Esta Política de Privacidade (a “Política”) descreve como a Strike Security LLC e suas empresas afiliadas (“Strike”, “nós”, “nosso” ou “nossa”) coletam, utilizam, divulgam e protegem informações pessoais e determinados dados relacionados a serviços de segurança processados por meio da Plataforma Always-on, do nosso website (https://strike.sh) e dos serviços relacionados (coletivamente, a “Plataforma”).

Esta Política aplica-se a todos os usuários da Plataforma Always-on, incluindo clientes (“Usuários” ou “Clientes”), pesquisadores éticos de segurança (“Strikers”) e visitantes do website.

A Strike opera uma Plataforma Always-on impulsionada por inteligência artificial com validação híbrida, incluindo recursos de Validação Híbrida Contínua, que ajuda organizações a identificar, priorizar e remediar vulnerabilidades de segurança em toda a sua infraestrutura digital.

Ao acessar ou utilizar a Plataforma Always-on, você reconhece que leu e compreendeu esta Política. Quando exigido pela legislação aplicável, obteremos seu consentimento antes de processar suas informações pessoais. Caso não concorde com esta Política, você não deverá utilizar a Plataforma Always-on.

Em caso de dúvidas sobre esta Política ou sobre proteção de dados na Strike, entre em contato pelo e-mail:

legal@strike.sh

1. DEFINIÇÕES

“Conta” significa a conta de usuário criada por você para acessar a Plataforma Always-on, conforme descrito nos Termos de Uso aplicáveis.

“Agentes de IA” significa os sistemas proprietários de inteligência artificial da Strike que executam testes automatizados de segurança, detecção de vulnerabilidades, emulação de ataques e funções relacionadas de análise dentro da Plataforma Always-on.

“Conteúdo do Cliente” significa quaisquer dados, arquivos, documentos, configurações, códigos ou outros conteúdos carregados, enviados ou disponibilizados por um Usuário ou Usuário Final através da Plataforma Always-on em conexão com os Serviços. O Conteúdo do Cliente não inclui as Credenciais de Teste, que são tratadas separadamente.

“Plataforma Always-on” significa a plataforma Always-on da Strike impulsionada por IA com validação híbrida, incluindo recursos de Validação Híbrida Contínua, Agentes de IA, integrações, APIs e serviços relacionados.

“Usuário Final” significa uma pessoa autorizada por um Cliente a acessar e utilizar a Plataforma Always-on em nome desse Cliente.

“Informações Pessoais” significa qualquer informação relacionada a uma pessoa natural identificada ou identificável, conforme definido pelas leis aplicáveis de proteção de dados, incluindo GDPR, CCPA e LGPD.

“Plataforma” significa o website da Strike localizado em https://strike.sh, o aplicativo Plataforma Always-on e todas as ferramentas e interfaces relacionadas.

“Dados de Segurança” significa informações técnicas de segurança geradas ou processadas através da Plataforma Always-on, incluindo descobertas de vulnerabilidades, resultados de varreduras, resultados de emulações de ataques, inteligência de ameaças, inventários de ativos e avaliações de postura de segurança. Dependendo do contexto, os Dados de Segurança podem ou não conter Informações Pessoais.

“Serviços” significa todos os produtos e serviços fornecidos pela Strike através da Plataforma Always-on, incluindo a Plataforma Always-on, Hybrid Testing, Manual Pentesting Projects, Red Teaming Projects e quaisquer serviços adicionais.

“Striker(s)” significa pesquisadores independentes de segurança e hackers éticos que realizam testes de segurança conduzidos por humanos, validação e análises especializadas através da Plataforma Always-on.

“Dados de Telemetria” significa dados técnicos coletados automaticamente pela Plataforma Always-on relacionados ao desempenho do sistema, padrões de utilização de funcionalidades, registros de erros e métricas operacionais.

“Credenciais de Teste” significa senhas, chaves de API, tokens de acesso, chaves SSH, certificados e quaisquer outros materiais de autenticação fornecidos por um Cliente para permitir a execução dos Serviços sobre seus ativos.

“Dados de Uso” significa informações sobre como os usuários interagem com a Plataforma Always-on, incluindo atividades de login, acesso a funcionalidades, consultas, dados de sessão e análises comportamentais.

“Usuário(s)” ou “Cliente(s)” significa qualquer pessoa física ou jurídica que acessa a Plataforma Always-on para contratar ou utilizar os Serviços.

2. QUEM SOMOS

A Strike Security LLC é uma empresa constituída de acordo com as leis do Estado de Delaware, Estados Unidos, com endereço principal em:

848 Brickell Avenue, Suite 600, Miami, FL 33131, Estados Unidos.

A Strike opera por meio de entidades afiliadas, incluindo:

• Strike SAS (Uruguai)
• Airstrike SRL de CV (México)
• Strike Brazil LTDA (Brasil)

A Strike fornece uma Plataforma Always-on impulsionada por inteligência artificial com validação híbrida para realização de testes contínuos de segurança.

Nossa Plataforma Always-on combina Agentes de IA que executam emulação automatizada de ataques, detecção de vulnerabilidades e avaliação de postura de segurança com validação especializada realizada por Strikers, que verificam descobertas, realizam testes aprofundados e fornecem orientações de remediação.

Para fins das leis aplicáveis de proteção de dados, a Strike atua como:

• Controladora de dados, em relação às Informações Pessoais dos usuários da Plataforma Always-on (dados de conta e dados de uso); e
• Operadora de dados, em relação ao Conteúdo do Cliente e às Credenciais de Teste processados em nome dos Usuários em conexão com os Serviços.

As funções, responsabilidades e obrigações específicas são detalhadas em nosso Data Processing Agreement (DPA), disponível mediante solicitação.

3. INFORMAÇÕES QUE COLETAMOS

Coletamos as seguintes categorias de informações. Observe que nem todas as categorias constituem Informações Pessoais nos termos das leis aplicáveis de proteção de dados; algumas categorias correspondem a dados técnicos ou dados relacionados a serviços de segurança, regidos por nossas obrigações contratuais.

3.1. Informações de Conta e Cadastro

Informações fornecidas por você ao criar uma Conta, incluindo:

• Nome
• Endereço de e-mail
• Número de telefone
• Nome da empresa
• Cargo ou função
• Endereço de cobrança
• Informações de pagamento (processadas por nossos processadores de pagamento)
• Credenciais de autenticação

3.2. Conteúdo do Cliente

Dados carregados ou fornecidos por você em conexão com os Serviços, incluindo:

• Informações de ativos (URLs, endereços IP, domínios e endpoints de APIs)
• Código-fonte de aplicações ou documentação
• Detalhes da arquitetura de rede
• Qualquer outro conteúdo enviado para fins de testes de segurança

3.3. Credenciais de Teste

Materiais de autenticação fornecidos por você para permitir a execução dos Serviços sobre seus ativos, incluindo:

• Senhas
• Chaves de API
• Tokens de acesso
• Chaves SSH
• Certificados

As Credenciais de Teste recebem tratamento de segurança reforçado e estão sujeitas a regras específicas de retenção (consulte a Seção 8).

3.4. Dados de Segurança

Informações técnicas de segurança geradas pela operação da Plataforma, incluindo:

• Descobertas de vulnerabilidades e avaliações de severidade
• Resultados de varreduras e emulações de ataques
• Pontuações e tendências de postura de segurança
• Status de remediação e resultados de verificação
• Inteligência de ameaças e dados de exposição
• Dados de inventário de ativos

3.5. Dados de Uso e Telemetria

Informações sobre como você interage com a Plataforma, incluindo:

• Atividade de login e dados de sessão
• Funcionalidades acessadas e ações realizadas
• Consultas de pesquisa e configurações de filtros
• Dados de desempenho da Plataforma e registros de erros
• Tipo de navegador
• Informações do dispositivo
• Endereço IP
• Sistema operacional

3.6. Dados de Comunicação

Informações trocadas por meio dos canais de comunicação da Plataforma entre Usuários, Strikers e a Strike, incluindo:

• Mensagens
• Solicitações de suporte
• Comentários e feedback

3.7. Informações Específicas dos Strikers

Para os Strikers, coletamos adicionalmente:

• Qualificações profissionais e certificações
• Dados de verificação de antecedentes
• Métricas de desempenho e qualidade
• Informações fiscais e de pagamento
• Documentos de verificação de identidade

4. COMO UTILIZAMOS SUAS INFORMAÇÕES

‍

‍

5. IA E PROCESSAMENTO AUTOMATIZADO

A Plataforma Always-on utiliza inteligência artificial e processamento automatizado como componentes centrais dos Serviços.

Esta seção explica como tratamos dados em conexão com nossos sistemas de IA.

5.1. Como a IA Opera na Plataforma Always-on

Nossos Agentes de IA processam Conteúdo do Cliente e Dados de Segurança para executar testes automatizados de segurança, incluindo:

• Emulação de ataques
• Detecção de vulnerabilidades
• Avaliação de severidade
• Recomendações de remediação

O processamento por IA ocorre dentro da infraestrutura controlada pela Strike e está sujeito às mesmas proteções de segurança e confidencialidade aplicáveis aos demais dados processados pela Plataforma.

5.2. Uso de Dados para IA e Melhoria do Produto

Distinguimos os seguintes tipos de utilização de dados:

Prestação dos Serviços

Utilizamos Conteúdo do Cliente, Credenciais de Teste e Dados de Segurança para fornecer os Serviços contratados.

Isso inclui o processamento por IA dos seus ativos e dados na medida necessária para executar os testes de segurança solicitados.

Aprimoramento da Detecção

Podemos utilizar resultados derivados de Dados de Segurança (como padrões de vulnerabilidades e assinaturas de ataque) de forma agregada e desidentificada para aprimorar nossos mecanismos de detecção e capacidades de inteligência de ameaças.

Melhoria do Produto

Utilizamos Dados de Telemetria e Dados de Uso agregados e desidentificados para aprimorar funcionalidades, desempenho e experiência do usuário.

Sem Treinamento de IA de Propósito Geral

A Strike não utiliza Conteúdo do Cliente para treinar modelos de IA de propósito geral nem modelos disponibilizados para outros clientes, salvo quando expressamente acordado por escrito.

Dados específicos de clientes não são compartilhados entre diferentes tenants ou ambientes de clientes.

5.3. Tomada de Decisão Automatizada

Nossos Agentes de IA realizam avaliações automatizadas relacionadas a:

• Severidade de vulnerabilidades
• Priorização de riscos
• Recomendações de remediação

Esses resultados possuem caráter informativo e consultivo.

Nos serviços de Hybrid Testing, os achados gerados por IA são validados por Strikers.

Os Clientes mantêm total discricionariedade sobre as decisões de remediação adotadas.

6. DIVULGAÇÃO DE INFORMAÇÕES

Podemos divulgar suas informações às seguintes categorias de destinatários, em conformidade com esta Política e com a legislação aplicável.

6.1. Afiliadas da Strike

Compartilhamos dados com as entidades afiliadas da Strike (Strike SAS, Airstrike SRL de CV e Strike Brazil LTDA) quando necessário para a prestação dos Serviços.

6.2. Strikers

Nos serviços que envolvam testes conduzidos por especialistas humanos ou validação híbrida, compartilhamos com os Strikers apenas o Conteúdo do Cliente e os Dados de Segurança estritamente necessários para a execução dos Serviços.

Os Strikers estão sujeitos a obrigações de confidencialidade e tratamento de dados previstas nos Termos e Condições para Strikers.

6.3. Subprocessadores e Prestadores de Serviços

Contratamos prestadores de serviços terceirizados que processam dados em nosso nome.

Todos os subprocessadores estão sujeitos a acordos de processamento de dados com obrigações de proteção não menos rigorosas do que aquelas previstas em nosso DPA.

Uma lista atualizada de subprocessadores está disponível em:

https://strike.sh/subprocessors

ou poderá ser fornecida mediante solicitação.

A lista é atualizada com aviso prévio mínimo de trinta (30) dias.

Os Clientes poderão apresentar objeções razoáveis à inclusão de novos subprocessadores, de acordo com o DPA.

6.4. Integrações com Terceiros

Quando você habilita integrações com terceiros (por exemplo, Jira, Slack ou ferramentas de CI/CD), os dados serão transferidos para esses serviços de acordo com as configurações definidas por você.

Esses serviços operam sob suas próprias políticas de privacidade.

6.5. Autoridades Legais e Regulatórias

Poderemos divulgar informações quando exigido por lei, regulamento, processo judicial ou solicitação governamental, ou quando necessário para proteger os direitos, a propriedade ou a segurança da Strike, de nossos usuários ou de terceiros.

6.6. Transações Corporativas

Em caso de fusão, aquisição ou venda de ativos, suas informações poderão ser transferidas para a entidade adquirente, sujeitas às mesmas proteções de privacidade aplicáveis.

Nós o notificaremos sobre qualquer transferência desse tipo, quando aplicável.

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

A Strike processa dados principalmente nos Estados Unidos, México, Brasil e Uruguai.

Suas informações poderão ser transferidas e processadas em países diferentes daquele em que você reside.

Para transferências oriundas do Espaço Econômico Europeu (EEE), Reino Unido ou Suíça para países que não possuam decisão de adequação, implementamos salvaguardas apropriadas, incluindo as Cláusulas Contratuais Padrão (Standard Contractual Clauses – SCCs) aprovadas pela Comissão Europeia.

Cópias dessas cláusulas estão disponíveis mediante solicitação.

Para transferências internacionais de dados provenientes do Brasil, cumprimos os requisitos da LGPD, utilizando cláusulas contratuais padrão, consentimento ou outros mecanismos legalmente reconhecidos.

8. RETENÇÃO DE DADOS

Retemos suas informações pelos períodos descritos abaixo, salvo quando a legislação exigir ou permitir períodos de retenção mais longos.

‍

‍

Ao término dos Serviços, e de acordo com sua escolha e com o DPA, a Strike poderá:

(a) devolver seu Conteúdo do Cliente em formato padrão legível por máquina; ou

(b) excluir de forma segura o Conteúdo do Cliente e as Credenciais de Teste, fornecendo, mediante solicitação, uma confirmação escrita da exclusão.

9. YOUR PRIVACY RIGHTS

Depending on your location, you may have the following rights under applicable data protection laws. To exercise any of these rights, contact us at legal@strike.sh.

9.1. Rights Under GDPR (EEA, UK, Switzerland)

If you are located in the EEA, UK, or Switzerland, you have the right to: access your personal data and obtain a copy; rectify inaccurate or incomplete data; erase your data (right to be forgotten) where there is no compelling reason for continued processing; restrict processing in certain circumstances; data portability; object to processing based on legitimate interests or for direct marketing; withdraw consent at any time; and lodge a complaint with your local supervisory authority.

Legal bases for processing: performance of a contract (to provide the Services); legitimate interests (to improve and secure the Platform, prevent fraud); consent (for marketing communications); and legal obligation (to comply with applicable laws).

9.2. Rights Under CCPA / CPRA (California)

If you are a California resident, you have the right to: know what personal information we collect, use, and disclose; delete your personal information (subject to exceptions); correct inaccurate personal information; and non-discrimination for exercising your privacy rights.

Strike does not sell personal information as defined by the CCPA. Where required by applicable law, we provide mechanisms to opt out of sale or sharing of personal information, including certain advertising or analytics cookies.

9.3. Rights Under LGPD (Brazil)

If you are located in Brazil, you have the right to: confirmation of the existence of processing; access to your data; correction of incomplete, inaccurate, or outdated data; anonymization, blocking, or deletion of unnecessary or excessive data; data portability; information about third parties with whom your data is shared; and revocation of consent.

9.4. Response and Verification

We will respond to your request within the timeframes required by applicable law (generally 30 days for GDPR, 45 days for CCPA). We may need to verify your identity before processing your request. For requests related to Client Content processed on behalf of a User, please contact your organization’s administrator.

10. DATA PROCESSING AGREEMENT

For enterprise Clients, Strike offers a Data Processing Agreement (DPA) that governs the processing of personal data contained within Client Content. The DPA addresses: the nature and purpose of processing; categories of data subjects and personal data; obligations of Strike as data processor and the Client as data controller; security measures; subprocessor management; data breach notification procedures; audit rights; and data return or deletion upon termination.

To request a copy of Strike’s DPA, contact legal@strike.sh.

11. COOKIES AND TRACKING TECHNOLOGIES

We use cookies and similar tracking technologies to operate and improve the Platform:

• Essential Cookies: Required for the Platform to function, including authentication, security, and session management. These cannot be disabled.
• Analytics Cookies: Help us understand how the Platform is used so we can improve performance and features. These can be declined.
• Marketing Cookies: Used to deliver relevant advertising and measure campaign effectiveness. These are only set with your consent where required by applicable law.

You can manage your cookie preferences through the cookie banner displayed when you first visit our website, or through your browser settings.

12. SECURITY OF YOUR INFORMATION

Strike maintains comprehensive security measures to protect your information, including: encryption of data in transit (TLS 1.2+) and at rest (AES-256); access controls and role-based permissions; regular vulnerability assessments and penetration testing of our own infrastructure; intrusion detection and prevention systems; security incident response procedures; and employee and contractor security training and background checks.

Strike maintains SOC 2 Type II and ISO 27001 certifications, and a HIPAA-aligned compliance program where applicable.

While we implement industry-standard security measures, no method of transmission or storage is completely secure. You are responsible for maintaining the confidentiality of your Account credentials and for notifying us promptly of any unauthorized access.

13. CHILDREN’S PRIVACY

The Platform is not directed at individuals under the age of 18. We do not knowingly collect personal information from minors. If we become aware that we have collected personal information from a minor, we will take steps to delete it promptly. Contact us at legal@strike.sh if you believe a minor has provided us with personal information.

14. THIRD-PARTY WEBSITES AND SERVICES

The Platform may contain links to third-party websites and services. This Policy does not apply to those third-party services. We encourage you to review their privacy policies. Strike is not responsible for the privacy practices of third-party services.

15. CHANGES TO THIS PRIVACY POLICY

We may update this Policy from time to time. We will notify you of material changes by posting the updated Policy on our website and, where required by law, by email or through the Platform. The “Last updated” date at the top indicates when it was last revised. Continued use of the Platform after the effective date constitutes acceptance.

16. CONTACT US

If you have questions, concerns, or complaints about this Privacy Policy or our data practices:

Strike Security LLC

Attn: Legal / Data Protection

848 Brickell Avenue, Suite 600, Miami, FL 33131

Email: legal@strike.sh

For EEA/UK data subjects, you also have the right to lodge a complaint with your local data protection supervisory authority.