Esta Política de Privacidade descreve a forma como a Almeida & Futre, Lda., pessoa coletiva n.º 516 527 380, com sede na Avenida da Europa, Lote 124 2D, 3510-900 Viseu, Portugal (operadora da plataforma Intruso), recolhe, utiliza, conserva e protege os dados pessoais tratados no contexto da Plataforma e dos Serviços de pentesting agêntico. A Intruso atua como responsável pelo tratamento dos dados pessoais aqui descritos.

01 Quem somos

Responsável pelo tratamento:Almeida & Futre, Lda., NIF 516 527 380, com sede na Avenida da Europa, Lote 124 2D, 3510-900 Viseu, Portugal.

Para questões relacionadas com privacidade ou exercício de direitos sobre os seus dados, pode contactar-nos por email para legal@intruso.ai ou por correio para a morada acima.

02 Que dados pessoais tratamos e com que fundamento

Tratamos diferentes categorias de dados pessoais consoante a sua interação com a Plataforma. Para cada categoria, indicamos a finalidade e a base legal nos termos do art. 6.º do RGPD.

Dados de conta e autenticação

  • Categorias: nome, email, organização, palavra-passe (em hash), tokens de autenticação.
  • Finalidade: criar e gerir a conta, autenticar acessos, prestar os Serviços contratados.
  • Base legal: execução de contrato (art. 6.º/1/b).

Dados de utilização e logs

  • Categorias: endereço IP, agente de utilizador, páginas e ações no portal, timestamps.
  • Finalidade: segurança da Plataforma, prevenção de abuso, deteção de fraude, manutenção operacional.
  • Base legal: interesse legítimo (art. 6.º/1/f).

Dados de Engajamento e evidência

  • Categorias: URLs e endpoints de Ativos In-Scope, payloads enviados pelo Agente, respostas dos sistemas testados (que podem incluir dados pessoais incidentais expostos pela aplicação testada).
  • Finalidade: execução dos Serviços, geração de Resumos e Relatórios.
  • Base legal: execução de contrato. Quando os dados pessoais expostos pelas aplicações testadas sejam da responsabilidade do Cliente, a Intruso atua como subcontratante nos termos do art. 28.º do RGPD.

Dados de pagamento

  • Categorias: tokens de pagamento, últimos quatro dígitos do cartão, identificador de transação. Não armazenamos dados completos de cartão — estes são processados diretamente pela Stripe.
  • Finalidade: processar o desbloqueio de Relatórios e prevenir fraude.
  • Base legal: execução de contrato; cumprimento de obrigação legal (faturação).

Dados de comunicação e suporte

  • Categorias: email, conteúdo das mensagens trocadas com o suporte.
  • Finalidade: responder a pedidos, esclarecer questões, melhorar o serviço.
  • Base legal: execução de contrato; interesse legítimo.

03 Conservação e segurança

Conservamos os dados pessoais pelo período estritamente necessário às finalidades para que foram recolhidos:

  • Conta ativa: enquanto a conta existir;
  • Engajamentos, Resumos e Relatórios: 12 meses a contar da conclusão de cada Engajamento;
  • Logs operacionais: 12 meses por defeito;
  • Faturação e contabilidade: 10 anos, por imposição legal (Código do IVA, Código Comercial);
  • Dados de pagamento: enquanto necessários para reembolso, conciliação ou disputa, e para o cumprimento de obrigações legais.

Findos estes prazos, os dados são eliminados ou anonimizados de forma irreversível.

Aplicamos medidas técnicas e organizativas adequadas para proteger os dados pessoais, incluindo cifra em trânsito (TLS 1.3 ou superior), cifra em repouso, isolamento lógico entre tenants e controlo de acesso baseado em funções (RBAC).

04 Subcontratantes e partilha com terceiros

Para a prestação dos Serviços, a Intruso recorre aos seguintes subcontratantes, todos vinculados a obrigações contratuais de proteção de dados pelo menos equivalentes às assumidas pela Intruso:

  • Supabase— alojamento de base de dados, autenticação e armazenamento (região UE).
  • Vercel— alojamento da Plataforma e distribuição em edge.
  • Stripe— processamento de pagamentos para o desbloqueio de Relatórios; processador certificado PCI-DSS Nível 1.

A Intruso não vende dados pessoais a terceiros. Podemos divulgar dados:

  • a autoridades quando exigido por lei ou ordem judicial;
  • a assessores profissionais (advogados, contabilistas, auditores) sob obrigações de sigilo;
  • em caso de reorganização societária ou cessão de atividade, sempre com garantias equivalentes às da presente Política.

05 Transferências internacionais

Os dados pessoais são tratados preferencialmente em infraestruturas localizadas na União Europeia. Sempre que seja necessária a transferência para fora do Espaço Económico Europeu — designadamente quando um subcontratante opere infraestrutura global — garantimos um dos mecanismos previstos no art. 46.º do RGPD, nomeadamente:

  • Cláusulas Contratuais Tipo aprovadas pela Comissão Europeia; ou
  • Decisão de adequação aplicável ao país de destino.

06 Os seus direitos

Como titular dos dados pessoais, tem direito a:

  • Aceder aos seus dados e obter informação sobre o respetivo tratamento;
  • Retificar dados inexatos ou incompletos;
  • Apagaros seus dados ("direito ao esquecimento"), salvo quando exista fundamento legal para a sua conservação;
  • Limitar o tratamento em determinadas circunstâncias;
  • Opor-se a tratamentos baseados em interesse legítimo;
  • Portabilidade dos seus dados, em formato estruturado e legível por máquina, quando o tratamento se baseie em consentimento ou contrato e seja realizado por meios automatizados;
  • Retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento prévio;
  • Reclamar junto da autoridade de controlo competente (ver Cláusula 09).

Para exercer qualquer destes direitos, contacte legal@intruso.ai. Responderemos no prazo de 30 dias a contar da receção do pedido, podendo este prazo ser prorrogado por mais 60 dias em casos complexos, conforme o art. 12.º do RGPD.

07 Cookies

A Plataforma utiliza apenas cookies estritamente necessários ao seu funcionamento, designadamente para manter a sessão de autenticação e prevenir ataques de CSRF. Nos termos do art. 5.º/3 da Diretiva ePrivacy, estes cookies não dependem de consentimento prévio.

A Intruso não utiliza cookies de análise, publicidade ou de qualquer outro tipo que exija consentimento. Caso tal venha a alterar-se no futuro, esta Política será atualizada e o consentimento será solicitado nos termos legalmente exigidos.

Pode bloquear cookies através das definições do seu browser, embora tal possa afetar a funcionalidade da Plataforma.

08 Alterações a esta Política

Podemos atualizar esta Política para refletir alterações legislativas, novos serviços ou novos subcontratantes. As alterações materiais serão notificadas por email aos utilizadores registados, com pré-aviso mínimo de 30 dias antes da entrada em vigor. A data de última atualização indicada no topo desta página é sempre a versão em vigor.

09 Legislação aplicável e autoridade de controlo

O tratamento de dados pessoais rege-se pelo Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679 — RGPD), pela Lei n.º 58/2019, de 8 de agosto, e demais legislação portuguesa aplicável.

Sem prejuízo de qualquer outra via de recurso administrativa ou judicial, pode apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD):

  • Endereço: Av. D. Carlos I, 134, 1.º — 1200-651 Lisboa
  • Telefone: +351 213 928 400
  • Website: www.cnpd.pt

Dúvidas sobre privacidade? Contacte legal@intruso.ai.