Política de Privacidade

Última atualização: 3 de Maio de 2026 · Versão: 1.1
Alterações nesta versão: Política de Retenção de Dados (Seção 6) atualizada com prazos específicos por categoria de dados.

1. Controlador de Dados

A HackerSec Inovação em Cibersegurança Ltda., pessoa jurídica de direito privado, inscrita no CNPJ sob nº 34.960.944/0001-22, com sede na Avenida Ipanema, 165, Alphaville, Barueri, Estado de São Paulo, CEP 06472-002, Brasil ("HackerSec", "nós", "nos" ou "nosso"), é a controladora dos dados pessoais tratados por meio da plataforma HAS — HackerSec Advanced Security ("Plataforma").

Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos e protegemos seus dados pessoais quando você utiliza a Plataforma, nosso site, ou interage conosco de qualquer forma. Ao acessar ou utilizar nossos serviços, você confirma que leu e compreendeu esta Política.

A HackerSec se compromete a tratar dados pessoais de forma transparente, adequada e limitada às necessidades dos serviços prestados, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a California Consumer Privacy Act (CCPA/CPRA), e demais legislações aplicáveis.

2. Dados Coletados

2.1. Dados Fornecidos pelo Usuário

Coletamos os seguintes dados pessoais quando você se cadastra, utiliza a Plataforma ou entra em contato conosco:

  • Dados de identificação: nome completo, endereço de e-mail corporativo, número de telefone/WhatsApp
  • Dados da organização: razão social, CNPJ/EIN/VAT ID, endereço comercial, setor de atuação
  • Dados de conta: nome de usuário, senha (armazenada em hash criptográfico), preferência de idioma, fuso horário
  • Dados de pagamento: processados diretamente por processador de pagamentos terceirizado em conformidade com o padrão PCI-DSS. Não armazenamos números de cartão de crédito, dados bancários ou chaves PIX em nossos servidores
  • Dados de teste: URLs, endereços IP, descrições de escopo, credenciais de teste (fornecidas voluntariamente para execução dos testes de segurança), documentação técnica
  • Comunicações: conteúdo de mensagens trocadas via Plataforma, e-mails, tickets de suporte e chamadas

2.2. Dados Coletados Automaticamente

Ao acessar a Plataforma, coletamos automaticamente:

  • Dados de acesso: endereço IP, tipo e versão do navegador, sistema operacional, provedor de internet
  • Dados de uso: páginas visitadas, funcionalidades utilizadas, data e hora de acesso, duração da sessão, cliques e interações
  • Dados de dispositivo: identificadores de dispositivo, resolução de tela, idioma do navegador
  • Dados de localização: localização aproximada derivada do endereço IP (não utilizamos geolocalização precisa)

2.3. Dados Gerados Durante os Serviços

No decorrer da prestação de serviços de teste de segurança, os seguintes dados podem ser gerados:

  • Relatórios de vulnerabilidade: descrições técnicas, classificações de severidade (CVSS), evidências, capturas de tela
  • Logs de teste: registros técnicos de ferramentas utilizadas, requisições realizadas, respostas obtidas
  • Dados incidentais: dados pessoais de terceiros que possam ser eventualmente encontrados durante os testes de segurança nos sistemas do Cliente

Importante: Dados incidentais de terceiros encontrados durante testes são tratados com máxima confidencialidade, utilizados exclusivamente para fins de documentação do relatório de vulnerabilidade, e eliminados após a conclusão do teste, salvo obrigação legal de retenção.

3. Finalidades e Base Legal

Tratamos seus dados pessoais para as seguintes finalidades, com as respectivas bases legais conforme a LGPD:

Finalidade Base Legal (LGPD Art. 7º)
Criação e gestão de conta na Plataforma Execução de contrato (Art. 7º, V)
Prestação de serviços de teste de segurança Execução de contrato (Art. 7º, V)
Processamento de pagamentos e faturamento Execução de contrato (Art. 7º, V)
Comunicação sobre o serviço (notificações, alertas, suporte) Execução de contrato (Art. 7º, V)
Envio de comunicações comerciais e marketing Consentimento (Art. 7º, I) ou Legítimo interesse (Art. 7º, IX)
Melhoria da Plataforma e desenvolvimento de novos recursos Legítimo interesse (Art. 7º, IX)
Prevenção de fraudes e segurança da Plataforma Legítimo interesse (Art. 7º, IX)
Cumprimento de obrigações legais e regulatórias Cumprimento de obrigação legal (Art. 7º, II)
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais Exercício regular de direitos (Art. 7º, VI)
Proteção do crédito Proteção do crédito (Art. 7º, X)

Quando o tratamento for baseado em consentimento, você poderá revogá-lo a qualquer momento, sem prejuízo da legalidade do tratamento realizado anteriormente. A revogação pode ser solicitada por meio dos canais de contato indicados na Seção 17.

4. Compartilhamento de Dados

A HackerSec pode compartilhar seus dados pessoais com as seguintes categorias de destinatários, sempre sob obrigações de confidencialidade e proteção de dados adequadas:

4.1. Prestadores de Serviço (Operadores/Processadores)

  • Provedor de processamento de pagamentos — transações financeiras (cartão, PIX, boleto), em conformidade com PCI-DSS
  • Provedor de cloud — infraestrutura, hospedagem e processamento
  • Provedor de CDN/WAF — proteção contra DDoS, distribuição de conteúdo e firewall de aplicação
  • Provedor de e-mail transacional — envio de notificações e comunicações
  • Provedor de IA/LLM — modelos de inteligência artificial com controles restritos de retenção

A categorização de subprocessadores acima cobre as finalidades do tratamento. A lista nominal específica está disponível em página dedicada e pode ser obtida em forma detalhada mediante assinatura de NDA. Informações adicionais podem ser solicitadas por meio dos canais indicados na Seção 17.

4.2. Pentesters Autorizados

Pentesters que executam os testes de segurança recebem acesso limitado e estritamente necessário aos dados do teste (escopo, URLs, credenciais de teste). Todos os pentesters estão sujeitos a obrigações de confidencialidade e não-divulgação equivalentes às da HackerSec.

4.3. Autoridades e Obrigações Legais

Podemos compartilhar dados pessoais quando exigido por lei, ordem judicial, decisão administrativa, ou quando necessário para:

  • Cumprir obrigações legais ou regulatórias
  • Responder a processos judiciais ou solicitações de autoridades competentes
  • Proteger os direitos, a propriedade ou a segurança da HackerSec, de nossos Clientes ou do público
  • Detectar, prevenir ou investigar fraudes, incidentes de segurança ou atividades ilegais

4.4. Operações Societárias

Em caso de fusão, aquisição, reorganização societária ou venda de ativos, os dados pessoais poderão ser transferidos ao adquirente ou sucessor, que estará sujeito às mesmas obrigações desta Política de Privacidade.

Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins publicitários.

5. Transferência Internacional de Dados

Em razão da natureza dos serviços prestados e da infraestrutura tecnológica utilizada, seus dados pessoais podem ser transferidos e processados em países diferentes do seu país de residência, incluindo, mas não se limitando a, Estados Unidos da América.

Quando houver transferência internacional de dados pessoais, a HackerSec garante que serão adotadas salvaguardas adequadas, incluindo:

  • Cláusulas contratuais padrão aprovadas pela Autoridade Nacional de Proteção de Dados (ANPD) ou pela Comissão Europeia, conforme aplicável
  • Decisão de adequação emitida por autoridade competente, quando disponível
  • Certificações ou selos de proteção de dados reconhecidos
  • Medidas técnicas e organizacionais complementares para assegurar a proteção efetiva dos dados

Os subprocessadores que recebem dados pessoais em transferência internacional estão indicados na Seção 4.1 acima, com detalhes adicionais disponíveis mediante solicitação.

6. Retenção de Dados

A HackerSec retém dados pessoais pelo período necessário para cumprir as finalidades descritas nesta Política, observando os seguintes critérios:

Categoria de Dados Período de Retenção
Dados de conta e perfil de usuário Enquanto a conta estiver ativa, acrescido do período legal aplicável após o encerramento
Relatórios de teste e evidências (incluindo POCs) Até 7 anos após a conclusão do teste
Logs operacionais e de auditoria Até 5 anos
Comunicações e tickets de suporte Até 5 anos após a resolução
Dados financeiros e fiscais Mínimo 5 anos, conforme Código Tributário Nacional (Art. 174)
Dados de marketing (consentimento) Até a revogação do consentimento pelo titular

Os prazos indicados acima representam o período máximo de retenção. Mediante solicitação do Cliente ou exercício de direitos do titular (Art. 18 da LGPD), os dados poderão ser eliminados antes do prazo, salvo quando a retenção for exigida por lei (notadamente para defesa em processo judicial, administrativo ou arbitral, conforme Art. 16 da LGPD).

Após o término do período de retenção, os dados pessoais serão eliminados de forma segura ou anonimizados irreversivelmente, salvo quando a retenção adicional for exigida ou autorizada por lei.

7. Direitos do Titular dos Dados

Você possui os seguintes direitos em relação aos seus dados pessoais, conforme garantido pela LGPD e demais legislações aplicáveis:

  • Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa, nos termos da regulamentação da ANPD. Para testes finalizados, a portabilidade será realizada mediante entrega de relatórios em formato PDF
  • Eliminação: solicitar a eliminação de dados tratados com base em consentimento
  • Informação sobre compartilhamento: obter informações sobre entidades públicas e privadas com as quais compartilhamos seus dados
  • Revogação do consentimento: revogar o consentimento a qualquer momento, quando o tratamento se basear nessa hipótese
  • Oposição: opor-se ao tratamento realizado com base em legítimo interesse, caso considere que há violação à LGPD
  • Revisão de decisão automatizada: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses

Para exercer qualquer destes direitos, entre em contato conosco pelos canais indicados na Seção 17. Responderemos às solicitações sem atraso indevido, dentro dos prazos estabelecidos pela legislação aplicável.

A HackerSec poderá solicitar informações adicionais para confirmar a identidade do solicitante antes de processar a requisição, como medida de segurança para proteção dos dados pessoais.

8. Cookies e Tecnologias de Rastreamento

8.1. O Que São Cookies

Cookies são pequenos arquivos de texto armazenados em seu dispositivo quando você acessa a Plataforma. Eles nos ajudam a proporcionar uma experiência melhor e mais personalizada.

8.2. Cookies Utilizados

Tipo Finalidade Duração
Essenciais Funcionamento da Plataforma, autenticação, segurança de sessão, preferência de idioma Sessão / até 1 ano
Funcionais Preferências do usuário, configurações de tema, estado de navegação Até 1 ano
Analíticos Análise de uso, métricas de desempenho, detecção de erros Até 2 anos

8.3. Gerenciamento de Cookies

Você pode gerenciar suas preferências de cookies diretamente nas configurações do seu navegador. A desativação de cookies essenciais pode afetar o funcionamento adequado da Plataforma. Não utilizamos cookies para fins publicitários de terceiros.

9. Segurança da Informação

A HackerSec implementa medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, incluindo:

  • Criptografia: dados em trânsito protegidos por TLS 1.2+ e dados sensíveis armazenados com criptografia em repouso
  • Controle de acesso: autenticação baseada em papéis (RBAC), princípio do menor privilégio, revisão periódica de permissões
  • Infraestrutura: hospedagem em provedores certificados (SOC 2, ISO 27001), proteção contra DDoS, firewalls de aplicação web (WAF)
  • Monitoramento: registro de logs de acesso, detecção de anomalias, alertas de segurança
  • Senhas: armazenamento exclusivamente em hash criptográfico unidirecional, nunca em texto plano
  • Rede: segmentação de rede, comunicações internas criptografadas, tunneling seguro para acessos administrativos
  • Pessoal: obrigações de confidencialidade para todos os colaboradores e prestadores, treinamento em proteção de dados
  • Backups: cópias de segurança regulares com criptografia, testadas periodicamente

Nenhum sistema é 100% seguro. Apesar de empregarmos esforços comercialmente razoáveis para proteger seus dados, não podemos garantir segurança absoluta contra todas as ameaças possíveis. Em caso de incidente, seguiremos o procedimento descrito na Seção 10.

10. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco relevante aos titulares de dados pessoais, a HackerSec:

  • Comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e/ou autoridade supervisora competente, sem atraso indevido, conforme exigido pela legislação aplicável
  • Comunicará os titulares de dados afetados, sem atraso indevido, quando o incidente puder acarretar risco elevado aos seus direitos e liberdades
  • Adotará medidas técnicas e organizacionais para mitigar os efeitos do incidente e prevenir recorrências
  • Documentará internamente todos os incidentes, independentemente de sua gravidade, incluindo natureza, efeitos e medidas adotadas

As comunicações sobre incidentes incluirão, no mínimo: natureza dos dados pessoais afetados, informações sobre os titulares envolvidos, medidas técnicas e de segurança adotadas, riscos relacionados, e medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente.

11. Processamento de Dados (Acordo de Processamento)

Esta seção estabelece os termos sob os quais a HackerSec processa dados pessoais em nome dos Clientes na execução dos serviços de teste de segurança, funcionando como Acordo de Processamento de Dados (DPA) integrado.

11.1. Papéis

  • O Cliente é o Controlador dos dados pessoais presentes em seus sistemas e aplicações submetidos a teste
  • A HackerSec é a Operadora/Processadora desses dados, processando-os exclusivamente conforme as instruções do Cliente e para a finalidade de prestação dos serviços contratados

11.2. Instruções de Processamento

A HackerSec processará dados pessoais do Cliente exclusivamente:

  • Conforme documentado nos Termos de Serviço e no escopo do teste definido na Plataforma
  • Conforme instruções adicionais fornecidas pelo Cliente por escrito
  • Conforme necessário para cumprimento de obrigação legal aplicável à HackerSec

Caso a HackerSec considere que uma instrução do Cliente viola a legislação de proteção de dados aplicável, informará o Cliente sem atraso indevido.

11.3. Subprocessadores

O Cliente autoriza a HackerSec a utilizar subprocessadores para a prestação dos serviços, desde que:

  • Os subprocessadores estejam vinculados por obrigações de proteção de dados equivalentes às desta Política
  • A HackerSec mantenha lista atualizada de subprocessadores, conforme Seção 4.1
  • A HackerSec notifique os Clientes sobre alterações na lista de subprocessadores, com antecedência razoável
  • A HackerSec permaneça responsável perante o Cliente pelos atos de seus subprocessadores

11.4. Medidas de Segurança

A HackerSec implementará as medidas técnicas e organizacionais descritas na Seção 9 para proteger os dados pessoais processados em nome do Cliente. Tais medidas serão continuamente revisadas e atualizadas conforme o estado da arte e os riscos envolvidos.

11.5. Conformidade e Certificações

A HackerSec demonstrará conformidade com suas obrigações de proteção de dados por meio de:

  • Certificações de segurança mantidas pela empresa ou seus provedores de infraestrutura
  • Relatórios de auditoria de terceiros independentes, quando disponíveis
  • Documentação de políticas e procedimentos internos de proteção de dados

11.6. Devolução e Eliminação

Ao término da prestação de serviços, a HackerSec:

  • Disponibilizará ao Cliente os relatórios finais em formato PDF
  • Eliminará dados pessoais do Cliente de seus sistemas após o período de retenção aplicável, salvo quando a retenção for exigida por lei
  • Mediante solicitação, fornecerá ao Cliente confirmação por escrito da eliminação dos dados

12. Disposições Específicas — Brasil (LGPD)

Para usuários localizados no Brasil, os seguintes direitos e disposições adicionais se aplicam em conformidade com a Lei nº 13.709/2018 (LGPD):

  • Você pode exercer todos os direitos previstos no Art. 18 da LGPD, conforme detalhado na Seção 7
  • Nosso Encarregado de Proteção de Dados (DPO) está identificado na Seção 17
  • Você tem direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) caso considere que o tratamento de seus dados viola a LGPD
  • A HackerSec mantém registro das operações de tratamento de dados pessoais conforme Art. 37 da LGPD
  • Em caso de tratamento baseado em legítimo interesse, a HackerSec elaborará relatório de impacto à proteção de dados quando exigido pela ANPD

ANPD — Autoridade Nacional de Proteção de Dados
Site: www.gov.br/anpd

13. Disposições Específicas — União Europeia (GDPR)

Para usuários localizados no Espaço Econômico Europeu (EEE), Reino Unido ou Suíça, os seguintes direitos e disposições adicionais se aplicam em conformidade com o GDPR:

  • Bases legais: além das bases legais indicadas na Seção 3, o tratamento pode se basear em consentimento (Art. 6(1)(a)), execução de contrato (Art. 6(1)(b)), obrigação legal (Art. 6(1)(c)) ou legítimo interesse (Art. 6(1)(f)) do GDPR
  • Direito de portabilidade: você tem direito a receber seus dados pessoais em formato estruturado, de uso comum e leitura automática (Art. 20 GDPR). Para serviços de pentest, isso será atendido mediante entrega de relatórios em formato PDF
  • Direito ao esquecimento: você pode solicitar a eliminação de seus dados pessoais nas hipóteses previstas no Art. 17 do GDPR
  • Direito de restrição: você pode solicitar a restrição do processamento nas hipóteses do Art. 18 do GDPR
  • Transferências internacionais: transferências para fora do EEE são realizadas com base em cláusulas contratuais padrão da Comissão Europeia (Art. 46(2)(c) GDPR) ou outra salvaguarda adequada
  • Reclamação: você tem direito a apresentar reclamação à autoridade supervisora de proteção de dados de seu país de residência

14. Disposições Específicas — Estados Unidos (CCPA/CPRA)

Para residentes da Califórnia e outros estados dos EUA com legislação de privacidade, os seguintes direitos se aplicam:

  • Direito de saber: você pode solicitar informações sobre as categorias e peças específicas de dados pessoais que coletamos sobre você
  • Direito de exclusão: você pode solicitar a exclusão de seus dados pessoais, sujeito a exceções legais
  • Direito de não discriminação: não discriminaremos você por exercer seus direitos de privacidade
  • Não vendemos dados pessoais: a HackerSec não vende e nunca vendeu dados pessoais de seus usuários, conforme definido pela CCPA/CPRA
  • Não compartilhamos para publicidade comportamental: não compartilhamos dados pessoais para fins de publicidade comportamental entre contextos (cross-context behavioral advertising)

Para exercer esses direitos, utilize os canais de contato indicados na Seção 17 ou envie sua solicitação para o e-mail indicado nessa seção.

15. Menores de Idade

A Plataforma e os serviços da HackerSec são destinados exclusivamente a pessoas maiores de 18 anos e representantes de organizações. Não coletamos intencionalmente dados pessoais de menores de 18 anos.

Se tomarmos conhecimento de que coletamos inadvertidamente dados pessoais de menores de 18 anos, adotaremos medidas razoáveis para eliminar tais dados o mais rápido possível. Se você tiver conhecimento de que um menor forneceu dados pessoais à HackerSec, entre em contato conosco imediatamente pelos canais indicados na Seção 17.

16. Alterações desta Política

A HackerSec pode atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, nos serviços oferecidos ou na legislação aplicável. Quando realizarmos alterações materiais:

  • Publicaremos a versão atualizada nesta página com a nova data de vigência
  • Notificaremos os Clientes ativos por e-mail ou notificação na Plataforma
  • Quando exigido por lei, solicitaremos novo consentimento antes que as alterações entrem em vigor

Recomendamos que você revise esta Política periodicamente. O uso continuado da Plataforma após a publicação de alterações constitui sua aceitação da Política atualizada.

17. Contato e Encarregado de Proteção de Dados (DPO)

Para questões relacionadas a esta Política de Privacidade, para exercer seus direitos como titular de dados, ou para entrar em contato com nosso Encarregado de Proteção de Dados (DPO), utilize os seguintes canais:

HackerSec Inovação em Cibersegurança Ltda.

Encarregado de Proteção de Dados (DPO): [email protected]

Atendimento Geral: [email protected]

Site: hackersec.com/contato

Endereço: Avenida Ipanema, 165, Alphaville, Barueri, SP, 06472-002, Brasil

Responderemos às solicitações sem atraso indevido, dentro dos prazos estabelecidos pela legislação aplicável.