Termo de Autorização para Avaliação de Segurança
Este termo formaliza a autorização explícita do solicitante para que a Olympus execute uma avaliação automatizada de segurança (passiva, não-autenticada e não-destrutiva) sobre a URL informada, e descreve como tratamos os seus dados pessoais segundo a Lei Geral de Proteção de Dados (LGPD). Leia com atenção antes de aceitar.
1.Objeto
O presente termo regula a relação entre o solicitante (pessoa física ou jurídica que submete uma URL no formulário do produto Hermes Pentest) e a Olympus (operadora do serviço), tendo por objeto:
- A autorização explícita do solicitante para que a Olympus execute uma avaliação automatizada de segurança sobre a URL informada;
- A delimitação técnica do que o Hermes Pentest faz e do que NÃO faz;
- A política de tratamento de dados pessoais coletados durante o uso do serviço, em conformidade com a LGPD.
2.Autorização explícita
Ao aceitar este termo e submeter uma URL no formulário, o solicitante declara, sob as penas da lei, que:
- É proprietário(a) ou responsável legal pela URL informada, ou possui autorização escrita do proprietário/responsável para solicitar a avaliação de segurança;
- Tem plena capacidade jurídica para autorizar testes de segurança não invasivos sobre o ativo digital indicado;
- Compreende que esta autorização é requisito legal para que a Olympus execute o serviço, e que scans em sistemas de terceiros sem autorização podem configurar crime nos termos da legislação brasileira;
- Assume responsabilidade integral pela veracidade da declaração de propriedade/autorização, isentando a Olympus de qualquer responsabilidade por declaração falsa.
Atenção: declaração falsa de propriedade ou autorização sobre URL de terceiros, com a finalidade de obter avaliação de segurança não consentida pelo real proprietário, pode configurar crime previsto na Lei nº 12.737/2012 (Lei Carolina Dieckmann) e responsabilização civil pelos danos causados.
3.Escopo do teste
O Hermes Pentest realiza uma avaliação passiva, não-autenticada e não-destrutiva, o que significa que ele observa a superfície pública do ativo digital sem tentar invadir, sem usar credenciais e sem causar indisponibilidade.
3.1. O que o Hermes Pentest faz
- Verifica configuração de TLS/HTTPS (certificado, validade, cifras, HSTS);
- Inspeciona cabeçalhos HTTP de segurança (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy);
- Inspeciona atributos de cookies (Secure, HttpOnly, SameSite);
- Detecta conteúdo misto (recursos HTTP servidos em página HTTPS);
- Faz varredura de bundles JavaScript públicos em busca de padrões de chaves de API, tokens e segredos vazados;
- Testa a presença pública de endpoints comuns (por exemplo:
.env,.git/,/admin,/api/health); - Testa open redirect em parâmetros comuns (forma leve, não-destrutiva);
- Verifica configurações permissivas de CORS;
- Identifica vazamentos de informação em respostas (versão de servidor, stack traces, páginas de debug);
- Avalia risco de subdomain takeover a partir de registros DNS públicos.
3.2. O que o Hermes Pentest NÃO faz
- Não tenta invadir o sistema, nem explora ativamente vulnerabilidades encontradas;
- Não utiliza credenciais nem realiza pentest autenticado;
- Não executa fuzzing destrutivo, ataques de negação de serviço (DoS), crash testing, injeção de SQL ativa ou execução remota de código (RCE);
- Não realiza engenharia social nem phishing contra usuários;
- Não acessa, não baixa nem armazena dados pessoais de terceiros eventualmente expostos pelo ativo avaliado — qualquer evidência é registrada apenas em nível necessário para reportar o achado;
- Não derruba serviço nem provoca indisponibilidade intencional;
- Não substitui um pentest profissional manual, nem certificações de compliance (PCI-DSS, ISO 27001, SOC 2, etc.).
O escopo técnico detalhado e atualizado é mantido pela equipe Olympus e pode evoluir em versões futuras do produto, sempre dentro da fronteira do passivo / não-autenticado / não-destrutivo.
4.Marco legal
A avaliação de segurança ofertada pelo Hermes Pentest opera sob três pilares legais do ordenamento jurídico brasileiro. Em linguagem clara:
4.1. Lei Carolina Dieckmann (Lei nº 12.737/2012)
A Lei nº 12.737/2012 tipifica como crime a invasão de dispositivo informático alheio com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular. É exatamente por isso que este termo existe: sem a sua autorização explícita como proprietário/responsável da URL, a Olympus não pode e não irá executar qualquer scan. O aceite deste termo, somado ao registro do IP, e-mail e WhatsApp do solicitante, constitui a prova da autorização que afasta a tipificação criminal.
4.2. Marco Civil da Internet (Lei nº 12.965/2014)
A Lei nº 12.965/2014 estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil — incluindo a inviolabilidade da intimidade e da vida privada, a proteção dos registros de conexão e a responsabilidade dos agentes que operam serviços online. A Olympus, como operadora do serviço, observa as obrigações aplicáveis de guarda mínima de registros de acesso à aplicação, transparência sobre finalidades de uso de dados e cooperação com autoridades nos limites da lei.
4.3. LGPD (Lei nº 13.709/2018)
A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) regula o tratamento de dados pessoais. Os dados que coletamos do solicitante (e-mail, WhatsApp, IP, user-agent, URL submetida) são tratados conforme a Seção 5 deste termo, com bases legais previstas no art. 7º da LGPD.
5.Coleta e tratamento de dados pessoais
Esta seção é a Política de Privacidade aplicável ao Hermes Pentest e descreve, de forma transparente, quais dados coletamos, com qual finalidade, com qual base legal, por quanto tempo, e quais são os seus direitos como titular.
5.1. Dados coletados
| Dado | De onde vem |
|---|---|
| URL submetida | Formulário |
| E-mail de contato | Formulário |
| Número de WhatsApp | Formulário |
| Endereço IP do solicitante | Capturado no momento do envio |
| User-Agent do navegador | Capturado no momento do envio |
| Timestamp da submissão | Gerado pelo sistema |
| Aceite do presente termo | Capturado no formulário |
| Resultados do scan associados ao e-mail | Gerado pelo sistema |
5.2. Finalidade
- Executar a avaliação de segurança solicitada e entregar o relatório por e-mail e/ou WhatsApp;
- Comprovar a autorização explícita do solicitante (IP + e-mail + WhatsApp + timestamp + aceite), nos termos da Seção 2;
- Prevenir abuso do serviço (por exemplo: scans solicitados contra alvos de terceiros);
- Comunicação eventual sobre o produto e ofertas relacionadas da Olympus, quando houver consentimento específico, com opção de descadastro a qualquer momento.
5.3. Base legal
- Consentimento (art. 7º, I da LGPD): para contato comercial e envio do relatório pelos canais informados.
- Execução de contrato / procedimentos preliminares (art. 7º, V): para entrega do serviço de avaliação solicitado.
- Cumprimento de obrigação legal/regulatória (art. 7º, II): guarda dos registros de acesso à aplicação, conforme o Marco Civil da Internet.
- Legítimo interesse (art. 7º, IX): prevenção a fraude e abuso, e proteção dos próprios sistemas Olympus contra uso indevido.
5.4. Compartilhamento
Não vendemos dados pessoais. Podemos compartilhar dados com operadores contratados estritamente necessários para o serviço (por exemplo: provedores de e-mail transacional, provedores de mensageria WhatsApp, hospedagem cloud), sempre sob obrigação contratual de confidencialidade e tratamento alinhado a esta política. Dados poderão ser compartilhados com autoridades competentes quando exigido por lei ou ordem judicial.
5.5. Retenção
- Relatório do scan e dados de contato vinculados: até 12 meses após a entrega, salvo se o titular solicitar exclusão antes;
- Registros de aceite do termo (IP, user-agent, timestamp, e-mail, WhatsApp, URL submetida): pelo prazo mínimo previsto no art. 15 do Marco Civil da Internet (6 meses) e, quando aplicável, pelos prazos prescricionais cíveis correspondentes;
- Após os prazos acima, os dados são eliminados ou anonimizados.
5.6. Direitos do titular
Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, solicitar:
- Confirmação de existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados;
- Eliminação dos dados tratados com base em consentimento;
- Revogação do consentimento;
- Informações sobre compartilhamentos.
5.7. Encarregado pelo Tratamento de Dados (DPO)
Para exercer seus direitos como titular, ou tirar dúvidas sobre esta política, entre em contato com o Encarregado da Olympus pelo e-mail olympus.ajuda@gmail.com com o assunto "LGPD — Hermes Pentest". Responderemos no menor prazo possível, observados os prazos legais.
6.Limitação de responsabilidade
O Hermes Pentest é uma ferramenta automatizada de avaliação preliminar. O relatório gerado:
- Pode conter falsos positivos e não substitui pentest manual profissional, auditoria de código ou certificação de compliance;
- É recomendação técnica e não constitui aconselhamento jurídico sobre obrigações regulatórias do solicitante;
- Reflete a superfície pública do ativo no momento do scan; alterações posteriores podem invalidar achados específicos.
A Olympus não se responsabiliza por:
- Vulnerabilidades que o solicitante decida, por qualquer razão, não corrigir após receber o relatório;
- Danos causados a terceiros caso a URL submetida não seja de propriedade do solicitante e o scan tenha sido realizado com base em declaração falsa de autorização — neste caso, a responsabilidade é integralmente do solicitante;
- Indisponibilidade temporária do serviço Hermes Pentest, falhas em provedores de terceiros ou interrupções de rede;
- Decisões de negócio do solicitante baseadas, total ou parcialmente, no conteúdo do relatório.
7.Disposições gerais
7.1. Alterações deste termo
A Olympus pode atualizar este termo para refletir mudanças no produto, no escopo técnico ou na legislação aplicável. A versão vigente estará sempre publicada em /termo, com a data de "Última atualização" no topo. Alterações materiais serão comunicadas por e-mail aos titulares com avaliação ativa.
7.2. Foro
Fica eleito o foro da comarca da sede da Olympus, no Brasil, para dirimir quaisquer controvérsias decorrentes deste termo, com renúncia a qualquer outro, por mais privilegiado que seja, salvo nas hipóteses em que a legislação de proteção ao consumidor garantir foro diverso ao titular pessoa física.
7.3. Contato
Dúvidas, solicitações de exercício de direitos LGPD, denúncias de uso indevido do serviço ou pedidos de cessação de scan podem ser endereçados a olympus.ajuda@gmail.com.
Resumo, em uma frase: ao aceitar este termo você nos autoriza a fazer um scan público e não-invasivo da URL que você declara ser sua, e nós nos comprometemos a tratar seus dados pessoais com cuidado e devolver um relatório útil — nada além disso.