AUP

Toda atividade de pentest, red team ou correlatos exige Carta de Autorização (Authorization to Test) assinada por representante autorizado do cliente, especificando alvos, janela e escopo.

É TERMINANTEMENTE PROIBIDO solicitar à intrus.io qualquer ataque, teste, varredura ou ação ofensiva contra ativos que NÃO sejam de propriedade ou controle do cliente contratante. Tentativas de fraude na autorização são reportadas às autoridades competentes (Lei 12.737/2012 — Carolina Dieckmann, no Brasil; equivalentes em outras jurisdições).

Relatórios técnicos entregues NÃO podem ser usados para: (a) atacar terceiros não autorizados; (b) revender ou redistribuir comercialmente; (c) usar como prova em litígio sem prévia anuência da intrus.io.

É proibido usar a relação contratual com a intrus.io para finalidades ilícitas, incluindo lavagem de dinheiro, evasão de sanções, espionagem industrial não autorizada ou intimidação de jornalistas/dissidentes.

Não realizamos testes que possam causar dano físico, lesão corporal ou morte (ex.: ataques diretos a sistemas de saúde sem ambiente espelho, equipamentos médicos em uso clínico, sistemas de tráfego aéreo em produção).

Não realizamos engenharia social que envolva chantagem, extorsão, falsificação de identidade de autoridade pública, ou ações ilegais nas jurisdições aplicáveis.

Para ambientes OT/SCADA críticos, exigimos ambiente de homologação ou validação prévia por engenharia de operação do cliente.

Vulnerabilidades inéditas descobertas em produtos/sistemas de terceiros durante engajamento são tratadas conforme Coordinated Vulnerability Disclosure (CVD): notificação ao cliente, depois ao fornecedor afetado com janela razoável de correção (90 dias padrão), depois divulgação responsável.

Não comercializamos exploits ou os repassamos a brokers de vulnerabilidade.

Após encerramento do engajamento, informações sensíveis do cliente são retidas por no máximo 90 dias e então excluídas. Comprovante de descarte é emitido mediante solicitação.

Acordos de confidencialidade (NDA) permanecem em vigor pelo prazo contratado, mesmo após o encerramento.

Suspeitas de violação desta AUP por colaboradores intrus.io ou clientes podem ser reportadas confidencialmente para contato@intrusioncyber.com.