Política de Privacidade

Esta Política de Privacidade explica como a True Hacking ("nós", "nosso") coleta, usa, compartilha e protege informações sobre você quando você usa a plataforma True Hacking em https://truehacking.ai (o "Serviço").

A True Hacking é a controladora dos dados responsável pelos seus dados pessoais sob a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) e as leis de privacidade internacionais aplicáveis.

Para questões de privacidade, incluindo o exercício dos seus direitos de titular, contate nosso Encarregado de Proteção de Dados (DPO) em support@truehacking.ai.

Coletamos informações em três categorias:

• Endereço de e-mail (usado como seu identificador de login)
• Senha (armazenada apenas como hash bcrypt; nunca vemos o texto puro)
• Nome completo e nome da organização opcionais que você fornece no cadastro
• Dados de perfil OAuth (nome, e-mail, URL da foto) se você entrar via Google ou GitHub
• Segredos de autenticação de dois fatores, se você ativar o 2FA

• Alvos de scan (domínios, IPs, URLs) que você adiciona aos projetos
• Metadados do projeto (nomes, descrições, rótulos de cliente)
• Notas de revisão manual, ajustes de severidade e textos de prova de conceito que você escreve nos achados
• Comprovações de titularidade de domínio (registros DNS TXT ou arquivos HTTP contendo tokens que emitimos)

• Dados de execução de scan: saídas de ferramentas, evidências normalizadas, achados correlacionados, resultados de enriquecimento por IA
• Logs de auditoria: eventos de autenticação, ações administrativas, acessos a dados (retidos conforme a configuração da plataforma, padrão 365 dias)
• Metadados de sessão: endereço IP, user agent, horários de login
• Registros de refresh-token (sessões revogadas são mantidas para fins de auditoria)

Sob a LGPD, cada categoria de tratamento exige uma base legal. Apoiamo-nos nas seguintes:

• Execução de contrato (Art. 7, V) — para operar o Serviço: autenticar você, executar os scans que você solicita, armazenar resultados, entregar relatórios.
• Consentimento (Art. 7, I) — para login OAuth via provedores terceiros e quaisquer comunicações de marketing futuras. Você pode retirar o consentimento a qualquer momento.
• Legítimo interesse (Art. 7, IX) — para manter logs de auditoria de segurança, detectar abusos, aplicar limites de taxa e cotas da plataforma e depurar incidentes em produção.
• Obrigação legal (Art. 7, II) — para cumprir requisitos de guarda de registros fiscais, civis e criminais quando aplicável.

Não vendemos seus dados. Compartilhamos apenas com prestadores de serviço estritamente necessários para operar a plataforma:

• Resend (provedor de e-mail transacional, EUA) — para entregar e-mails de redefinição de senha e notificações de segurança. Enviamos apenas seu endereço de e-mail e o corpo da mensagem.
• Infraestrutura de hospedagem — nossos servidores de aplicação e banco de dados rodam em infraestrutura de parceiros de hospedagem que assinaram os acordos de tratamento de dados adequados.
• Futuro processador de pagamentos — quando os planos pagos forem lançados, integraremos um provedor de pagamento; esta Política será atualizada para identificá-lo e você será notificado antes de qualquer coleta de dados de cobrança.

Divulgaremos dados às autoridades apenas quando obrigados por ordem judicial válida ou processo legal equivalente, e notificaremos você, salvo quando proibido por lei.

Alguns dos nossos prestadores (notadamente a Resend) operam fora do Brasil. Quando dados pessoais são transferidos internacionalmente, apoiamo-nos nas salvaguardas permitidas pelo Art. 33 da LGPD, incluindo cláusulas contratuais padrão e avaliações de proteção adequada das jurisdições receptoras.

• Dados de conta — enquanto sua conta estiver ativa. Excluídos em até 30 dias após a exclusão da conta, exceto quando se aplica retenção por obrigação legal.
• Dados de projeto (resultados de scan, achados, evidências) — retidos enquanto o projeto existir. Excluídos quando você apaga o projeto ou a conta.
• Logs de auditoria — retidos pelo período configurado na plataforma (padrão 365 dias) e então automaticamente expurgados por uma rotina diária.
• Arquivos de saída de ferramentas em disco — expurgados após 30 dias por padrão para evitar consumo ilimitado de disco.
• Refresh-tokens revogados — mantidos indefinidamente para fins de auditoria, anonimizados dos metadados de sessão após 90 dias.

Como titular dos dados, você tem os seguintes direitos sobre seus dados pessoais (LGPD Art. 18):

• Confirmação da existência de tratamento
• Acesso aos seus dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
• Portabilidade dos dados a outro fornecedor de serviço
• Eliminação dos dados pessoais tratados com seu consentimento (sujeita aos prazos de retenção acima)
• Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados
• Informação sobre a possibilidade de não fornecer consentimento e as consequências da recusa
• Revogação do consentimento

A maioria deles você pode exercer diretamente dentro do Serviço:

• Acessar seus dados: visíveis em todo o painel e no perfil do usuário
• Excluir sua conta (e todos os dados pessoais associados): Perfil → Excluir Conta. Isso apaga credenciais, vínculos e identificadores pessoais; os dados de projeto também são removidos, salvo indicação em contrário.
• Exportar seus dados: contate-nos em support@truehacking.ai e forneceremos uma exportação portável em JSON em até 15 dias.

Para qualquer solicitação que você não consiga concluir no app, contate nosso DPO em support@truehacking.ai. Respondemos a solicitações verificadas em até 15 dias, conforme exigido pela LGPD.

• Todo o tráfego é servido sobre HTTPS com configuração TLS moderna
• As senhas são armazenadas apenas como hashes bcrypt (fator de custo 12)
• A autenticação usa tokens de acesso JWT de curta duração e refresh tokens com rotação no uso
• Autenticação de dois fatores disponível e obrigatória para contas de superusuário
• Aplicação server-side de todos os limites de plano e cota (desabilitações no frontend são apenas dicas de UX)
• Limites de memória por subprocesso de ferramenta evitam que ferramentas descontroladas comprometam outras cargas
• Limitação de taxa HTTP nos endpoints de autenticação para mitigar credential stuffing
• Verificações de inicialização em produção falham de forma ruidosa diante de configuração insegura (segredos padrão, CORS curinga)
• Backups criptografados diários do banco de dados de produção

Nenhum sistema é impenetrável. Se descobrirmos uma violação que afete seus dados pessoais, notificaremos você e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos exigidos pela LGPD.

Usamos apenas cookies funcionais estritamente necessários para operar o Serviço:

• Cookies de autenticação / entradas no localStorage com seus tokens de acesso e refresh
• Cookies de sessão para os fluxos OAuth

Não usamos cookies de rastreamento, analytics ou publicidade. Atualmente não integramos nenhum serviço de analytics de terceiros.

O Serviço não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores. Se você souber que uma criança nos forneceu dados pessoais, contate-nos e os removeremos.

Podemos atualizar esta Política para refletir mudanças no Serviço, em nossas práticas ou em requisitos legais. A data de vigência no topo desta página reflete a revisão mais recente. Para mudanças relevantes, notificaremos os usuários registrados por e-mail com pelo menos 15 dias de antecedência da entrada em vigor da nova versão.

Para quaisquer dúvidas, solicitações ou reclamações sobre privacidade, contate nosso Encarregado de Proteção de Dados em support@truehacking.ai.

Você também tem o direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.