilidade e avaliação do risco;
* definição e implementação de medidas mitigatórias;
* implementação de correções permanentes, quando aplicável;
* comunicação às partes interessadas;
* encerramento do tratamento da vulnerabilidade.

Esta política não se aplica:

* às vulnerabilidades existentes em ambientes, infraestruturas, aplicações, sistemas ou componentes administrados exclusivamente pela Contratante ou por terceiros sob sua responsabilidade;
* às vulnerabilidades decorrentes de alterações, customizações, integrações ou desenvolvimentos realizados pela Contratante ou por terceiros sem participação ou homologação da Blazon;
* às vulnerabilidades decorrentes da utilização de versões descontinuadas, não suportadas ou mantidas em desacordo com os requisitos mínimos de software estabelecidos para a Plataforma Blazon, ressalvadas as hipóteses em que tais versões tenham sido expressamente homologadas pela Blazon;
* às vulnerabilidades cuja correção dependa exclusivamente da disponibilização de atualização, correção ou orientação técnica pelo fornecedor do componente de terceiros, hipótese em que seu tratamento observará os critérios estabelecidos nesta política.

Sempre que aplicável, a gestão das vulnerabilidades observará também os contratos celebrados entre as partes, as demais políticas corporativas da Blazon e as características técnicas da Plataforma Blazon.

## 3. Conceitos

Para os fins desta política, aplicam-se os seguintes conceitos:

| Conceito                          | Definição                                                                                                                                                                                                                                                                                       |
| --------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Vulnerabilidade de Segurança**  | Fragilidade, deficiência ou condição existente em software, hardware, configuração, processo ou componente tecnológico que possa ser explorada para comprometer a confidencialidade, integridade, disponibilidade ou autenticidade da Plataforma Blazon ou das informações por ela processadas. |
| **Relato de Vulnerabilidade**     | Comunicação formal realizada por clientes, parceiros, pesquisadores de segurança ou terceiros, informando a existência de uma potencial vulnerabilidade relacionada à Plataforma Blazon.                                                                                                        |
| **Tratamento da Vulnerabilidade** | Conjunto de atividades realizadas pela Blazon para receber, analisar, classificar, priorizar, mitigar, corrigir, monitorar e comunicar uma vulnerabilidade durante todo o seu ciclo de vida.                                                                                                    |
| **Análise de Aplicabilidade**     | Processo destinado a verificar se uma vulnerabilidade é efetivamente aplicável à arquitetura, à configuração e à forma de utilização da Plataforma Blazon, considerando suas características técnicas e o contexto operacional da solução.                                                      |
| **Avaliação de Risco**            | Processo destinado a determinar o risco efetivo representado por uma vulnerabilidade, considerando seu potencial impacto sobre a Plataforma Blazon, a possibilidade de exploração, os controles existentes e as características do ambiente em que a solução é executada.                       |
| **Exposição Efetiva**             | Situação em que uma vulnerabilidade, além de existir tecnicamente, encontra-se efetivamente acessível e passível de exploração no contexto da arquitetura, configuração e utilização da Plataforma Blazon.                                                                                      |
| **Medida Mitigatória**            | Medida técnica, operacional ou administrativa destinada a reduzir ou controlar os riscos associados a uma vulnerabilidade quando sua eliminação definitiva ainda não é possível ou não é recomendada naquele momento.                                                                           |
| **Controle Compensatório**        | Controle adicional implementado para reduzir a probabilidade de exploração ou minimizar os impactos decorrentes de uma vulnerabilidade até que uma solução definitiva possa ser aplicada, quando aplicável.                                                                                     |
| **Correção Permanente**           | Alteração destinada a eliminar ou neutralizar definitivamente uma vulnerabilidade, podendo envolver atualização de componentes, modificações na Plataforma Blazon, alterações arquiteturais ou outras medidas técnicas consideradas adequadas.                                                  |
| **Componente de Terceiros**       | Software, biblioteca, framework, sistema operacional, banco de dados, serviço ou qualquer outro componente desenvolvido por terceiros e utilizado pela Plataforma Blazon para compor sua arquitetura ou seu funcionamento.                                                                      |
| **Fornecedor do Componente**      | Organização responsável pelo desenvolvimento, manutenção e disponibilização de atualizações, correções ou orientações técnicas referentes a determinado componente de terceiros utilizado pela Plataforma Blazon.                                                                               |
| **Boa-fé**                        | Princípio segundo o qual o relato de vulnerabilidades deverá ser realizado de forma responsável, ética e sem a intenção de causar indisponibilidade, exploração indevida, divulgação não autorizada de informações ou qualquer prejuízo à Plataforma Blazon, aos seus clientes ou a terceiros.  |
| **Risco Residual**                | Nível de risco remanescente após a implementação das medidas mitigatórias e controles compensatórios disponíveis, permanecendo a vulnerabilidade sob monitoramento até sua eliminação definitiva ou aceitação formal do risco pela Blazon, quando aplicável.                                    |

## 4. Princípios

A gestão de vulnerabilidades de segurança da Plataforma Blazon observará os princípios estabelecidos nesta política, buscando assegurar que toda vulnerabilidade seja tratada de forma estruturada, proporcional ao risco identificado e compatível com as características técnicas da plataforma e de sua arquitetura.

### 4.1 Gestão Baseada em Risco

O tratamento das vulnerabilidades será orientado pelo risco efetivo para a Plataforma Blazon e seus clientes, considerando não apenas a existência da vulnerabilidade, mas também sua aplicabilidade, possibilidade de exploração, controles de segurança existentes, impacto operacional e consequências para a confidencialidade, integridade e disponibilidade da solução.

### 4.2 Análise de Aplicabilidade

A existência de uma vulnerabilidade divulgada publicamente para componentes utilizados pela Plataforma Blazon não implica, por si só, que a plataforma esteja vulnerável.

Toda vulnerabilidade será previamente analisada quanto à sua aplicabilidade à arquitetura da solução, à forma de utilização do componente, aos controles de segurança existentes e às condições efetivas de exploração antes da definição de qualquer tratamento.

### 4.3 Tratamento Proporcional ao Risco

As medidas adotadas para tratamento das vulnerabilidades deverão ser compatíveis com o risco identificado, podendo compreender controles compensatórios, medidas mitigatórias, atualizações de componentes, alterações arquiteturais, mudanças de configuração ou outras ações técnicas consideradas adequadas pela Blazon.

### 4.4 Defesa em Profundidade

A segurança da Plataforma Blazon baseia-se na combinação de múltiplos controles técnicos, operacionais e administrativos.

Assim, a existência de uma vulnerabilidade isolada não será considerada suficiente para caracterizar comprometimento da segurança da plataforma sem que sejam avaliados os demais mecanismos de proteção existentes.

### 4.5 Responsabilidade Compartilhada

A proteção da Plataforma Blazon constitui responsabilidade compartilhada entre a Blazon e a Contratante.

Compete à Blazon gerenciar as vulnerabilidades relacionadas à plataforma e aos componentes sob sua responsabilidade, enquanto compete à Contratante manter seu ambiente operacional em conformidade com os requisitos técnicos, versões suportadas, configurações recomendadas e demais orientações de segurança estabelecidas pela Blazon.

### 4.6 Transparência

A Blazon conduzirá a gestão das vulnerabilidades de forma transparente, mantendo registros das análises realizadas e comunicando às partes interessadas, quando aplicável, as informações necessárias para preservação da segurança da Plataforma Blazon, observadas as restrições legais, contratuais e de confidencialidade.

### 4.7 Melhoria Contínua

As informações obtidas durante o tratamento das vulnerabilidades poderão ser utilizadas para o aperfeiçoamento contínuo da Plataforma Blazon, de seus processos de desenvolvimento seguro, dos controles de segurança e das práticas de gestão de vulnerabilidades adotadas pela Blazon.

### 4.8 Gestão de Componentes de Terceiros

A Plataforma Blazon utiliza componentes desenvolvidos por terceiros como parte integrante de sua arquitetura tecnológica.

As vulnerabilidades relacionadas exclusivamente a esses componentes serão avaliadas considerando sua aplicabilidade à Plataforma Blazon, a existência de medidas mitigatórias, a disponibilidade de correções pelo fornecedor responsável e o risco efetivo para a solução. Sempre que a correção definitiva depender exclusivamente de terceiros, a Blazon adotará as medidas mitigatórias tecnicamente viáveis e acompanhará a evolução da solução disponibilizada pelo respectivo fornecedor.

### 4.9 Continuidade Operacional

O tratamento das vulnerabilidades buscará preservar a estabilidade, disponibilidade e continuidade operacional da Plataforma Blazon.

A implementação de correções permanentes observará não apenas a disponibilidade de atualizações, mas também sua compatibilidade com a arquitetura da solução, os impactos operacionais decorrentes de sua aplicação e os riscos associados à própria atualização, podendo a Blazon adotar medidas mitigatórias ou controles compensatórios até que exista uma solução definitiva considerada tecnicamente adequada.

## 5. Papéis e Responsabilidades

A gestão de vulnerabilidades de segurança da Plataforma Blazon fundamenta-se no princípio da responsabilidade compartilhada, exigindo a atuação coordenada da Blazon, da Contratante, dos responsáveis pelo relato da vulnerabilidade e, quando aplicável, dos fornecedores dos componentes utilizados pela Plataforma Blazon.

As responsabilidades previstas nesta política são complementares e deverão ser exercidas de forma cooperativa durante todo o ciclo de gestão da vulnerabilidade, observando os princípios da boa-fé, confidencialidade, transparência e preservação da segurança da Plataforma Blazon.

| Participante                               | Responsabilidades                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 |
| ------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Blazon**                                 | Receber e registrar os relatos de vulnerabilidades; realizar a análise de aplicabilidade e avaliação dos riscos; classificar as vulnerabilidades; definir o tratamento mais adequado para cada situação; implementar medidas mitigatórias, controles compensatórios ou correções permanentes, quando aplicável; acompanhar vulnerabilidades relacionadas a componentes de terceiros; comunicar as partes interessadas sempre que necessário; manter registros das análises realizadas e conduzir o processo de gestão de vulnerabilidades conforme esta política. |
| **Contratante**                            | Reportar vulnerabilidades por meio dos canais oficiais disponibilizados pela Blazon; fornecer informações suficientes para análise da ocorrência; preservar a confidencialidade das informações relacionadas à vulnerabilidade até sua divulgação autorizada; manter seu ambiente em conformidade com os requisitos técnicos, versões suportadas e recomendações de segurança estabelecidas pela Blazon; colaborar durante a validação das medidas adotadas e implementar, quando cabível, as ações sob sua responsabilidade.                                     |
| **Responsável pelo Relato**                | Realizar o relato de forma responsável e de boa-fé, fornecendo informações suficientes para permitir a reprodução e análise da vulnerabilidade; evitar qualquer exploração indevida ou divulgação não autorizada das informações obtidas; colaborar tecnicamente com a Blazon sempre que solicitado durante a investigação da ocorrência.                                                                                                                                                                                                                         |
| **Fornecedor de Componentes de Terceiros** | Quando aplicável, disponibilizar atualizações, correções, orientações técnicas ou demais informações necessárias ao tratamento das vulnerabilidades relacionadas aos componentes sob sua responsabilidade, observando seus próprios ciclos de desenvolvimento, manutenção e suporte.                                                                                                                                                                                                                                                                              |

A responsabilidade de cada participante limita-se às atividades sob sua gestão e controle, não sendo automaticamente transferida em razão da existência de dependências técnicas, componentes de terceiros ou ambientes administrados pela Contratante.

Sempre que uma vulnerabilidade depender exclusivamente da disponibilização de correção por fornecedor de componente de terceiros, a Blazon realizará a avaliação de sua aplicabilidade à Plataforma Blazon, acompanhará a evolução da solução disponibilizada pelo respectivo fornecedor e adotará, sempre que tecnicamente viável, medidas mitigatórias ou controles compensatórios destinados à redução do risco até que uma correção permanente possa ser implementada.

A gestão de vulnerabilidades constitui um processo contínuo de identificação, avaliação, tratamento e monitoramento de riscos. As decisões relacionadas ao tratamento das vulnerabilidades serão fundamentadas em critérios técnicos, operacionais e de risco, buscando preservar simultaneamente a segurança, a estabilidade e a continuidade operacional da Plataforma Blazon.

O compromisso da Blazon é manter um processo contínuo e estruturado de gestão de vulnerabilidades de segurança, baseado na avaliação de riscos, na adoção de medidas proporcionais e na melhoria contínua da Plataforma Blazon. A existência de vulnerabilidades ou a dependência de componentes de terceiros não descaracteriza esse compromisso, que será exercido sempre em conformidade com os princípios estabelecidos nesta política.

## 6. Relato de Vulnerabilidades

A Blazon incentiva que vulnerabilidades de segurança relacionadas à Plataforma Blazon sejam reportadas de forma responsável, ética e colaborativa, contribuindo para o fortalecimento contínuo da segurança da solução e para a proteção de seus clientes.

Os relatos deverão ser realizados exclusivamente pelos canais oficiais disponibilizados pela Blazon para esse fim e conter informações suficientes para permitir sua adequada análise técnica.

Sempre que possível, o relato deverá conter:

* descrição detalhada da vulnerabilidade identificada;
* componentes, funcionalidades ou versões potencialmente afetadas;
* evidências técnicas que permitam sua reprodução ou validação;
* impacto observado ou potencial;
* procedimentos utilizados para identificação da vulnerabilidade;
* demais informações consideradas relevantes para sua análise.

O recebimento de um relato não implica, por si só, o reconhecimento da existência da vulnerabilidade, de sua aplicabilidade à Plataforma Blazon, de sua classificação ou da necessidade de implementação imediata de medidas mitigatórias ou correções permanentes.

### 6.1 Princípios do Relato Responsável

Os relatos de vulnerabilidades deverão observar os seguintes princípios:

* serem realizados de boa-fé e com finalidade exclusivamente voltada ao fortalecimento da segurança da Plataforma Blazon;
* limitar as atividades ao estritamente necessário para identificação e comprovação da vulnerabilidade;
* preservar a confidencialidade das informações obtidas durante sua identificação;
* evitar qualquer ação que possa comprometer a disponibilidade, integridade, confidencialidade ou desempenho da Plataforma Blazon, dos ambientes da Contratante ou de terceiros;
* cooperar com a Blazon durante a investigação, sempre que forem necessários esclarecimentos técnicos adicionais;
* abster-se de divulgar publicamente informações relacionadas à vulnerabilidade antes da conclusão de seu tratamento ou de autorização expressa da Blazon.

### 6.2 Recebimento e Validação

Todo relato recebido será registrado e submetido ao processo de gestão de vulnerabilidades estabelecido nesta política.

Após seu recebimento, a Blazon realizará, conforme aplicável:

* validação das informações recebidas;
* análise de aplicabilidade;
* classificação da vulnerabilidade;
* avaliação do risco efetivo;
* definição do tratamento adequado;
* comunicação às partes interessadas, quando aplicável.

Durante esse processo, a Blazon poderá solicitar informações adicionais ao responsável pelo relato sempre que considerar necessário para adequada investigação da ocorrência.

### 6.3 Relatos Não Elegíveis

Poderão ser desconsiderados, sem prosseguimento no processo de gestão de vulnerabilidades, os relatos que:

* não apresentem informações suficientes para análise técnica;
* correspondam exclusivamente a vulnerabilidades previamente conhecidas e já registradas pela Blazon;
* estejam relacionados exclusivamente a componentes de terceiros, sem evidências de impacto ou aplicabilidade à Plataforma Blazon;
* decorram da utilização de versões descontinuadas, não suportadas ou mantidas em desacordo com os requisitos técnicos estabelecidos pela Blazon;
* tenham sido obtidos mediante acesso não autorizado, violação contratual, exploração indevida ou qualquer conduta incompatível com os princípios estabelecidos nesta política.

A eventual desconsideração de um relato não impede que a Blazon realize avaliações internas adicionais sempre que considerar necessário para preservação da segurança da Plataforma Blazon.

### 6.4 Confidencialidade

As informações relacionadas aos relatos de vulnerabilidades serão tratadas de forma confidencial e utilizadas exclusivamente para fins de investigação, avaliação de riscos, implementação de medidas mitigatórias, desenvolvimento de correções permanentes e comunicação às partes interessadas, quando aplicável.

Sempre que possível e permitido pelas disposições legais aplicáveis, a identidade do responsável pelo relato será preservada pela Blazon.

### 6.5 Comunicação

Sempre que aplicável, a Blazon poderá manter comunicação com o responsável pelo relato durante o processo de análise da vulnerabilidade, solicitando esclarecimentos adicionais, informações complementares ou validação das medidas adotadas.

A comunicação terá caráter colaborativo e informativo, não constituindo compromisso de divulgação de análises técnicas internas, cronogramas de implementação, classificações de risco, medidas mitigatórias adotadas ou quaisquer informações confidenciais relacionadas ao processo interno de gestão da vulnerabilidade.

### 6.6 Limites para Identificação e Validação

A identificação e validação de vulnerabilidades deverão limitar-se às atividades estritamente necessárias para comprovação da ocorrência reportada.

Não deverão ser realizadas atividades que possam causar indisponibilidade, degradação de desempenho, alteração ou destruição de dados, acesso não autorizado a informações, interrupção de serviços, elevação indevida de privilégios ou qualquer outro impacto operacional à Plataforma Blazon ou aos ambientes de seus clientes.

Sempre que a continuidade dos testes puder representar risco à operação, o responsável pelo relato deverá interromper imediatamente as atividades e comunicar a ocorrência à Blazon para que a investigação prossiga de forma controlada.

### 6.7 Proteção ao Relato de Boa-fé

A Blazon reconhece a importância da colaboração de clientes, parceiros e pesquisadores de segurança para o fortalecimento contínuo da Plataforma Blazon.

Os relatos realizados de boa-fé, em conformidade com esta política e pelos canais oficiais disponibilizados pela Blazon, serão tratados de forma responsável, respeitosa e colaborativa.

Desde que não haja exploração indevida da vulnerabilidade, acesso não autorizado a informações, prejuízo operacional à Plataforma Blazon, aos seus clientes ou a terceiros, nem violação das disposições desta política ou da legislação aplicável, a Blazon não adotará medidas restritivas contra o responsável pelo relato em razão exclusiva da comunicação da vulnerabilidade.

## 7. Processo de Tratamento

Toda vulnerabilidade reportada ou identificada pela Blazon será submetida a um processo estruturado de gestão, destinado a avaliar sua aplicabilidade à Plataforma Blazon, determinar o risco efetivo para a solução e definir o tratamento técnico mais adequado.

O processo de tratamento observará, sempre que aplicável, as seguintes etapas:

| Etapa                         | Objetivo                                                                                                                              |
| ----------------------------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| **Recebimento**               | Registro da vulnerabilidade e validação inicial das informações recebidas.                                                            |
| **Análise de Aplicabilidade** | Verificação de que a vulnerabilidade é efetivamente aplicável à arquitetura, configuração e forma de utilização da Plataforma Blazon. |
| **Classificação**             | Classificação da vulnerabilidade conforme os critérios estabelecidos nesta política.                                                  |
| **Avaliação de Risco**        | Avaliação do impacto efetivo, possibilidade de exploração, controles existentes e contexto operacional.                               |
| **Definição do Tratamento**   | Determinação das ações técnicas mais adequadas para redução ou eliminação do risco identificado.                                      |
| **Implementação**             | Aplicação das medidas mitigatórias, controles compensatórios ou correções permanentes, quando aplicável.                              |
| **Validação**                 | Verificação da efetividade das medidas implementadas.                                                                                 |
| **Encerramento**              | Registro da conclusão do tratamento e atualização dos registros internos.                                                             |

A execução dessas etapas poderá variar conforme a natureza da vulnerabilidade, sua aplicabilidade à Plataforma Blazon, a existência de dependências de terceiros e o risco efetivamente identificado.

### 7.1 Definição do Tratamento

Concluída a avaliação de risco, a Blazon definirá o tratamento considerado mais adequado para a vulnerabilidade identificada.

O tratamento poderá compreender, isolada ou conjuntamente:

* implementação de correção permanente;
* adoção de medidas mitigatórias;
* implementação de controles compensatórios;
* atualização de componentes;
* alterações de configuração;
* alterações arquiteturais;
* monitoramento contínuo da vulnerabilidade;
* acompanhamento da disponibilização de correções pelo fornecedor do componente;
* aceitação do risco residual, quando tecnicamente justificada.

A definição do tratamento observará os princípios estabelecidos nesta política, buscando preservar simultaneamente a segurança, a estabilidade e a continuidade operacional da Plataforma Blazon.

### 7.2 Tratamento de Vulnerabilidades em Componentes de Terceiros

Quando a vulnerabilidade estiver relacionada exclusivamente a componentes de terceiros, seu tratamento observará, além dos princípios desta política:

* a aplicabilidade da vulnerabilidade à arquitetura da Plataforma Blazon;
* a possibilidade efetiva de exploração;
* a existência de controles de segurança já implementados;
* a disponibilidade de correções pelo fornecedor do componente;
* os impactos técnicos e operacionais decorrentes da aplicação da atualização.

Enquanto não houver correção definitiva disponibilizada pelo fornecedor responsável, a Blazon poderá adotar medidas mitigatórias, controles compensatórios, monitoramento contínuo ou outras ações consideradas tecnicamente adequadas para redução do risco identificado.

### 7.3 Critérios para Encerramento

O tratamento de uma vulnerabilidade poderá ser considerado encerrado quando ocorrer uma das seguintes situações:

* implementação de correção permanente;
* adoção de medidas mitigatórias consideradas suficientes para redução do risco a níveis aceitáveis;
* confirmação de que a vulnerabilidade não é aplicável à Plataforma Blazon;
* identificação de falso positivo;
* inexistência de possibilidade prática de exploração em razão da arquitetura da solução ou dos controles existentes;
* aceitação formal do risco residual pela Blazon, quando tecnicamente justificada.

O encerramento do tratamento não impede sua reavaliação caso novas informações, novas técnicas de exploração ou alterações na arquitetura da Plataforma Blazon modifiquem a avaliação originalmente realizada.

### 7.4 Matriz de Decisão

Como resultado do processo de análise e avaliação de risco, a Blazon adotará o tratamento considerado mais adequado para cada vulnerabilidade, conforme sua natureza e contexto técnico.

| Resultado da Análise                                           | Tratamento Aplicável                                                                                                                         |
| -------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- |
| Vulnerabilidade não aplicável à Plataforma Blazon              | Encerramento do tratamento.                                                                                                                  |
| Falso positivo                                                 | Encerramento do tratamento.                                                                                                                  |
| Correção permanente disponível e tecnicamente viável           | Planejamento e implementação da correção.                                                                                                    |
| Correção permanente indisponível                               | Implementação de medidas mitigatórias e monitoramento contínuo.                                                                              |
| Dependência exclusiva de fornecedor de componente de terceiros | Acompanhamento da evolução do fornecedor, adoção de controles compensatórios quando aplicável e implementação da correção quando disponível. |
| Vulnerabilidade mitigada por controles existentes              | Manutenção dos controles e monitoramento contínuo.                                                                                           |
| Risco residual considerado aceitável                           | Aceitação formal do risco e monitoramento periódico.                                                                                         |

## 8. Avaliação e Classificação de Riscos

Toda vulnerabilidade submetida ao processo de gestão estabelecido nesta política será objeto de avaliação técnica e operacional destinada a determinar o risco efetivamente representado para a Plataforma Blazon.

A avaliação de riscos constitui etapa obrigatória do processo de gestão de vulnerabilidades e tem como objetivo subsidiar a tomada de decisão quanto às medidas de tratamento mais adequadas para cada ocorrência.

Para realização dessa avaliação, a Blazon poderá utilizar metodologias reconhecidas pelo mercado como apoio técnico, sem que esta política fique vinculada a qualquer metodologia, ferramenta ou padrão específico.

A avaliação considerará sempre o contexto operacional da Plataforma Blazon, não sendo baseada exclusivamente na severidade técnica da vulnerabilidade.

### 8.1 Critérios de Avaliação

Durante o processo de avaliação poderão ser considerados, entre outros, os seguintes fatores:

* aplicabilidade da vulnerabilidade à Plataforma Blazon;
* possibilidade efetiva de exploração;
* facilidade de exploração;
* necessidade de autenticação ou privilégios específicos;
* exposição do componente vulnerável;
* impacto sobre a confidencialidade das informações;
* impacto sobre a integridade da Plataforma Blazon;
* impacto sobre a disponibilidade dos serviços;
* existência de controles compensatórios;
* existência de medidas mitigatórias;
* dependência de componentes de terceiros;
* disponibilidade de correção permanente;
* impacto operacional decorrente da aplicação da correção;
* risco residual após adoção das medidas mitigatórias.

A Blazon poderá considerar quaisquer outros fatores técnicos, operacionais ou de negócio que sejam relevantes para adequada avaliação do risco.

### 8.2 Classificação do Risco

Como resultado da avaliação realizada, cada vulnerabilidade será enquadrada em um dos seguintes níveis de risco:

| Classificação      | Características                                                                                                                                                                                                        |
| ------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Risco Crítico**  | Vulnerabilidade que representa elevado risco para a Plataforma Blazon, exigindo definição imediata da estratégia de tratamento.                                                                                        |
| **Risco Alto**     | Vulnerabilidade que representa risco significativo para a Plataforma Blazon e demanda tratamento prioritário.                                                                                                          |
| **Risco Moderado** | Vulnerabilidade que representa risco controlável, permitindo tratamento conforme planejamento técnico e operacional.                                                                                                   |
| **Risco Baixo**    | Vulnerabilidade cujo risco efetivo é reduzido, podendo ser tratada por meio de monitoramento, controles existentes ou outras medidas definidas pela Blazon.                                                            |
| **Risco Residual** | Situação em que o risco remanescente permanece sob monitoramento em razão da existência de controles compensatórios, medidas mitigatórias ou da inexistência de exploração prática relevante para a Plataforma Blazon. |

A classificação representa o risco efetivo para a Plataforma Blazon e não apenas a severidade técnica da vulnerabilidade.

### 8.3 Avaliação Contextual

A avaliação de riscos realizada pela Blazon considera simultaneamente a vulnerabilidade e o contexto em que a Plataforma Blazon está inserida.

Consequentemente:

* vulnerabilidades tecnicamente severas poderão representar baixo risco quando não forem aplicáveis à arquitetura da Plataforma Blazon ou quando existirem controles capazes de impedir sua exploração;
* vulnerabilidades de menor severidade técnica poderão representar elevado risco quando seu contexto operacional ampliar significativamente sua possibilidade de exploração ou seus impactos.

A existência de uma vulnerabilidade divulgada publicamente, inclusive em componentes utilizados pela Plataforma Blazon, não implica automaticamente que a Plataforma esteja vulnerável ou que determinada medida corretiva deva ser implementada imediatamente.

### 8.4 Reavaliação do Risco

A avaliação realizada poderá ser revista sempre que ocorrer qualquer circunstância capaz de modificar o risco anteriormente identificado, incluindo, entre outras:

* disponibilização de correção permanente;
* surgimento de novas técnicas de exploração;
* alteração da arquitetura da Plataforma Blazon;
* alteração das condições de exposição da vulnerabilidade;
* implementação ou remoção de controles compensatórios;
* atualização das informações disponibilizadas pelo fornecedor do componente ou pela comunidade de segurança.

Sempre que a reavaliação modificar o risco anteriormente identificado, a Blazon revisará a estratégia de tratamento definida para a vulnerabilidade.

## 8.5 Aceitação Formal do Risco

Em determinadas circunstâncias, a avaliação de risco poderá concluir que a adoção imediata de medidas mitigatórias ou correções permanentes não representa a estratégia mais adequada para a Plataforma Blazon.

Nessas situações, a Blazon poderá optar pela aceitação formal do risco residual, desde que essa decisão seja fundamentada em critérios técnicos, operacionais e de negócio, observando os princípios estabelecidos nesta política.

A aceitação formal do risco poderá ser considerada, entre outras situações, quando:

* não existir alternativa técnica viável para eliminação ou mitigação da vulnerabilidade;
* a implementação das medidas disponíveis representar risco superior ao risco efetivamente identificado;
* existirem controles compensatórios suficientes para manutenção do risco em níveis aceitáveis;
* a vulnerabilidade não apresentar possibilidade prática de exploração no contexto da Plataforma Blazon;
* outros fatores técnicos ou operacionais justificarem essa decisão.

A aceitação formal do risco não representa a eliminação da vulnerabilidade nem a interrupção de sua gestão.

O risco permanecerá sob monitoramento contínuo e será reavaliado sempre que ocorrer qualquer alteração capaz de modificar sua classificação, incluindo a disponibilização de correções permanentes, alterações na arquitetura da Plataforma Blazon, evolução das técnicas de exploração ou qualquer outro fator relevante.

Sempre que a reavaliação indicar alteração das condições originalmente consideradas, a estratégia de tratamento anteriormente adotada poderá ser revista.

## 9. Priorização do Tratamento

A priorização do tratamento das vulnerabilidades tem como objetivo assegurar que as ações adotadas pela Blazon sejam proporcionais ao risco efetivamente representado para a Plataforma Blazon, observando critérios técnicos, operacionais e de continuidade dos serviços.

A classificação de risco atribuída à vulnerabilidade constitui um dos elementos considerados para definição de sua prioridade de tratamento, não representando, isoladamente, a ordem em que as ações corretivas ou mitigatórias serão implementadas.

A Blazon estabelecerá a prioridade de tratamento considerando o conjunto das vulnerabilidades existentes, os riscos associados, a disponibilidade de medidas mitigatórias, os impactos operacionais e as características da Plataforma Blazon.

### 9.1 Critérios de Priorização

Na definição da prioridade de tratamento poderão ser considerados, entre outros, os seguintes critérios:

* classificação de risco atribuída à vulnerabilidade;
* possibilidade efetiva de exploração;
* existência de exploração ativa conhecida;
* aplicabilidade à arquitetura da Plataforma Blazon;
* exposição do componente vulnerável;
* criticidade da funcionalidade afetada;
* impacto potencial para os clientes;
* existência de controles compensatórios;
* disponibilidade de medidas mitigatórias;
* disponibilidade de correção permanente;
* dependência de atualização por fornecedor de componente de terceiros;
* riscos decorrentes da implementação da atualização;
* impactos sobre a estabilidade e continuidade operacional da Plataforma Blazon.

A Blazon poderá considerar quaisquer outros fatores técnicos, operacionais ou estratégicos que sejam relevantes para adequada definição da prioridade de tratamento.

### 9.2 Diretrizes para Priorização

A definição da prioridade observará sempre o risco efetivo para a Plataforma Blazon e não apenas a severidade técnica da vulnerabilidade.

Assim:

* vulnerabilidades classificadas com o mesmo nível de risco poderão receber prioridades distintas em razão de seu contexto operacional;
* vulnerabilidades de menor severidade técnica poderão receber prioridade superior quando representarem maior risco para a Plataforma Blazon;
* vulnerabilidades tecnicamente severas poderão receber prioridade inferior quando não houver possibilidade prática de exploração ou quando existirem controles capazes de reduzir significativamente o risco identificado.

As decisões de priorização buscarão preservar simultaneamente a segurança da Plataforma Blazon, a estabilidade da solução e a continuidade operacional dos ambientes de seus clientes.

### 9.3 Planejamento do Tratamento

A implementação das medidas corretivas observará planejamento técnico compatível com sua complexidade, dependências e impactos operacionais.

Sempre que a implementação imediata de uma correção permanente não for considerada tecnicamente adequada, a Blazon poderá:

* implementar medidas mitigatórias;
* adotar controles compensatórios;
* acompanhar a evolução da vulnerabilidade;
* aguardar atualização disponibilizada pelo fornecedor do componente;
* manter a vulnerabilidade sob monitoramento contínuo até que exista solução definitiva tecnicamente adequada.

A adoção dessas medidas não descaracteriza o tratamento da vulnerabilidade, constituindo parte integrante do processo de gestão de riscos estabelecido nesta política.

### 9.4 Revisão da Prioridade

A prioridade atribuída a uma vulnerabilidade poderá ser revista a qualquer momento sempre que ocorrer qualquer circunstância capaz de modificar o risco anteriormente identificado, incluindo:

* disponibilização de correção permanente;
* surgimento de novas técnicas de exploração;
* exploração ativa da vulnerabilidade;
* alteração da arquitetura da Plataforma Blazon;
* implementação ou remoção de controles compensatórios;
* alteração das condições de exposição da vulnerabilidade;
* atualização das informações disponibilizadas pelo fornecedor do componente;
* qualquer outro fator capaz de modificar o risco efetivamente representado para a Plataforma Blazon.

Sempre que necessário, a Blazon revisará o planejamento anteriormente definido, adequando a prioridade e o tratamento da vulnerabilidade às novas condições identificadas.

### 9.5 Diretrizes Gerais de Priorização

Como diretriz geral, a Blazon observará o seguinte modelo de priorização durante a gestão das vulnerabilidades:

| Situação Identificada                                                              | Diretriz Geral                                                                                                           |
| ---------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------ |
| Vulnerabilidade com exploração ativa e aplicável à Plataforma Blazon               | Tratamento prioritário e definição imediata das medidas cabíveis.                                                        |
| Vulnerabilidade aplicável com elevado risco para a Plataforma                      | Priorização conforme planejamento técnico e operacional da Blazon.                                                       |
| Vulnerabilidade mitigada por controles existentes                                  | Monitoramento contínuo e reavaliação periódica do risco.                                                                 |
| Vulnerabilidade dependente exclusivamente de fornecedor de componente de terceiros | Acompanhamento da evolução da correção pelo fornecedor e adoção de medidas mitigatórias sempre que tecnicamente viáveis. |
| Vulnerabilidade sem aplicabilidade à Plataforma Blazon                             | Encerramento do tratamento, mantendo apenas os registros internos da avaliação realizada.                                |

## 10. Vulnerabilidades em Componentes de Terceiros

A Plataforma Blazon utiliza componentes de terceiros como parte integrante de sua arquitetura tecnológica, incluindo, entre outros, sistemas operacionais, bancos de dados, bibliotecas, frameworks, servidores de aplicação, mecanismos de busca, serviços e demais tecnologias necessárias ao funcionamento da solução.

A utilização desses componentes é inerente ao desenvolvimento de software moderno e não altera o compromisso da Blazon com a gestão das vulnerabilidades relacionadas à Plataforma Blazon.

Sempre que uma vulnerabilidade relacionada a componente de terceiros for identificada, a Blazon conduzirá seu processo de gestão observando os princípios estabelecidos nesta política, realizando a análise de aplicabilidade, a avaliação de risco e a definição da estratégia de tratamento mais adequada para cada situação.

### 10.1 Análise de Aplicabilidade

A existência de uma vulnerabilidade divulgada publicamente para determinado componente de terceiros não implica, por si só, que a Plataforma Blazon esteja vulnerável.

Antes da definição de qualquer medida de tratamento, a Blazon realizará uma avaliação técnica destinada a verificar sua efetiva aplicabilidade à Plataforma Blazon.

Essa avaliação poderá considerar, entre outros fatores:

* forma de utilização do componente pela Plataforma Blazon;
* funcionalidades efetivamente utilizadas;
* arquitetura da solução;
* configurações implementadas;
* controles de segurança existentes;
* possibilidade prática de exploração;
* exposição do componente;
* contexto operacional da Plataforma Blazon.

Somente após essa avaliação será definida a estratégia de tratamento da vulnerabilidade.

### 10.2 Gestão do Risco

Independentemente da origem da vulnerabilidade, a Blazon permanecerá responsável pela gestão do risco associado à utilização do componente na Plataforma Blazon.

Essa responsabilidade compreende:

* avaliação do risco efetivo para a Plataforma;
* definição da estratégia de tratamento;
* implementação de medidas mitigatórias ou controles compensatórios, quando aplicável;
* acompanhamento da evolução da vulnerabilidade;
* monitoramento das atualizações disponibilizadas pelo fornecedor;
* implementação de correções permanentes quando disponíveis e tecnicamente adequadas.

Quando a eliminação definitiva da vulnerabilidade depender exclusivamente do fornecedor do componente, a Blazon continuará conduzindo a gestão do risco até que exista solução considerada adequada para implementação.

### 10.3 Medidas Mitigatórias

Sempre que uma correção permanente não estiver disponível ou sua implementação imediata puder representar riscos à estabilidade, compatibilidade ou continuidade operacional da Plataforma Blazon, poderão ser adotadas medidas destinadas à redução do risco identificado.

Essas medidas poderão compreender, entre outras:

* alterações de configuração;
* implementação de controles adicionais;
* restrições de acesso;
* desativação de funcionalidades específicas;
* recomendações operacionais à Contratante;
* monitoramento reforçado;
* quaisquer outras medidas consideradas tecnicamente adequadas.

A adoção dessas medidas integra o processo de gestão de vulnerabilidades e não caracteriza a eliminação definitiva da vulnerabilidade.

### 10.4 Dependência de Fornecedores

Quando a resolução definitiva depender exclusivamente do fornecedor do componente de terceiros, a Blazon acompanhará continuamente a evolução das informações técnicas, atualizações, correções e recomendações disponibilizadas por esse fornecedor.

A estratégia de tratamento poderá ser revista sempre que novas informações, atualizações ou correções permanentes forem disponibilizadas.

Enquanto não houver solução definitiva, permanecerão vigentes as medidas mitigatórias, controles compensatórios ou demais ações de gestão de risco consideradas adequadas.

### 10.5 Componentes Não Suportados

Esta política aplica-se aos componentes utilizados pela Plataforma Blazon em versões oficialmente suportadas pela Blazon.

A utilização, pela Contratante, de versões descontinuadas, não suportadas ou mantidas em desacordo com os requisitos técnicos estabelecidos poderá limitar ou impedir a implementação das medidas previstas nesta política.

Nessas situações, a Blazon poderá recomendar ou exigir a atualização do ambiente antes da implementação de determinadas correções, permanecendo sob responsabilidade da Contratante os riscos decorrentes da manutenção de componentes fora das versões suportadas.

### 10.6 Comunicação

Sempre que uma vulnerabilidade relacionada a componente de terceiros representar risco relevante para a Plataforma Blazon, a Blazon poderá comunicar a Contratante acerca:

* da aplicabilidade da vulnerabilidade;
* do risco identificado;
* das medidas mitigatórias recomendadas;
* das atualizações necessárias;
* dos impactos técnicos ou operacionais decorrentes da implementação das correções.

A forma, o conteúdo e o momento dessa comunicação observarão a classificação do risco, as características da vulnerabilidade, os contratos celebrados entre as partes e os princípios estabelecidos nesta política.

### 10.7 Diretrizes para Gestão de Componentes de Terceiros

A gestão das vulnerabilidades relacionadas a componentes de terceiros observará, como diretriz geral, as seguintes premissas:

| Situação                                               | Diretriz de Gestão                                                                                                                    |
| ------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------- |
| Vulnerabilidade divulgada para componente de terceiros | Será submetida à análise de aplicabilidade antes de qualquer decisão técnica.                                                         |
| Vulnerabilidade sem aplicabilidade à Plataforma Blazon | O tratamento será encerrado após a conclusão da avaliação técnica.                                                                    |
| Correção permanente indisponível                       | Serão avaliadas medidas mitigatórias, controles compensatórios e monitoramento contínuo do risco.                                     |
| Correção permanente disponível                         | A implementação observará o planejamento técnico da Blazon, considerando compatibilidade, riscos e continuidade operacional.          |
| Dependência exclusiva do fornecedor                    | A Blazon acompanhará continuamente a evolução da solução disponibilizada pelo fornecedor e revisará periodicamente o risco associado. |
| Ambiente mantido em versões não suportadas             | A implementação de determinadas medidas poderá ser condicionada à atualização do ambiente para versões oficialmente suportadas.       |

### 10.8 Considerações Gerais

A existência de vulnerabilidades em componentes de terceiros constitui um risco inerente ao desenvolvimento de software e não caracteriza, por si só, comprometimento da segurança da Plataforma Blazon.

A Blazon manterá um processo contínuo de avaliação, priorização, tratamento e monitoramento dessas vulnerabilidades, buscando reduzir os riscos identificados por meio da adoção de medidas proporcionais ao contexto operacional da Plataforma.

Sempre que tecnicamente possível, serão priorizadas medidas que preservem simultaneamente a segurança, a estabilidade e a continuidade operacional da Plataforma Blazon.

A gestão das vulnerabilidades relacionadas a componentes de terceiros será sempre orientada pelo **risco efetivo para a Plataforma Blazon**, e não exclusivamente pela existência de uma vulnerabilidade publicada ou pela disponibilidade de uma atualização. Essa abordagem permite que as decisões técnicas sejam tomadas de forma estruturada, proporcional e alinhada às melhores práticas de gestão de riscos em segurança da informação.

## 11. Medidas Mitigatórias

As medidas mitigatórias constituem uma das estratégias formais de tratamento das vulnerabilidades de segurança da Plataforma Blazon e têm como objetivo reduzir o risco representado por determinada vulnerabilidade quando sua eliminação definitiva não for possível, não for recomendada naquele momento ou depender de fatores externos.

A adoção de medidas mitigatórias integra o processo de gestão de vulnerabilidades estabelecido nesta política e será sempre fundamentada na avaliação de risco realizada pela Blazon.

A existência de medidas mitigatórias não descaracteriza a vulnerabilidade identificada nem substitui, necessariamente, a implementação de uma correção permanente, podendo representar uma etapa intermediária ou, quando tecnicamente justificado, a estratégia definitiva para manutenção do risco em níveis aceitáveis.

### 11.1 Objetivos

As medidas mitigatórias têm por finalidade:

* reduzir a probabilidade de exploração de uma vulnerabilidade;
* minimizar os impactos decorrentes de eventual exploração;
* preservar a confidencialidade, integridade e disponibilidade da Plataforma Blazon;
* garantir a continuidade operacional dos serviços;
* permitir a gestão adequada do risco enquanto não houver necessidade ou viabilidade de implementação de uma correção permanente.

### 11.2 Critérios para Adoção

A Blazon poderá adotar medidas mitigatórias, entre outras situações, quando:

* não existir correção permanente disponível;
* a correção depender exclusivamente de fornecedor de componente de terceiros;
* a implementação imediata da correção representar riscos superiores ao risco da própria vulnerabilidade;
* existirem controles capazes de reduzir o risco a níveis considerados aceitáveis;
* a avaliação técnica demonstrar que a mitigação constitui tratamento suficiente para o risco identificado.

A definição das medidas mitigatórias observará sempre os princípios estabelecidos nesta política e o contexto operacional da Plataforma Blazon.

### 11.3 Medidas Aplicáveis

Conforme a natureza da vulnerabilidade, poderão ser adotadas, isolada ou conjuntamente, medidas como:

* alterações de configuração;
* implementação de controles compensatórios;
* restrições de acesso;
* segmentação de ambientes;
* desativação de funcionalidades específicas;
* reforço de mecanismos de autenticação ou autorização;
* monitoramento ampliado;
* recomendações operacionais à Contratante;
* atualização parcial de componentes;
* quaisquer outras medidas consideradas tecnicamente adequadas.

A adoção de determinada medida dependerá das características da vulnerabilidade e da avaliação de risco realizada para cada situação.

### 11.4 Revisão das Medidas Mitigatórias

As medidas mitigatórias permanecerão vigentes enquanto forem consideradas adequadas para redução do risco identificado.

A Blazon revisará sua estratégia de mitigação sempre que ocorrer qualquer circunstância capaz de modificar a avaliação anteriormente realizada, incluindo:

* disponibilização de correção permanente;
* alteração da classificação do risco;
* surgimento de novas técnicas de exploração;
* alterações na arquitetura da Plataforma Blazon;
* alteração das condições operacionais;
* disponibilização de novas informações técnicas pelo fornecedor do componente.

Sempre que necessário, as medidas mitigatórias poderão ser substituídas, complementadas ou descontinuadas.

### 11.5 Relação com Correções Permanentes

As medidas mitigatórias e as correções permanentes constituem estratégias complementares de tratamento das vulnerabilidades.

A adoção de medidas mitigatórias não impede a implementação futura de correções permanentes, assim como a implementação de uma correção permanente não impede a manutenção de controles compensatórios ou outras medidas de proteção consideradas adequadas para fortalecimento da segurança da Plataforma Blazon.

A definição da estratégia de tratamento observará sempre o risco efetivo representado pela vulnerabilidade e os impactos técnicos e operacionais decorrentes da implementação das medidas disponíveis.

### 11.6 Diretrizes Gerais

A adoção de medidas mitigatórias observará, como diretriz geral, os seguintes critérios:

| Situação                                                              | Diretriz                                                                                                        |
| --------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------- |
| Correção permanente indisponível                                      | Avaliar e implementar medidas mitigatórias sempre que tecnicamente viável.                                      |
| Correção permanente disponível, porém com elevado impacto operacional | Avaliar a adoção temporária de medidas mitigatórias até que a atualização possa ser implementada com segurança. |
| Vulnerabilidade mitigada por controles existentes                     | Manter monitoramento e reavaliar periodicamente o risco.                                                        |
| Alteração do risco anteriormente identificado                         | Revisar as medidas mitigatórias adotadas.                                                                       |
| Implementação de correção permanente                                  | Reavaliar a necessidade de manutenção das medidas mitigatórias e dos controles compensatórios existentes.       |

### 11.7 Princípio Geral

A adoção de medidas mitigatórias constitui uma estratégia formal de gestão de riscos e integra o processo contínuo de tratamento das vulnerabilidades da Plataforma Blazon.

Sempre que tecnicamente justificável, a Blazon poderá optar pela adoção de medidas mitigatórias, isoladamente ou em conjunto com outras estratégias de tratamento, buscando preservar simultaneamente a segurança, a estabilidade e a continuidade operacional da Plataforma Blazon.

As medidas mitigatórias serão sempre definidas com base no risco efetivamente representado pela vulnerabilidade, nas características técnicas da Plataforma Blazon e na proporcionalidade entre os riscos decorrentes da vulnerabilidade e os impactos associados às medidas de tratamento disponíveis.

## 12. Correção Permanente

As correções permanentes constituem uma das estratégias de tratamento das vulnerabilidades de segurança da Plataforma Blazon e têm como objetivo eliminar ou neutralizar, de forma definitiva, a causa da vulnerabilidade identificada.

A implementação de correções permanentes observará os princípios estabelecidos nesta política, sendo sempre fundamentada na avaliação de risco, na análise de aplicabilidade e na preservação da segurança, estabilidade, compatibilidade e continuidade operacional da Plataforma Blazon.

A disponibilidade de uma atualização ou correção não implica, por si só, sua implementação imediata, cabendo à Blazon avaliar sua adequação técnica, seus impactos operacionais e os riscos decorrentes de sua adoção antes de incorporá-la à Plataforma.

### 12.1 Critérios para Implementação

A decisão pela implementação de uma correção permanente poderá considerar, entre outros, os seguintes critérios:

* risco efetivamente representado pela vulnerabilidade;
* aplicabilidade à Plataforma Blazon;
* disponibilidade de correção tecnicamente adequada;
* compatibilidade com a arquitetura da solução;
* impactos sobre a estabilidade e continuidade operacional;
* dependências técnicas existentes;
* necessidade de homologação;
* disponibilidade de versões oficialmente suportadas;
* riscos associados à própria implementação da atualização.

A Blazon poderá considerar outros fatores técnicos ou operacionais sempre que necessários para garantir uma implementação segura e compatível com a Plataforma.

### 12.2 Planejamento da Implementação

A implementação das correções permanentes observará planejamento técnico compatível com a natureza da vulnerabilidade, sua prioridade de tratamento e os impactos decorrentes da atualização.

Sempre que necessário, poderão ser realizadas atividades de:

* homologação;
* testes funcionais;
* testes de compatibilidade;
* validações de segurança;
* verificações de desempenho;
* demais procedimentos considerados necessários para assegurar a adequada implementação da correção.

O planejamento poderá prever implementações graduais, janelas de manutenção ou outras estratégias destinadas à preservação da continuidade operacional da Plataforma Blazon.

### 12.3 Correções Relacionadas a Componentes de Terceiros

Quando a correção permanente depender exclusivamente de componente desenvolvido por terceiros, sua implementação observará:

* a disponibilização da atualização pelo fornecedor responsável;
* a validação técnica da solução disponibilizada;
* sua compatibilidade com a Plataforma Blazon;
* os riscos decorrentes da atualização;
* os procedimentos internos de homologação definidos pela Blazon.

Enquanto a implementação definitiva não for considerada tecnicamente adequada, permanecerão vigentes as medidas mitigatórias, controles compensatórios ou demais estratégias de tratamento estabelecidas para a vulnerabilidade.

### 12.4 Validação da Correção

Após a implementação da correção permanente, a Blazon poderá realizar atividades destinadas a confirmar sua efetividade e verificar a inexistência de impactos relevantes sobre a Plataforma Blazon.

Sempre que aplicável, essa validação poderá compreender:

* confirmação da eliminação da vulnerabilidade;
* testes funcionais;
* testes de compatibilidade;
* verificação dos controles de segurança;
* avaliação dos impactos operacionais;
* monitoramento da estabilidade da solução.

Caso sejam identificados riscos adicionais decorrentes da implementação da correção, a estratégia de tratamento poderá ser revista, com adoção das medidas consideradas mais adequadas.

### 12.5 Reversão

Sempre que uma correção permanente provocar impactos incompatíveis com a estabilidade, disponibilidade ou continuidade operacional da Plataforma Blazon, a Blazon poderá adotar procedimentos de reversão ou outras alternativas técnicas destinadas ao restabelecimento seguro da operação.

A eventual reversão não representa encerramento do tratamento da vulnerabilidade, permanecendo aplicáveis as medidas mitigatórias e o monitoramento contínuo até que nova solução permanente possa ser implementada.

### 12.6 Diretrizes Gerais

A implementação das correções permanentes observará, como diretriz geral, os seguintes critérios:

| Situação                                                     | Diretriz                                                                                            |
| ------------------------------------------------------------ | --------------------------------------------------------------------------------------------------- |
| Correção permanente disponível e compatível                  | Implementação conforme planejamento técnico da Blazon.                                              |
| Correção dependente de homologação                           | Realização das validações técnicas antes da implantação em ambiente produtivo.                      |
| Correção com potencial impacto operacional relevante         | Avaliação dos riscos e definição da estratégia de implantação mais adequada.                        |
| Correção dependente de fornecedor de componente de terceiros | Implementação após validação da solução disponibilizada pelo fornecedor.                            |
| Correção implementada                                        | Validação da efetividade da correção e reavaliação das medidas mitigatórias anteriormente adotadas. |

### 12.7 Princípio Geral

A implementação de correções permanentes integra o processo contínuo de gestão de vulnerabilidades da Plataforma Blazon e representa a estratégia preferencial para eliminação definitiva das vulnerabilidades sempre que sua adoção for tecnicamente viável.

As decisões relacionadas à implementação das correções observarão critérios técnicos, operacionais e de risco, buscando preservar simultaneamente a segurança, a estabilidade, a compatibilidade e a continuidade operacional da Plataforma Blazon.

A Blazon prioriza a implementação de correções permanentes sempre que estas representarem a alternativa mais segura e tecnicamente adequada para eliminação do risco identificado. Entretanto, sua adoção será precedida pelas avaliações necessárias para assegurar que a própria atualização não introduza riscos superiores aos decorrentes da vulnerabilidade originalmente identificada.

A gestão eficaz de vulnerabilidades pressupõe o equilíbrio entre segurança, estabilidade, compatibilidade e continuidade operacional. Por essa razão, a implementação de correções permanentes será sempre conduzida de forma planejada, proporcional ao risco efetivamente identificado e alinhada às características técnicas da Plataforma Blazon.

## 13. Comunicação

A comunicação das vulnerabilidades de segurança constitui parte integrante do processo de gestão de vulnerabilidades da Plataforma Blazon e tem como objetivo assegurar que as partes interessadas recebam informações suficientes para o exercício de suas responsabilidades, preservando simultaneamente a segurança da plataforma, a confidencialidade das informações e a efetividade das medidas de tratamento adotadas.

A estratégia de comunicação observará os princípios estabelecidos nesta política e será definida de forma proporcional ao risco efetivamente identificado, às características da vulnerabilidade e às necessidades operacionais envolvidas.

### 13.1 Objetivos da Comunicação

A comunicação relacionada às vulnerabilidades de segurança destina-se a:

* informar as partes interessadas sobre riscos relevantes relacionados à Plataforma Blazon;
* orientar a adoção das medidas sob responsabilidade da Contratante, quando aplicável;
* comunicar a disponibilidade de medidas mitigatórias, controles compensatórios ou correções permanentes;
* apoiar a adequada gestão dos riscos pelas partes envolvidas;
* preservar a transparência do processo de gestão de vulnerabilidades.

### 13.2 Critérios para Comunicação

A definição da estratégia de comunicação observará, entre outros, os seguintes critérios:

* classificação do risco;
* aplicabilidade da vulnerabilidade à Plataforma Blazon;
* necessidade de atuação da Contratante;
* impacto potencial para os clientes;
* existência de exploração ativa conhecida;
* disponibilidade de medidas mitigatórias ou correções permanentes;
* necessidade de preservação da confidencialidade durante o tratamento da vulnerabilidade.

A comunicação poderá ocorrer antes, durante ou após a implementação das medidas de tratamento, conforme avaliação realizada pela Blazon.

### 13.3 Destinatários

Conforme a natureza da vulnerabilidade e as responsabilidades envolvidas, as comunicações poderão ser direcionadas a:

* Contratantes;
* parceiros autorizados;
* responsáveis técnicos indicados pela Contratante;
* fornecedores envolvidos no tratamento da vulnerabilidade;
* demais partes cuja atuação seja necessária para adequada gestão do risco.

### 13.4 Conteúdo das Comunicações

Sempre que aplicável, as comunicações poderão conter:

* descrição resumida da vulnerabilidade;
* componentes ou funcionalidades afetadas;
* avaliação do risco realizada pela Blazon;
* medidas mitigatórias recomendadas;
* orientações operacionais;
* disponibilidade de correções permanentes;
* ações esperadas da Contratante, quando houver.

As informações serão disponibilizadas na extensão necessária para que cada parte exerça adequadamente suas responsabilidades, observados os princípios da necessidade, proporcionalidade e confidencialidade.

### 13.5 Confidencialidade

A Blazon poderá restringir a divulgação de informações técnicas sempre que sua divulgação puder:

* ampliar a possibilidade de exploração da vulnerabilidade;
* comprometer a segurança da Plataforma Blazon;
* afetar outros clientes;
* prejudicar o processo de tratamento da vulnerabilidade;
* envolver informações protegidas por obrigações legais, contratuais ou de confidencialidade.

Nessas situações, serão compartilhadas apenas as informações consideradas necessárias para adequada gestão do risco pelas partes envolvidas.

### 13.6 Divulgação Pública

A divulgação pública de informações relacionadas às vulnerabilidades de segurança será realizada exclusivamente quando considerada adequada pela Blazon ou quando exigida por obrigação legal, regulatória ou contratual.

Sempre que possível, a divulgação ocorrerá somente após a implementação das medidas necessárias para redução dos riscos associados à vulnerabilidade.

### 13.7 Diretrizes Gerais

A comunicação observará, como diretriz geral, os seguintes critérios:

| Situação                                                     | Diretriz                                                                                                                |
| ------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------- |
| Vulnerabilidade sem impacto efetivo para a Plataforma Blazon | Não há obrigação de comunicação específica.                                                                             |
| Vulnerabilidade que exige atuação da Contratante             | A Contratante será comunicada com as orientações necessárias para cumprimento de suas responsabilidades.                |
| Disponibilização de correção permanente                      | Poderão ser comunicadas as orientações necessárias para atualização ou adoção das medidas cabíveis.                     |
| Vulnerabilidade em tratamento                                | Serão compartilhadas apenas as informações necessárias para gestão do risco.                                            |
| Divulgação pública                                           | Será realizada apenas quando compatível com a segurança da Plataforma Blazon e com os interesses das partes envolvidas. |

### 13.8 Princípio Geral

A comunicação das vulnerabilidades de segurança será conduzida de forma responsável, proporcional ao risco identificado e compatível com as responsabilidades atribuídas a cada parte.

A Blazon buscará sempre fornecer informações suficientes para que clientes, parceiros e demais partes interessadas possam exercer adequadamente suas responsabilidades, evitando, entretanto, a divulgação de detalhes técnicos que possam ampliar a superfície de risco da Plataforma Blazon, comprometer a efetividade das medidas de tratamento ou afetar a segurança de seus clientes.

A existência de uma vulnerabilidade não implica, por si só, obrigação de comunicação individualizada ou divulgação pública. A estratégia de comunicação será definida pela Blazon com base na avaliação de risco realizada, na necessidade de atuação das partes envolvidas e nos princípios estabelecidos nesta política.

## 14. Gestão de Exceções

A gestão de vulnerabilidades da Plataforma Blazon observará, como regra geral, os processos, critérios e diretrizes estabelecidos nesta política.

Entretanto, circunstâncias excepcionais poderão demandar a adoção de procedimentos distintos daqueles normalmente previstos, desde que tecnicamente justificados, devidamente documentados e compatíveis com os princípios de gestão de riscos estabelecidos nesta política.

A existência de uma exceção não afasta a aplicação desta política, devendo apenas adequar sua aplicação às circunstâncias específicas da ocorrência.

### 14.1 Situações Excepcionais

Poderão justificar a adoção de procedimentos excepcionais, entre outras, as seguintes situações:

* vulnerabilidades exploradas ativamente ou classificadas como Zero-Day;
* indisponibilidade temporária de correções permanentes ou medidas mitigatórias eficazes;
* dependência exclusiva de fornecedor de componente de terceiros;
* necessidade de preservação da continuidade operacional da Plataforma Blazon;
* riscos decorrentes da implementação imediata de determinada atualização;
* atendimento a obrigações legais, regulatórias ou determinações de autoridades competentes;
* incidentes de segurança que demandem resposta emergencial;
* indisponibilidade de recursos técnicos indispensáveis para implementação da estratégia originalmente prevista;
* quaisquer outras situações em que a aplicação integral do fluxo previsto nesta política represente risco superior ao risco efetivamente identificado.

### 14.2 Avaliação das Exceções

Toda exceção deverá ser precedida de avaliação técnica destinada a verificar sua necessidade, proporcionalidade e impactos para a Plataforma Blazon.

Essa avaliação poderá compreender, entre outros aspectos:

* justificativa técnica para adoção da exceção;
* riscos decorrentes da decisão;
* medidas mitigatórias ou controles compensatórios eventualmente necessários;
* responsabilidades das partes envolvidas;
* definição dos critérios para revisão da exceção.

Sempre que aplicável, as exceções permanecerão vigentes apenas enquanto persistirem as condições que motivaram sua adoção.

### 14.3 Revisão das Exceções

As exceções adotadas serão reavaliadas sempre que ocorrer qualquer alteração capaz de modificar as condições que justificaram sua aplicação, incluindo:

* disponibilização de correção permanente;
* alteração da classificação do risco;
* disponibilização de novas medidas mitigatórias;
* alteração da arquitetura da Plataforma Blazon;
* evolução das informações técnicas relacionadas à vulnerabilidade;
* alteração das condições operacionais;
* qualquer outro fator relevante para a gestão do risco.

Sempre que deixarem de existir as circunstâncias que justificaram a exceção, o tratamento da vulnerabilidade retornará ao fluxo regular estabelecido nesta política.

### 14.4 Registro e Rastreabilidade

Toda exceção deverá ser formalmente registrada, contendo, sempre que aplicável:

* descrição da vulnerabilidade;
* justificativa técnica;
* avaliação dos riscos envolvidos;
* medidas de tratamento adotadas;
* responsável pela decisão;
* data da aprovação da exceção;
* critérios para revisão ou encerramento.

Os registros integrarão o processo de gestão de vulnerabilidades da Blazon e poderão ser utilizados para fins de governança, auditoria, conformidade e melhoria contínua.

### 14.5 Relação com a Gestão de Riscos

A adoção de uma exceção não implica interrupção da gestão da vulnerabilidade nem afasta a necessidade de monitoramento contínuo do risco.

Sempre que a estratégia excepcional envolver a adoção de medidas mitigatórias, correções permanentes, priorização diferenciada ou aceitação formal do risco, deverão ser observados os critérios específicos estabelecidos nos capítulos correspondentes desta política.

### 14.6 Diretrizes Gerais

As exceções observarão, como diretriz geral, os seguintes princípios:

| Situação                                             | Diretriz                                                                                               |
| ---------------------------------------------------- | ------------------------------------------------------------------------------------------------------ |
| Correção permanente temporariamente inviável         | Avaliar estratégias alternativas de tratamento até que a implementação se torne tecnicamente adequada. |
| Dependência de fornecedor de componente de terceiros | Manter a gestão do risco e revisar periodicamente a estratégia adotada.                                |
| Atualização com elevado impacto operacional          | Avaliar alternativas que preservem simultaneamente a segurança e a continuidade operacional.           |
| Incidente de segurança em andamento                  | Priorizar ações de contenção e estabilização do ambiente antes da retomada do fluxo regular.           |
| Alteração das condições que motivaram a exceção      | Revisar imediatamente a decisão e retornar ao fluxo padrão sempre que possível.                        |

### 14.7 Princípio Geral

As exceções constituem mecanismo de governança destinado a assegurar que o processo de gestão de vulnerabilidades permaneça eficaz mesmo diante de situações extraordinárias, limitações técnicas ou circunstâncias não previstas.

Toda exceção deverá ser **tecnicamente justificada, formalmente documentada, proporcional ao risco identificado e periodicamente reavaliada**, não constituindo precedente para futuras decisões nem alterando os princípios estabelecidos nesta política.

A adoção de procedimentos excepcionais não afasta a responsabilidade da Blazon pela gestão contínua dos riscos relacionados à Plataforma Blazon, devendo toda decisão buscar preservar, de forma equilibrada, a segurança da solução, a estabilidade operacional, a continuidade dos serviços e os interesses de seus clientes.

## 15. Responsabilidades e Limites de Atuação

A gestão de vulnerabilidades da Plataforma Blazon constitui um processo de responsabilidade compartilhada entre a Blazon, a Contratante e, quando aplicável, fornecedores de componentes de terceiros.

As responsabilidades atribuídas à Blazon no âmbito desta política restringem-se às atividades sob seu controle direto, observadas as características da Plataforma Blazon, os serviços contratados e as responsabilidades assumidas por cada parte.

A aplicação desta política não altera as obrigações contratuais existentes entre as partes, devendo sua interpretação ocorrer de forma complementar aos instrumentos contratuais vigentes.

### 15.1 Responsabilidades da Blazon

Compete à Blazon, no âmbito desta política:

* manter processo estruturado de gestão de vulnerabilidades;
* realizar avaliação técnica das vulnerabilidades identificadas;
* definir estratégias de tratamento compatíveis com o risco identificado;
* implementar medidas mitigatórias ou correções permanentes quando aplicável;
* comunicar as partes interessadas, conforme os critérios estabelecidos nesta política;
* manter processo contínuo de monitoramento e revisão das vulnerabilidades.

### 15.2 Responsabilidades da Contratante

Compete à Contratante, quando aplicável:

* manter os ambientes sob sua responsabilidade em conformidade com os requisitos técnicos estabelecidos pela Blazon;
* implementar as atualizações, configurações e orientações cuja execução seja de sua responsabilidade;
* comunicar vulnerabilidades identificadas por meio dos canais oficiais disponibilizados pela Blazon;
* preservar a integridade de seu ambiente operacional;
* colaborar durante o processo de investigação sempre que necessário.

O não atendimento dessas responsabilidades poderá comprometer a efetividade das medidas previstas nesta política.

### 15.3 Componentes e Serviços de Terceiros

A Plataforma Blazon poderá utilizar componentes, bibliotecas, frameworks, sistemas operacionais, bancos de dados, serviços e demais tecnologias desenvolvidas por terceiros.

Nessas situações:

* a Blazon permanecerá responsável pela gestão do risco relacionado à utilização desses componentes na Plataforma Blazon;
* a disponibilização de correções permanentes poderá depender exclusivamente do respectivo fornecedor;
* a implementação dessas correções observará os critérios técnicos estabelecidos nesta política.

### 15.4 Ambientes sob Responsabilidade da Contratante

Quando a Plataforma Blazon estiver instalada em ambientes administrados pela Contratante ou por terceiros por ela contratados, a efetividade das medidas previstas nesta política dependerá também da adequada administração desses ambientes.

A Blazon não poderá ser responsabilizada por riscos decorrentes de:

* utilização de versões não suportadas;
* alterações não autorizadas na arquitetura da solução;
* configurações incompatíveis com as recomendações técnicas da Blazon;
* ausência de atualizações cuja implementação seja de responsabilidade da Contratante;
* indisponibilidade ou comprometimento de infraestrutura administrada por terceiros.

### 15.5 Limitações Técnicas

Determinadas vulnerabilidades poderão depender de fatores que extrapolam o controle direto da Blazon, incluindo:

* componentes desenvolvidos por terceiros;
* indisponibilidade de correções permanentes;
* restrições técnicas impostas por fabricantes;
* requisitos de compatibilidade entre componentes;
* limitações inerentes às tecnologias utilizadas.

Nessas situações, a Blazon adotará as estratégias de gestão de risco previstas nesta política, sem que a inexistência de solução definitiva caracterize descumprimento das obrigações assumidas.

### 15.6 Limitações da Política

Esta política estabelece os princípios e diretrizes para gestão de vulnerabilidades relacionadas à Plataforma Blazon.

Não constituem objeto desta política:

* vulnerabilidades decorrentes de produtos ou serviços não fornecidos pela Blazon;
* falhas decorrentes de utilização da Plataforma em desacordo com sua documentação oficial;
* alterações realizadas por terceiros sem autorização da Blazon;
* vulnerabilidades originadas exclusivamente em ambientes cuja administração seja de responsabilidade da Contratante ou de terceiros.

Essas situações poderão ser tratadas por outros instrumentos contratuais ou políticas específicas, quando aplicável.

### 15.7 Princípio Geral

A gestão de vulnerabilidades constitui uma atividade contínua de redução de riscos, não sendo tecnicamente possível assegurar a inexistência absoluta de vulnerabilidades em qualquer sistema computacional.

A Blazon compromete-se a manter processo estruturado, contínuo e baseado em risco para identificação, avaliação, priorização, tratamento e monitoramento das vulnerabilidades relacionadas à Plataforma Blazon, observadas as responsabilidades atribuídas a cada parte.

A efetividade desse processo depende da atuação colaborativa entre a Blazon, a Contratante e, quando aplicável, fornecedores de componentes de terceiros, respeitados os limites técnicos, operacionais e contratuais inerentes ao desenvolvimento, implantação e operação de software.

## 16. Revisão e Melhoria Contínua

A gestão de vulnerabilidades da Plataforma Blazon constitui um processo contínuo e evolutivo, devendo ser permanentemente aperfeiçoado em razão da evolução tecnológica, do surgimento de novas ameaças, das alterações na arquitetura da Plataforma Blazon, da evolução dos requisitos regulatórios e das experiências obtidas durante sua aplicação.

A Blazon manterá mecanismos destinados à revisão periódica de seu Programa de Gestão de Vulnerabilidades, incluindo seus processos, critérios técnicos, controles, práticas operacionais e desta política, buscando assegurar sua efetividade, aderência às melhores práticas de segurança da informação e compatibilidade com a evolução da Plataforma Blazon.

A melhoria contínua constitui um dos princípios de governança desta política e será conduzida de forma proporcional aos riscos identificados e às necessidades da organização.

### 16.1 Objetivos

A revisão e a melhoria contínua têm como objetivos:

* assegurar a efetividade do Programa de Gestão de Vulnerabilidades;
* promover a evolução contínua dos processos de identificação, avaliação, priorização, tratamento e monitoramento das vulnerabilidades;
* incorporar a evolução das melhores práticas de segurança da informação;
* adequar os processos às mudanças tecnológicas da Plataforma Blazon;
* fortalecer continuamente a governança de segurança da informação da Blazon.

### 16.2 Critérios para Revisão

O Programa de Gestão de Vulnerabilidades e esta política poderão ser revistos, total ou parcialmente, sempre que ocorrer qualquer circunstância capaz de impactar sua aplicabilidade ou efetividade, incluindo, entre outras:

* evolução da Plataforma Blazon;
* alterações arquiteturais relevantes;
* surgimento de novas ameaças ou técnicas de exploração;
* alterações em normas, regulamentações ou requisitos legais;
* evolução das melhores práticas de segurança da informação;
* alterações nos processos internos da Blazon;
* resultados de auditorias, avaliações internas ou revisões de conformidade;
* incidentes de segurança ou vulnerabilidades que indiquem oportunidades de aprimoramento;
* lições aprendidas durante a operação do Programa de Gestão de Vulnerabilidades.

A revisão não dependerá exclusivamente de alterações normativas, podendo ocorrer sempre que a Blazon considerar necessário para manutenção da efetividade de seus processos.

### 16.3 Melhoria Contínua

A Blazon buscará continuamente identificar oportunidades de aperfeiçoamento relacionadas ao seu Programa de Gestão de Vulnerabilidades.

Essas melhorias poderão abranger, entre outros aspectos:

* metodologias de avaliação de riscos;
* critérios de classificação e priorização;
* processos de tratamento das vulnerabilidades;
* mecanismos de comunicação;
* controles de segurança;
* ferramentas utilizadas;
* processos de monitoramento;
* integração com outros processos de segurança da informação;
* práticas de governança e gestão.

Toda melhoria será implementada de forma planejada, considerando seus impactos técnicos, operacionais e organizacionais.

### 16.4 Avaliação da Efetividade

A efetividade do Programa de Gestão de Vulnerabilidades poderá ser avaliada periodicamente por meio de mecanismos como:

* auditorias internas ou externas;
* avaliações técnicas;
* revisões de processos;
* indicadores de desempenho;
* análises de vulnerabilidades tratadas;
* análise de incidentes de segurança;
* revisões de conformidade;
* lições aprendidas.

Os resultados dessas avaliações poderão subsidiar o aperfeiçoamento dos processos e a atualização desta política.

### 16.5 Integração com a Governança

A evolução do Programa de Gestão de Vulnerabilidades poderá resultar na revisão ou atualização de outros documentos que compõem o framework de governança da Blazon, incluindo, quando aplicável:

* políticas corporativas;
* normas internas;
* procedimentos operacionais;
* padrões técnicos;
* documentação da Plataforma Blazon;
* demais documentos relacionados à segurança da informação.

Sempre que houver conflito entre documentos, prevalecerá o documento mais específico ou sua versão mais recente, conforme os critérios de governança estabelecidos pela Blazon.

### 16.6 Princípio Geral

A gestão eficaz de vulnerabilidades depende da capacidade permanente de adaptação às mudanças tecnológicas, à evolução das ameaças, às necessidades dos clientes e às melhores práticas de segurança da informação.

Por essa razão, a Blazon compromete-se a manter seu Programa de Gestão de Vulnerabilidades em constante evolução, revisando periodicamente seus processos, aperfeiçoando seus controles e fortalecendo continuamente seus mecanismos de governança.

A melhoria contínua representa um compromisso permanente da Blazon com a evolução de seu Programa de Gestão de Vulnerabilidades. Mais do que revisar documentos, a Blazon busca aperfeiçoar continuamente seus processos, tecnologias, controles e práticas de governança, assegurando que a gestão de vulnerabilidades permaneça eficaz, proporcional aos riscos identificados e alinhada à evolução da Plataforma Blazon e às melhores práticas de segurança da informação.

## 17. Disposições Gerais

A presente Política de Gestão de Vulnerabilidades estabelece os princípios, diretrizes e critérios adotados pela Blazon para identificação, avaliação, priorização, tratamento, monitoramento e comunicação das vulnerabilidades relacionadas à Plataforma Blazon.

Sua aplicação deverá ser realizada de forma integrada aos demais documentos que compõem o framework de governança da Blazon, observando sempre os princípios de gestão de riscos, segurança da informação, continuidade operacional e melhoria contínua.

### 17.1 Interpretação

Esta política deverá ser interpretada de forma sistemática, considerando seus objetivos, princípios e demais documentos de governança da Blazon.

As disposições aqui estabelecidas não deverão ser analisadas isoladamente, devendo sua aplicação observar o contexto técnico, operacional e contratual de cada situação.

Sempre que houver necessidade de interpretação técnica, prevalecerá aquela que melhor preserve a segurança da Plataforma Blazon, a continuidade operacional dos serviços e os princípios estabelecidos nesta política.

### 17.2 Documentos Relacionados

Esta política integra o framework de governança da Blazon e poderá ser complementada por outros documentos, incluindo, entre outros:

* políticas corporativas;
* normas internas;
* procedimentos operacionais;
* padrões técnicos;
* documentação da Plataforma Blazon;
* contratos e instrumentos firmados com clientes e parceiros.

Sempre que necessário, esses documentos poderão estabelecer regras específicas para determinados processos, produtos ou serviços.

### 17.3 Conflito entre Documentos

Na hipótese de conflito entre esta política e outros documentos da Blazon, prevalecerá, como regra geral:

1. a legislação aplicável;
2. os contratos ou instrumentos formalmente celebrados entre as partes, quando estabelecerem condições específicas;
3. a política ou norma específica aplicável ao tema tratado;
4. esta Política de Gestão de Vulnerabilidades;
5. os procedimentos operacionais e demais documentos de apoio.

Sempre que houver dúvida quanto à aplicação das disposições, a Blazon realizará a interpretação mais adequada aos princípios de governança, gestão de riscos e segurança da informação.

### 17.4 Revisões

Esta política poderá ser revisada, atualizada ou substituída a qualquer tempo, observados os critérios estabelecidos no capítulo **Revisão e Melhoria Contínua**.

As novas versões substituirão integralmente as versões anteriores a partir de sua entrada em vigor, salvo disposição expressa em contrário.

### 17.5 Casos Omissos

Os casos não previstos nesta política serão analisados pela Blazon com base:

* nos princípios estabelecidos neste documento;
* nas práticas de gestão de riscos adotadas pela organização;
* nas melhores práticas de segurança da informação;
* na legislação e regulamentação aplicáveis;
* nas características técnicas e operacionais da Plataforma Blazon.

A inexistência de previsão expressa nesta política não impede a adoção das medidas técnicas ou operacionais consideradas necessárias para adequada gestão das vulnerabilidades.

### 17.6 Vigência

Esta política entra em vigor na data de sua publicação e permanecerá vigente até sua revisão, substituição ou revogação formal pela Blazon.

As versões publicadas substituirão integralmente as versões anteriores, preservando-se, quando aplicável, os registros históricos para fins de rastreabilidade e governança documental.

### 17.7 Princípio Geral

A presente política representa o compromisso da Blazon com a manutenção de um Programa de Gestão de Vulnerabilidades estruturado, baseado em risco e alinhado às melhores práticas de segurança da informação.

Seu objetivo não é estabelecer regras imutáveis, mas fornecer um conjunto consistente de princípios, diretrizes e critérios que orientem a tomada de decisão diante da constante evolução das ameaças, das tecnologias e das necessidades de seus clientes.

A Blazon buscará continuamente aperfeiçoar seu Programa de Gestão de Vulnerabilidades, fortalecendo seus processos, controles e mecanismos de governança para assegurar que a gestão das vulnerabilidades permaneça eficaz, proporcional aos riscos identificados e compatível com a evolução da Plataforma Blazon.

## 18. Compromisso Institucional

A Blazon reconhece que a gestão de vulnerabilidades constitui um dos pilares fundamentais para a segurança da Plataforma Blazon e para a proteção dos ambientes, informações e operações de seus clientes.

Por essa razão, mantém um Programa de Gestão de Vulnerabilidades estruturado, baseado em risco e sustentado por processos de melhoria contínua, governança, transparência e responsabilidade.

A Blazon compromete-se a conduzir a identificação, avaliação, priorização, tratamento, monitoramento e comunicação das vulnerabilidades de forma proporcional aos riscos efetivamente identificados, observando sempre as melhores práticas de segurança da informação, a evolução tecnológica e as necessidades de seus clientes.

Reconhecendo que nenhum sistema computacional pode ser considerado absolutamente livre de vulnerabilidades, a Blazon direciona seus esforços para a gestão contínua dos riscos, buscando equilibrar permanentemente segurança, estabilidade, disponibilidade, compatibilidade e continuidade operacional da Plataforma Blazon.

Este compromisso representa a filosofia que orienta todas as decisões relacionadas ao Programa de Gestão de Vulnerabilidades da Blazon e reflete seu propósito permanente de evoluir continuamente seus processos, tecnologias, controles e práticas de governança, fortalecendo a confiança de clientes, parceiros e demais partes interessadas.

> **Esta política representa o compromisso da Blazon com a gestão responsável de vulnerabilidades e com a evolução contínua da segurança de sua plataforma.**
