Pular para o conteúdo
Acessar sistema arrow_forward

CyberDyne — Pentest as a Service

Política de Privacidade

Última atualização: 22 de maio de 2026

1. Introdução e Identificação do Controlador

A presente Política de Privacidade descreve como o CyberDyne, serviço de titularidade da BuildCode (CNPJ 62.829.190/0001-01), coleta, utiliza, armazena, compartilha e protege os dados pessoais dos seus usuários ("Titular"), em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e demais legislações aplicáveis.

Ao utilizar o Serviço, o Titular declara ter lido e compreendido integralmente esta Política.

  • Controlador: BuildCode, CNPJ 62.829.190/0001-01
  • E-mail de contato: contato@buildcode.com.br
  • Encarregado de Proteção de Dados (DPO): Miguel Stênio Mello — buildcodev@gmail.com
  • Prazo de resposta ao Titular: até 15 (quinze) dias úteis, conforme art. 18, §4º, da LGPD

Encarregado de Tratamento de Dados (DPO) — Conforme Res. CD/ANPD n. 18/2024

  • Nome: Miguel Stênio Mello
  • Função: Encarregado de Tratamento de Dados Pessoais
  • E-mail: buildcodev@gmail.com
  • Prazo de resposta: até 15 dias úteis, conforme art. 18, §4º, da LGPD

Para exercer seus direitos, envie e-mail com o assunto "Direitos LGPD — CyberDyne". Não é necessário formulário específico.

2. Informações Obrigatórias (Art. 9º, LGPD)

Em atendimento ao art. 9º da LGPD, o Titular é informado, de forma clara e adequada, sobre os seguintes aspectos do tratamento de seus dados:

  1. Finalidade específica do tratamento: os dados são tratados para criação e gestão de conta, prestação do serviço CyberDyne, processamento de pagamentos, comunicações essenciais sobre o serviço, segurança da plataforma e cumprimento de obrigações legais. Cada finalidade está detalhada na Seção 5.
  2. Forma e duração do tratamento: o tratamento é realizado por meios digitais seguros, em infraestrutura hospedada no Brasil e no exterior (conforme Seção 8). A duração varia por categoria de dado, conforme Seção 10.
  3. Identificação do controlador: BuildCode, CNPJ 62.829.190/0001-01. Contato: contato@buildcode.com.br.
  4. Compartilhamento com terceiros: os dados são compartilhados com Asaas (pagamentos), Supabase (banco de dados e autenticação), OpenRouter (inferência de IA), Vercel (hospedagem e CDN) e Resend (transacional de e-mail). Nenhum dado é vendido ou cedido para fins comerciais.
  5. Responsabilidades dos agentes de tratamento: o controlador (BuildCode) define as finalidades e meios do tratamento. Os operadores tratam dados exclusivamente conforme instrução do controlador.
  6. Direitos do Titular (Art. 18): confirmação e acesso; correção; anonimização, bloqueio ou eliminação; portabilidade; eliminação de dados tratados por consentimento; informação sobre compartilhamento; revogação de consentimento; revisão de decisões automatizadas; petição à ANPD. Veja Seção 11.
  7. Base legal de cada tratamento (Art. 7º): consentimento (Art. 7º, I) para analytics opcionais; execução de contrato (Art. 7º, V) para prestação do serviço; legítimo interesse (Art. 7º, IX) para segurança e prevenção de fraudes; cumprimento de obrigação legal (Art. 7º, II) quando exigido por lei.
  8. Informações de contato do DPO: Miguel Stênio Mello — buildcodev@gmail.com — prazo de resposta de até 15 dias úteis.
  9. Procedimento de revogação do consentimento: o Titular pode revogar o consentimento a qualquer momento enviando e-mail a buildcodev@gmail.com com o assunto "Revogação de Consentimento — CyberDyne", ou por meio das configurações da conta. A revogação não afeta a licitude do tratamento realizado antes da solicitação.

3. Dados Pessoais Coletados

3.1 Dados fornecidos diretamente pelo Titular

  • Cadastro: endereço de e-mail e senha (armazenada exclusivamente como hash criptográfico bcrypt);
  • Perfil: nome completo e foto de avatar (opcional);
  • Pagamentos: CPF (enviado diretamente ao gateway de pagamento Asaas; não armazenado pelo Prestador);
  • Varreduras: URLs e eventuais credenciais de autenticação submetidas via Login Verify para execução dos testes de segurança — credenciais não são persistidas após o encerramento da sessão de scan.

3.2 Dados coletados automaticamente

  • Endereço IP: para rate limiting, segurança anti-abuso e geolocalização básica;
  • Dados de uso: páginas visitadas, funcionalidades utilizadas, contagem de requisições;
  • Dados do dispositivo: tipo de navegador, sistema operacional (via analytics);
  • Cookies e armazenamento local: tokens de sessão (autenticação), preferências de tema e idioma.

4. Dados Sensíveis e Proibições

O Prestador não solicita, coleta nem processa dados pessoais sensíveis conforme definidos no art. 5º, II, da LGPD (origem racial, convicção religiosa, saúde, biometria, orientação sexual, dados genéticos etc.). O Titular não deve inserir tais dados em campos do Serviço.

Dados de menores de 18 (dezoito) anos não são coletados intencionalmente. Caso o Prestador identifique que dados de um menor foram inadvertidamente coletados, procederá à eliminação imediata, conforme art. 14 da LGPD.

5. Finalidades do Tratamento

  • Criação, gerenciamento e autenticação da conta do Titular;
  • Execução das varreduras de segurança (CyberDyne) e geração dos relatórios solicitados;
  • Processamento de pagamentos e gestão de assinaturas e créditos;
  • Comunicações essenciais sobre o serviço (atualizações críticas, alterações de plano, alertas de segurança);
  • Prevenção de fraudes, abusos, ataques e atividades ilícitas;
  • Melhoria contínua do Serviço com base em dados agregados e anonimizados;
  • Cumprimento de obrigações legais e atendimento a ordens judiciais ou regulatórias.

6. Base Legal para o Tratamento (Art. 7º, LGPD)

  • Consentimento (Art. 7º, I): ao criar uma conta e utilizar o Serviço, o Titular consente com o tratamento descrito nesta Política; aplicável também a analytics opcionais;
  • Execução de contrato (Art. 7º, V): o tratamento é necessário para a prestação dos serviços contratados pelo Titular;
  • Legítimo interesse (Art. 7º, IX): para segurança da plataforma, prevenção de fraudes e melhoria dos serviços, observados os limites estabelecidos pelo art. 10 da LGPD;
  • Cumprimento de obrigação legal (Art. 7º, II): quando exigido por lei, regulamento ou ordem judicial.

7. Compartilhamento com Terceiros

O Prestador não vende, aluga nem comercializa dados pessoais. Os dados são compartilhados estritamente com os seguintes operadores, para fins de operação do Serviço:

Prestador Finalidade Dados Compartilhados
Supabase (EUA) Autenticação, banco de dados, armazenamento E-mail, perfil, scans
Vercel (EUA) Hospedagem e CDN IP, dados de requisição
Asaas (Brasil) Processamento de pagamentos CPF, e-mail, valor
OpenRouter / provedores de IA (EUA) Inferência de IA — The Council Texto do prompt (sem dados pessoais identificáveis)
Redis Cloud (Brasil/EUA) Cache e rate limiting IDs anônimos, contadores de uso
Oracle Cloud (Brasil) Execução de varreduras URL alvo da varredura
Resend (EUA) E-mail transacional E-mail, nome

8. Transferência Internacional de Dados (Art. 33, LGPD)

Alguns operadores listados estão localizados nos Estados Unidos. A transferência internacional de dados é realizada com base nas seguintes garantias:

  • Operadores com políticas de privacidade compatíveis com a LGPD e certificados por frameworks internacionais de proteção de dados;
  • Cláusulas contratuais que asseguram nível adequado de proteção dos dados transferidos;
  • Comprometimento contratual dos operadores com a confidencialidade e segurança dos dados tratados.

9. Cookies e Armazenamento Local

  • Cookies de sessão (essenciais): necessários para autenticação e manutenção da sessão do Titular. Base legal: execução de contrato;
  • localStorage (essencial): armazena preferências de tema, idioma e estado de consentimento de cookies;
  • Analytics (Vercel Speed Insights): coleta dados anônimos de performance (LCP, FID, CLS). Não rastreia Titulares individualmente. Ativado somente após consentimento explícito (base legal: consentimento — Art. 7º, I);
  • Cookies de marketing: atualmente nenhum cookie de marketing é utilizado pelo Prestador.

O Titular pode revogar consentimentos e limpar preferências a qualquer momento nas configurações do navegador ou nas configurações de conta.

10. Retenção de Dados

  • Conta ativa: dados retidos enquanto a conta estiver ativa;
  • Relatórios de varredura: conforme plano do Titular — 7 dias (Starter), 90 dias (Script Kiddie), 365 dias (WhiteHat), ilimitado (Pentester). Expirados automaticamente ao fim do período;
  • Logs de uso: retidos por 90 dias para segurança e auditoria interna;
  • Dados de pagamento: retidos pelo prazo exigido pela legislação fiscal brasileira (5 anos, conforme Lei 9.430/1996);
  • Após exclusão da conta: dados pessoais removidos em até 30 dias, exceto quando a retenção for exigida por lei ou ordem judicial.

11. Direitos do Titular (Art. 18, LGPD)

O Titular tem direito a, a qualquer momento, mediante solicitação ao DPO:

  • Confirmação e acesso (Art. 18, I e II): confirmar a existência de tratamento e acessar seus dados pessoais;
  • Correção (Art. 18, III): solicitar correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação (Art. 18, IV): de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade (Art. 18, V): solicitar a portabilidade dos seus dados a outro fornecedor de serviço, conforme regulamentação da ANPD;
  • Eliminação (Art. 18, VI): solicitar a eliminação de dados tratados com base em consentimento;
  • Informação sobre compartilhamento (Art. 18, VII): ser informado sobre as entidades com as quais seus dados são compartilhados;
  • Revogação do consentimento (Art. 18, IX): revogar consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.
mail
Para exercer qualquer desses direitos, envie e-mail para buildcodev@gmail.com com o assunto "Direitos LGPD — CyberDyne". Responderemos em até 15 dias úteis, conforme previsto em lei.

12. Exclusão de Conta e Dados

O Titular pode solicitar a exclusão da sua conta a qualquer momento por meio das configurações de perfil ou por e-mail. Ao excluir a conta:

  • Todos os dados pessoais, relatórios de varredura e preferências serão permanentemente removidos;
  • Créditos não utilizados e assinaturas ativas serão cancelados sem reembolso;
  • Dados exigidos por lei (fiscais/tributários) serão retidos pelo prazo legal e posteriormente eliminados.

13. Segurança dos Dados

O Prestador adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou vazamento, incluindo:

  • Autenticação segura via Supabase Auth com hash bcrypt de senhas;
  • Comunicação criptografada via HTTPS (TLS 1.2+);
  • Row Level Security (RLS) no banco de dados — cada Titular acessa exclusivamente seus próprios dados;
  • Tokens JWT com expiração curta e verificação de assinatura criptográfica;
  • Rate limiting para prevenção de ataques de força bruta e enumeração;
  • Chaves de API armazenadas em variáveis de ambiente, nunca expostas ao frontend;
  • Headers de segurança HTTP: HSTS, X-Frame-Options, CSP, X-Content-Type-Options.

14. Incidentes de Segurança (Art. 48, LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, o Prestador compromete-se a:

  • Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme art. 48 da LGPD;
  • Notificar os Titulares afetados por e-mail, descrevendo a natureza do incidente, os dados afetados e as medidas adotadas;
  • Adotar medidas corretivas imediatas para mitigar os efeitos do incidente e prevenir recorrência.

15. Alterações nesta Política

O Prestador reserva-se o direito de alterar esta Política a qualquer momento, mediante publicação da versão atualizada nesta página, com indicação da data de vigência. O uso continuado do Serviço após a publicação constitui aceitação da nova Política. Recomenda-se ao Titular a consulta periódica desta página.

16. Legislação Aplicável e Foro

Esta Política é regida exclusivamente pelas leis da República Federativa do Brasil, com especial observância da LGPD (Lei 13.709/2018). Fica eleito o foro da comarca de domicílio do titular da plataforma BuildCode para dirimir quaisquer controvérsias, com renúncia expressa a qualquer outro foro.

O Titular poderá ainda apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram adequadamente atendidos, conforme art. 18, §1º, da LGPD.

17. Contato e Dúvidas