SastActionPolítica de Privacidade →

Termos de Uso — SastAction

Versão: 1.0 Data de vigência: 2026-05-20

1. Definições

1.1. SastAction: plataforma de análise estática de código com Inteligência Artificial auditável, reproduzível, verificável e explicável.

1.2. Cliente: pessoa jurídica que contrata uma análise individual do SastAction, mediante orçamento aprovado.

1.3. Relatório: documento técnico em formato PDF gerado ao final da análise. Os três tipos são: Técnico, Executivo e Público.

1.4. Hash de Verificação: identificador criptográfico único de 64 caracteres impresso no Relatório, que permite validação pública pelo prazo de 365 dias.

1.5. Findings: vulnerabilidades, problemas de segurança ou padrões inseguros identificados pela análise.

2. Natureza do serviço

2.1. O SastAction é uma plataforma de análise técnica automatizada com auxílio de Inteligência Artificial.

2.2. Os Relatórios gerados pelo SastAction NÃO constituem certificação de conformidade com normas como ISO 27001, SOC 2, PCI DSS, LGPD ou qualquer outra norma regulatória.

2.3. Os Relatórios são documentos de análise técnica destinados a subsidiar processos próprios do Cliente — auditorias de fornecedor, due diligence, RFP, comprovação de boas práticas — sem substituir auditoria por especialista humano credenciado.

2.4. A análise é executada em momento específico no tempo (point-in-time) e reflete o estado do código no instante do processamento. Modificações posteriores no código não estão cobertas.

2.5. O SastAction cobre os seguintes domínios técnicos:

  • Vulnerabilidades do OWASP Top 10
  • CWE/SANS Top 25
  • Detecção de secrets vazados no código
  • Padrões inseguros por linguagem
  • SQL injection, XSS, problemas de autenticação e controle de acesso

2.6. O SastAction NÃO substitui:

  • Certificação formal (ISO 27001, SOC 2, PCI DSS — exigem auditor credenciado)
  • DAST (análise dinâmica) ou pentest manual
  • SCA (análise de bibliotecas de terceiros)
  • Auditoria de controles administrativos
  • Revisão humana especializada
  • Análise de infraestrutura, rede ou cloud

3. Sobre o uso dos Relatórios

3.1. O Cliente reconhece que os Relatórios são gerados com auxílio de IA e seu conteúdo deve ser interpretado nesse contexto, levando em conta o disclaimer presente no rodapé de toda página.

3.2. O Cliente compromete-se a NÃO utilizar os Relatórios para fazer declarações públicas de compliance, certificação ou aderência a normas regulatórias, sob pena de violação contratual.

3.3. O Cliente compromete-se a manter integral o conteúdo dos Relatórios entregues, incluindo disclaimers, hash de verificação e seções obrigatórias. Edição parcial dos documentos invalida a verificação por hash.

3.4. O SastAction se reserva o direito de revogar a validade da verificação por hash em casos de uso indevido constatado.

4. Retenção de dados

4.1. O código-fonte enviado pelo Cliente será armazenado de forma criptografada (AES-256) e automaticamente eliminado em até 30 (trinta) dias após a entrega do Relatório.

4.2. Os findings detalhados e snippets de código gerados durante a análise serão também eliminados no mesmo prazo de 30 dias.

4.3. Os metadados de verificação (hash, data, contadores, versões técnicas) serão mantidos por 365 (trezentos e sessenta e cinco) dias a partir da data da análise.

4.4. Após 365 dias, a página pública de verificação informará apenas que o hash existiu mas perdeu validade — característica padrão de SAST anual.

4.5. O Cliente é responsável por baixar e arquivar os Relatórios entregues no prazo de 30 dias. O SastAction notificará o Cliente 7 dias antes da purga programada.

4.6. O registro de aceite destes Termos pelo Cliente (incluindo IP, user-agent, nome, e-mail e hash dos Termos no momento do aceite) será mantido indefinidamente como prova legal.

5. Confidencialidade

5.1. O SastAction trata o código enviado como informação estritamente confidencial. O acesso é restrito a sistemas automatizados de análise e operadores internos que assinaram NDA específico.

5.2. O SastAction não compartilha código, findings, ou identidade do Cliente com terceiros, salvo:

  • Obrigação legal mediante ordem judicial
  • Autorização expressa do Cliente
  • Provedores de infraestrutura sob contrato de confidencialidade equivalente

5.3. Os Relatórios e o hash de verificação são de propriedade do Cliente, que pode compartilhá-los livremente com terceiros autorizados por ele.

6. Limitação de responsabilidade

6.1. A responsabilidade total do SastAction em qualquer hipótese fica limitada ao valor pago pelo Cliente pela análise específica em questão.

6.2. O SastAction não se responsabiliza por:

  • Vulnerabilidades não detectadas pela análise (a análise é por amostragem e regras automatizadas)
  • Decisões tomadas pelo Cliente com base nos Relatórios
  • Uso dos Relatórios em contextos não autorizados por estes Termos
  • Falsos positivos eventualmente presentes (mitigados pela camada de IA com audit trail, mas não eliminados em 100%)

6.3. O Cliente reconhece que análise estática tem limitações intrínsecas e não substitui controles complementares (DAST, SCA, revisão manual).

7. Foro

7.1. Estes Termos são regidos pelas leis da República Federativa do Brasil.

7.2. Fica eleito o foro da Comarca de São Paulo, Estado de São Paulo, para dirimir quaisquer controvérsias oriundas destes Termos, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Última atualização: 2026-05-20