Política de Privacidade — SastAction

Versão: 1.1 Data de vigência: 2026-06-10 Última atualização: 2026-06-10

AVISO: esta versão 1.1 corrige inconsistências da v1.0 sobre uso de IA no tratamento de código-fonte e amplia a lista de subprocessadores. Pendente revisão jurídica formal antes da publicação em produção.

Esta Política de Privacidade descreve como o SastAction coleta, utiliza, armazena e protege os dados pessoais que você compartilha conosco, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Controlador dos dados

SastAction é o controlador dos dados pessoais coletados por meio deste site e dos seus serviços de análise estática de código.

• Contato do encarregado (DPO): contato@sastaction.com
• Site: sastaction.com
• Foro: São Paulo / SP — Brasil

Solicitações relacionadas a dados pessoais (acesso, correção, eliminação, portabilidade, oposição) podem ser enviadas para o e-mail acima OU registradas diretamente em /quotes/:id/lgpd (ver §6), com prazo de resposta de até 15 (quinze) dias úteis.

2. Quais dados coletamos

2.1. Dados fornecidos voluntariamente no formulário de orçamento

Quando você solicita uma análise pelo formulário público em sastaction.com, coletamos:

• Identificação: nome completo, cargo
• Contato profissional: e-mail corporativo, telefone (opcional), nome da empresa
• Detalhes técnicos do escopo: porte estimado, prazo desejado, linguagens, presença de APIs, dados sensíveis processados — informações sobre a aplicação a ser analisada, não sobre pessoas

2.2. Dados coletados automaticamente

• Endereço IP, user-agent do navegador, idioma preferencial
• Carimbo de data/hora das visitas a páginas públicas
• Origem de tráfego (referer), quando informada pelo navegador
• Cookies estritamente necessários (sessão e autenticação para área administrativa apenas)

2.3. Dados recebidos durante a execução do serviço (clientes contratantes)

Após contratação de uma análise:

• Código-fonte enviado pelo cliente em formato compactado (.zip), tratado conforme cláusula 4.1 dos Termos de Uso
• Dados de pagamento via gateway terceirizado (o SastAction não armazena dados de cartão de crédito)
• Histórico de comunicação por e-mail relacionada ao atendimento

3. Finalidades e bases legais

Finalidade	Base legal (LGPD art. 7º)
Atender ao pedido de orçamento e elaborar proposta comercial	Execução de procedimentos preliminares relacionados a contrato (V)
Executar a análise técnica contratada e entregar relatórios	Execução de contrato (V)
Cumprir obrigações fiscais, contábeis e regulatórias	Cumprimento de obrigação legal (II)
Manter registro de aceite dos Termos de Uso para fins probatórios	Legítimo interesse (IX) — proteção contra fraude
Responder a solicitações de suporte e contato	Execução de contrato / legítimo interesse (V / IX)
Melhorar nossos serviços com dados agregados e anonimizados	Legítimo interesse (IX)
Treinamento de modelos de IA proprietários (Ollama) com dados do scan	Consentimento (I) — opcional, opt-in explícito

Nunca utilizamos seus dados para: marketing intrusivo, perfilamento publicitário ou venda a terceiros.

Sobre uso de IA para treinamento: o SastAction pode utilizar achados (findings) e snippets de código resultantes da sua análise para treinar modelos próprios (Ollama auto-hospedado) que melhoram o serviço para todos os clientes. Este uso é OPT-IN — desabilitado por padrão e requer consentimento explícito durante a contratação. Quando habilitado, os dados são minimizados, marcados com identificador do tenant e não são compartilhados com terceiros. Você pode revogar este consentimento a qualquer momento via /quotes/:id/lgpd (kind=rectification).

4. Compartilhamento com terceiros e subprocessadores

O SastAction não vende, não aluga e não cede seus dados pessoais a terceiros. Compartilhamentos restritos ocorrem apenas com:

• Provedores de infraestrutura (hospedagem, banco de dados, e-mail transacional) sob contrato com cláusula de confidencialidade equivalente

• Provedores de IA (LLM) — utilizados como camada de validação/enriquecimento durante a análise. Snippets de findings (não código-fonte completo) podem ser enviados para até 6 provedores dependendo da configuração da sua conta:

  Provedor	Operação	País	Política de não-treino
  Anthropic PBC (Claude)	Análise, revisão, narrativa	EUA	API ToS — não treina com dados de API
  OpenAI (GPT)	Análise, revisão (opcional)	EUA	API ToS — não treina com dados de API
  Google (Gemini)	Análise (opcional)	EUA	API ToS — não treina com dados pagos
  xAI (Grok)	Análise (opcional)	EUA	API ToS
  DeepSeek	Análise (opcional, custo baixo)	China	API ToS — leia atentamente antes de habilitar
  Ollama (modelo próprio)	Análise, treinamento próprio	Brasil (VPS SastAction)	Self-hosted — sem envio externo

  Sua conta começa com Ollama (Brasil) + Anthropic (EUA) habilitados como padrão. Os demais provedores são opt-in via admin. DeepSeek é desabilitado por padrão devido à residência de dados na China.

• Autoridades públicas, mediante ordem judicial fundamentada

• Sucessores legais em hipóteses de reorganização societária, mantendo as mesmas obrigações

4.1. Transferência internacional

Quando você habilita um provedor de IA fora do Brasil, a transferência ocorre com base no art. 33, II da LGPD (cumprimento de obrigação contratual) e em cláusulas contratuais padrão. Você pode optar por usar apenas o Ollama (Brasil) mantendo todo o processamento sob jurisdição brasileira — basta desativar os demais provedores em /admin/ai-pipeline.

5. Retenção e eliminação

• Dados de contato do orçamento: 24 meses após o último contato, salvo solicitação anterior de eliminação
• Código-fonte enviado: eliminado em até 30 dias após entrega do relatório (cf. Termos cláusula 4.1)
• Findings detalhados e snippets: eliminados em 30 dias junto com o código
• Metadados de verificação (hash, data, contadores): retidos por 365 dias
• Registro de aceite dos Termos: mantido indefinidamente como prova legal
• Notas fiscais e dados contábeis: retidos por 5 (cinco) anos conforme legislação tributária
• Dados consentidos para treinamento (opt-in): retidos enquanto durar o consentimento, eliminados em até 30 dias após revogação

Após os prazos acima, os dados são eliminados de forma irreversível dos sistemas ativos. Backups são criptografados e seguem ciclo de rotação que preserva auditabilidade legal.

6. Direitos do titular (LGPD art. 18) — automatizado

Você tem o direito de, a qualquer momento e gratuitamente:

1. Confirmar a existência de tratamento dos seus dados
2. Acessar os dados que mantemos sobre você
3. Corrigir dados incompletos, inexatos ou desatualizados
4. Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
5. Portar seus dados a outro fornecedor de serviço, sob formato aberto
6. Eliminar dados tratados com base no seu consentimento (exceto quando outra base legal impuser retenção)
7. Obter informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
8. Ser informado sobre a possibilidade de não fornecer consentimento e suas consequências
9. Revogar consentimento a qualquer momento, quando esta for a base legal aplicável

Como exercer:

• Via endpoint público (recomendado): POST /api/public/lgpd/requests com quoteId, requestKind (export | erasure | access | rectification) e seu e-mail cadastrado. Acompanhamento em GET /api/public/lgpd/requests/:id. SLA: 15 dias úteis.
• Via e-mail: contato@sastaction.com com o assunto "LGPD — Direitos do titular".

7. Cookies e consentimento

7.1. Cookies estritamente necessários

Utilizamos cookies essenciais ao funcionamento do site:

• Sessão e autenticação (sast_access_token, sast_refresh_token — HttpOnly + Secure + SameSite=Strict) — usados apenas para login na área administrativa
• Esses cookies não rastreiam usuários do site público e são isentos de consentimento (art. 7º IX e art. 5º X da LGPD)

7.2. Cookies opcionais

Atualmente o SastAction não utiliza cookies de marketing, analytics de terceiros, remarketing ou redes sociais. Se passarmos a utilizar, exibiremos banner de consentimento granular e atualizaremos esta política.

8. Segurança da informação

Aplicamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:

• Transporte sempre via TLS 1.3 (HTTPS obrigatório em todo o domínio)
• Armazenamento do código-fonte com criptografia AES-256-GCM em repouso
• Chaves de configuração sensíveis (credenciais SMTP, API keys) criptografadas no banco com KMS dedicado
• Output bruto do LLM (raw_response) criptografado em jsonb antes da persistência
• Controle de acesso por perfil (RBAC) com autenticação JWT em cookie HttpOnly
• Sandbox Docker isolado (network=none, user nobody, cap_drop ALL, readonly_rootfs) para execução dos scanners
• Webhooks de finetune autenticados por HMAC-SHA256 com nonce + timestamp (replay protection)
• Logs de auditoria com meta-audit (quem lê o log também é auditado)
• Backup criptografado fora do servidor principal

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.

9. Crianças e adolescentes

O SastAction é destinado exclusivamente a pessoas jurídicas e profissionais maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos coleta inadvertida, eliminaremos os dados imediatamente.

10. Alterações nesta política

Esta Política pode ser atualizada periodicamente para refletir mudanças legais, técnicas ou de processo. A data da última atualização aparece no topo desta página. Mudanças materiais serão comunicadas por e-mail aos clientes contratantes ativos e destacadas neste site por pelo menos 30 dias.

11. Reclamações

Caso considere que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

• Site: gov.br/anpd
• E-mail: comunicacao@anpd.gov.br

---

Esta política é parte integrante dos nossos Termos de Uso.