01 Definições e interpretação

Para efeitos destes Termos, salvo se o contexto exigir interpretação distinta:

• "Plataforma" designa a aplicação web e a infraestrutura disponibilizadas em intruso.ai e respetivos subdomínios.
• "Serviços" designa o conjunto de funcionalidades de pentesting agêntico, incluindo reconhecimento automatizado, exploração simulada, geração de relatórios e armazenamento de evidências.
• "Agente" designa o agente autónomo de software operado pela Intruso, que executa as fases técnicas dos Serviços de forma supervisionada.
• "Ativos" designa os domínios, endpoints, hosts, aplicações, APIs ou outros recursos digitais que o Cliente adiciona à Plataforma para serem testados.
• "Âmbito" (In-Scope) designa o subconjunto de Ativos formalmente autorizados pelo Cliente para teste; Fora do Âmbito designa quaisquer outros recursos.
• "Engajamento" designa cada execução discreta dos Serviços contra um conjunto de Ativos In-Scope.
• "Resumo" designa a vista de síntese de cada Engajamento, disponibilizada sem custo direto, contendo o número e a severidade dos findings identificados, sem evidência reproduzível.
• "Relatório" designa o ficheiro de saída completo em formato JSON e a sua representação em consola, conforme o schema publicado em intruso.ai/schemas/report/1.0.0, incluindo, para cada finding, evidência reproduzível, payload, remediação detalhada e referências completas.
• "Informação Confidencial" designa toda a informação técnica, comercial, financeira ou operacional partilhada entre as Partes que não seja pública.

Os títulos têm finalidade meramente organizativa e não afetam a interpretação. Referências ao singular incluem o plural e vice-versa.

02 Prestação dos Serviços

A Intruso compromete-se a prestar os Serviços com diligência, competência e em conformidade com os padrões geralmente aceites na indústria de testes de segurança.

A natureza dos Serviços implica que o Agente possa, dentro dos Ativos In-Scope: (i) realizar pedidos automatizados em volume; (ii) tentar contornar mecanismos de autenticação e autorização; (iii) executar fuzzing parametrizado contra parâmetros de entrada e endpoints; (iv) explorar vulnerabilidades de forma controlada para confirmar a sua existência (evidência reproduzível). Estas atividades podem provocar mensagens de erro, alertas ou bloqueios temporários nos sistemas testados.

A Intruso não responde por interrupções, indisponibilidades, falsos positivos em sistemas de monitorização do Cliente, ou outros efeitos colaterais que decorram da execução normal e autorizada dos Serviços.

A Intruso poderá, a seu critério, suspender ou abortar um Engajamento se detetar risco de dano significativo aos Ativos ou a terceiros, devendo notificar o Cliente.

03 Pessoal autorizado e Agente Autónomo

A execução técnica dos Engajamentos é maioritariamente conduzida pelo Agente. A Intruso poderá afetar pessoal técnico interno ("Pessoal Autorizado") para supervisionar Engajamentos, rever findings, conduzir verificações adicionais e gerir incidentes.

O Pessoal Autorizado está vinculado a obrigações contratuais de confidencialidade. A Intruso responde pelos atos e omissões do seu Pessoal Autorizado e do Agente como se fossem seus.

O Cliente poderá solicitar, com fundamento legítimo, a substituição de membros do Pessoal Autorizado afetos a um seu Engajamento.

04 Condições de segurança

A Intruso aplica medidas técnicas e organizativas adequadas para proteger a Plataforma, os Ativos do Cliente e a Informação Confidencial, incluindo, sem prejuízo de outras: (a) cifra em trânsito com TLS 1.3 ou superior; (b) cifra em repouso; (c) isolamento lógico entre tenants; (d) controlo de acesso baseado em funções (RBAC) para acesso interno e a Relatórios desbloqueados.

O Cliente é responsável pela segurança das suas próprias credenciais de acesso à Plataforma e por reportar de imediato qualquer suspeita de uso não autorizado.

05 Resumos e Relatórios

Concluído cada Engajamento, o Resumo fica imediatamente disponível no portal da Plataforma, sem custo direto para o Cliente. O Relatório completo é disponibilizado mediante pagamento do valor de desbloqueio, conforme a Cláusula 07.

Quer o Resumo, quer o Relatório desbloqueado, ficam acessíveis no portal por um período mínimo de 12 meses a contar da conclusão do Engajamento.

Os Relatórios estão em conformidade com o schema público da Intruso e incluem, para cada finding, taxonomia CWE, pontuação CVSS 4.0, mapeamento OWASP Top 10 e ASVS, e técnicas MITRE ATT&CK aplicáveis.

A Intruso reserva-se o direito de armazenar e utilizar de forma agregada e anonimizada o conteúdo dos Engajamentos para fins de melhoria contínua do Agente, deteção de novas classes de vulnerabilidade e investigação de segurança. Esta utilização nunca permitirá identificar o Cliente, os seus Ativos ou a sua Informação Confidencial.

06 Uso aceitável dos Serviços

O Cliente declara e garante que, em relação a cada Ativo que adicione ao Âmbito de um Engajamento:

1. é o seu titular legítimo, ou dispõe de autorização escrita do titular para efetuar testes de segurança intrusivos;
2. cumpriu todas as obrigações de notificação aplicáveis perante fornecedores de cloud, hosting, gateway de pagamento ou outros terceiros cujos serviços possam ser afetados pelos testes (incluindo, quando aplicável, AWS, Google Cloud, Azure, Cloudflare, Stripe e equivalentes);
3. cumpre as leis aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei do Cibercrime (Lei n.º 109/2009) e a Lei n.º 46/2018, de 13 de agosto;
4. não utilizará os Serviços para testar infraestrutura crítica, sistemas governamentais ou ativos de terceiros sem o respetivo consentimento documentado;
5. reconhece que a execução autorizada dos Serviços não constitui acesso indevido, violação de dados, nem incidente de segurança nos termos do art. 33.º do RGPD;
6. não tentará interferir com o Agente, fazer engenharia reversa da Plataforma ou contornar limites de utilização.

O incumprimento de qualquer uma destas garantias constitui violação material destes Termos e poderá conduzir à suspensão imediata do acesso à Plataforma, sem direito a reembolso.

07 Preço e pagamento

Modelo de pagamento.A execução do Engajamento e a visualização do Resumo são oferecidas sem custo direto para o Cliente, sujeitas aos limites de utilização razoável que a Intruso possa publicar. O acesso ao Relatório completo — incluindo evidência reproduzível, payload, remediação detalhada e referências — exige o pagamento do valor de desbloqueio indicado no portal da Plataforma para cada Engajamento.

Preços e moeda. Todos os pagamentos são devidos em euros e processados antes do desbloqueio do Relatório. A Intruso poderá rever os preços de desbloqueio a qualquer momento, sem que tal afete Engajamentos cujo desbloqueio já tenha sido pago.

Não-reembolso. Concluído o pagamento e desbloqueado o Relatório, o pagamento é não cancelativo e não reembolsável, dado que o serviço — execução do Agente, geração de evidência reproduzível e disponibilização do conteúdo — foi integralmente prestado.

Falhas técnicas. Em caso de erro técnico atribuível à Intruso que impeça o acesso ao Relatório após pagamento, a Intruso compromete-se a reexecutar o Engajamento ou a reembolsar o valor pago, à escolha do Cliente.

08 Confidencialidade

Cada Parte compromete-se a tratar como confidencial toda a Informação Confidencial recebida da outra Parte, abstendo-se de a divulgar a terceiros e utilizando-a exclusivamente para a execução destes Termos. Esta obrigação subsiste por cinco (5) anos após a cessação da relação contratual, e indefinidamente quanto a segredos de negócio.

Não constitui Informação Confidencial:

• a informação publicamente disponível sem culpa da Parte recetora;
• a informação já legitimamente conhecida pela Parte recetora;
• a informação desenvolvida independentemente sem recurso à Informação Confidencial;
• a informação cuja divulgação seja imposta por autoridade competente.

A Intruso poderá utilizar Informação do Cliente em formato anonimizado e agregado conforme previsto na Cláusula 05.

09 Proteção de dados

A Intruso atua como responsável pelo tratamento dos dados pessoais dos utilizadores da Plataforma (titulares de conta, autorizados, contactos comerciais), nos termos da sua Política de Privacidade.

Quando, no contexto da prestação dos Serviços, a Intruso processe dados pessoais por conta do Cliente, designadamente dados que possam constar de evidências de findings, atuará na qualidade de subcontratante, sendo aplicável um Acordo de Tratamento de Dados (DPA) que se considera parte integrante destes Termos.

Ambas as Partes se comprometem a cumprir o RGPD e demais legislação aplicável em matéria de proteção de dados.

Subcontratantes. Para a prestação dos Serviços, a Intruso recorre aos seguintes subcontratantes:

• Supabase— alojamento da base de dados, autenticação e armazenamento (região UE).
• Vercel— alojamento da Plataforma e distribuição em edge.
• Stripe— processamento de pagamentos para o desbloqueio de Relatórios.

Cada subcontratante está vinculado a obrigações contratuais de proteção de dados pelo menos equivalentes às assumidas pela Intruso. A lista atualizada de subcontratantes é mantida no website.

10 Propriedade intelectual

A Plataforma, o Agente, o software, a documentação, os logos e a marca Intruso são propriedade exclusiva da Intruso. Estes Termos não conferem ao Cliente qualquer direito de propriedade sobre os referidos elementos, mas apenas uma licença pessoal, não exclusiva, intransmissível e revogável de utilização durante a vigência da subscrição.

Os Ativos, o seu conteúdo e os Relatórios produzidos sobre os Ativos são e permanecem propriedade do Cliente. A Intruso obtém uma licença mundial, não exclusiva, gratuita e perpétua para utilizar dados anonimizados e agregados extraídos dos Engajamentos, conforme a Cláusula 05.

11 Indemnização e limitação de responsabilidade

A Intruso indemnizará o Cliente em caso de reclamação fundada de terceiro alegando que a Plataforma viola direitos de propriedade intelectual, desde que o Cliente notifique a Intruso prontamente, lhe permita conduzir a defesa, e coopere razoavelmente.

O Cliente indemnizará a Intruso por quaisquer perdas, danos, sanções ou custos resultantes de: (a) Ativos colocados em Âmbito sem autorização legítima; (b) violação das declarações da Cláusula 06; (c) utilização indevida da Plataforma; (d) reclamações de terceiros titulares de Ativos não autorizados.

Salvo nos casos de dolo ou negligência grave e nos termos imperativos da lei, a responsabilidade global da Intruso, por todo e qualquer facto relacionado com estes Termos, fica limitada ao montante total efetivamente pago pelo Cliente nos doze (12) meses anteriores ao facto gerador.

A Intruso não responde, em caso algum, por lucros cessantes, perda de oportunidade, perda de reputação ou danos indiretos.

12 Força maior

Nenhuma das Partes será responsabilizada pelo incumprimento das suas obrigações resultante de evento de força maior, designadamente catástrofes naturais, guerra, sabotagem, ataque cibernético massivo dirigido a infraestrutura comum, ato de autoridade pública ou falha generalizada de telecomunicações ou energia.

A Parte afetada deverá notificar a outra no prazo de 5 dias úteis. Se o evento se prolongar por mais de 30 dias consecutivos, qualquer das Partes poderá fazer cessar o contrato sem penalização.

13 Alteração dos Termos

A Intruso poderá alterar estes Termos para refletir alterações legislativas, evolução dos Serviços ou outras razões legítimas. As alterações materiais serão notificadas ao Cliente por email e publicadas na Plataforma, com pré-aviso mínimo de 30 dias antes da entrada em vigor.

A continuação de utilização dos Serviços após a entrada em vigor constitui aceitação tácita das alterações. Se o Cliente não as aceitar, deverá fazer cessar a subscrição antes da data de entrada em vigor.

14 Vigência e cessação

Estes Termos vigoram desde a aceitação pelo Cliente e enquanto o Cliente mantiver uma conta ativa na Plataforma. Cada Engajamento e cada desbloqueio de Relatório constituem transações independentes, regidas por estes Termos enquanto a conta se mantiver ativa.

Cessação pelo Cliente. O Cliente pode encerrar a sua conta a qualquer momento. O encerramento não dá direito a reembolso de Relatórios já desbloqueados.

Cessação pela Intruso. A Intruso poderá suspender ou cessar o acesso, com notificação imediata e sem direito a reembolso, em caso de:

• violação das declarações da Cláusula 06;
• utilização que comprometa a integridade da Plataforma ou de terceiros;
• pagamento contestado, estornado ou cancelado pelo Cliente após desbloqueio do Relatório;
• imposição por autoridade competente.

Cessação por incumprimento. Qualquer das Partes poderá fazer cessar imediatamente os Termos em caso de:

• incumprimento material da outra Parte não sanado em 15 dias após interpelação;
• insolvência ou processo equivalente da outra Parte;
• condenação criminal da outra Parte por crime relacionado com a sua atividade.

Efeitos da cessação. Cessados os Termos, a Intruso eliminará os dados do Cliente da Plataforma no prazo de 30 dias, salvo obrigação legal de conservação. O Cliente é responsável por exportar os Relatórios já desbloqueados que pretenda conservar antes da cessação.

15 Cessão

Nenhuma das Partes poderá ceder a sua posição contratual sem o consentimento escrito da outra, que não será injustificadamente recusado. Não obstante, a Intruso poderá ceder a sua posição a entidade do mesmo grupo ou a terceiro que adquira substancialmente todo o negócio relacionado com a Plataforma, mediante mera notificação ao Cliente.

16 Garantias

Os Serviços são prestados "tal como estão" (as is). A Intruso garante que dispõe dos direitos necessários para conceder a licença prevista na Cláusula 10 e que prestará os Serviços em conformidade com os padrões correntes da indústria. Salvo o disposto nesta cláusula, a Intruso exclui todas as demais garantias, expressas ou implícitas, incluindo garantias de comerciabilidade, adequação a fim específico, ou de identificação exaustiva de vulnerabilidades.

A não identificação de uma determinada vulnerabilidade num Engajamento não constitui garantia da sua inexistência.

17 Notificações

A Intruso poderá comunicar com o Cliente por email registado na conta ou por aviso publicado na Plataforma. Considera-se que a comunicação eletrónica é eficaz no momento do envio.

As notificações formais ao abrigo destes Termos devem ser dirigidas a legal@intruso.ai ou à sede da Almeida & Futre, Lda., sita na Avenida da Europa, Lote 124 2D, 3510-900 Viseu. As notificações para o Cliente são dirigidas ao email da conta principal.

18 Lei aplicável e resolução de litígios

Estes Termos são regidos pela lei portuguesa. Para a resolução de qualquer litígio emergente da sua interpretação, validade ou execução, as Partes elegem o foro do Tribunal Judicial da Comarca de Lisboa, com exclusão de qualquer outro.

19 Disposições finais

Estes Termos, em conjunto com o Order Form aplicável, a Política de Privacidade e o DPA, constituem o acordo integral entre as Partes e prevalecem sobre quaisquer comunicações ou acordos anteriores relativos ao mesmo objeto.

A não exigência por uma das Partes do cumprimento de qualquer obrigação não constitui renúncia ao direito de a exigir posteriormente. Se alguma cláusula for considerada inválida ou ineficaz, as restantes mantêm-se em vigor.

As Partes atuam como contraentes independentes. Nada nestes Termos cria relação de mandato, sociedade, agência ou trabalho subordinado.