Política de Privacidade

Memphis Network — fornecedora do SaaS Sentria.

• Contato geral: suporte@memphisnetwork.com.br
• Encarregado pelo Tratamento de Dados Pessoais (DPO): pode ser contatado pelo mesmo e-mail acima, com o assunto “LGPD — Encarregado”.

Esta Política se aplica a três grupos de titulares:

• Administradores e usuários do painel (clientes, MSSPs e super-administradores).
• Colaboradores da organização Cliente que são alvos das simulações de phishing autorizadas — categoria principal de titulares.
• Visitantes de páginas públicas (login, página de conscientização após o clique numa isca, esta Política, Termos).

A organização Cliente, que contrata o Sentria para treinar e mensurar a maturidade de segurança dos seus colaboradores, atua como controladora dos dados pessoais desses colaboradores (LGPD, art. 5º, VI). Cabe ao Cliente determinar as finalidades e os meios do tratamento.

A Memphis Network, na qualidade de fornecedora do SaaS, atua como operadora (LGPD, art. 5º, VII), tratando os dados pessoais em nome do Cliente e estritamente conforme suas instruções documentadas (contrato + estes Termos/Política). Os MSSPs parceiros, quando intermediários operacionais do Cliente, atuam como sub-operadores.

Tratamos apenas os dados pessoais estritamente necessáriosà prestação do serviço (princípio da necessidade, LGPD art. 6º, III):

• Cadastro de usuários do painel (administradores do Cliente, MSSP, super-admin): nome, e-mail corporativo, cargo, telefone (quando aplicável), MSSP e tenant de vínculo, papel/role.
• Diretório de colaboradores (importado do Microsoft 365 do Cliente): nome, e-mail corporativo, departamento, cargo e foto de perfil (quando disponível no Microsoft Graph).
• Eventos comportamentaisde simulação: abertura do e-mail (pixel), clique na isca, “envio de credenciais” na página falsa. As senhas digitadas pelo titular na página de simulação nunca são armazenadas — são descartadas no servidor e não constam em qualquer log ou banco.
• Human Risk Score e métricas derivadas (cliques, credenciais entregues, reportes, score, último incidente).
• Dados técnicos mínimos de operação: registros de sessão (cookie HttpOnly), data e hora dos eventos, endereço IP (quando aplicável a logs de segurança).

Não tratamos dados pessoais sensíveis (LGPD, art. 5º, II — origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou à vida sexual, dado genético ou biométrico).

• Executar campanhas de simulação de phishing autorizadas pelo Cliente.
• Medir a taxa de clique, a taxa de reporte e o Human Risk Score individual e por departamento.
• Apresentar conteúdo de conscientização (teaching moment) ao titular após o clique numa isca.
• Gerar relatórios e evidências de conformidade (LGPD, ISO 27001, NIST) para o Cliente.
• Autenticar e autorizar os usuários do painel; operar a infraestrutura e manter a segurança da plataforma.

Realizamos o tratamento com base nas seguintes hipóteses do art. 7º da LGPD:

• Execução de contrato (art. 7º, V): para entregar o serviço contratado pelo Cliente.
• Legítimo interesse do controlador (art. 7º, IX): promover e mensurar a segurança da informação, prevenindo incidentes que afetem o titular, a organização e terceiros.
• Cumprimento de obrigação legal e regulatória (art. 7º, II): observância de normas de segurança da informação, LGPD, ISO 27001 e equivalentes.

O Cliente, como controlador, é responsável por verificar e documentar a base legal aplicável ao tratamento que realiza com auxílio do Sentria — incluindo, quando exigido, a comunicação prévia aos titulares (art. 6º, VI — princípio da transparência).

A Memphis não vende dados pessoais. Para operar o serviço, contamos com subprocessadores selecionados que adotam padrões adequados de segurança e privacidade:

• Microsoft Corporation — autenticação SSO (Entra ID / OIDC) e importação do diretório de colaboradores via Microsoft Graph (consentimento administrativo concedido pelo Cliente).
• Anthropic, PBC — modelo de linguagem usado pelo recurso Sentria AI para gerar texto de iscas. A Memphis envia apenas a descrição da campanha solicitada pelo usuário e a lista de departamentos do tenant (códigos e nomes); não enviamos nomes, e-mails ou qualquer PII de colaboradores ao modelo.
• Provedor de envio de e-mail — relay operado por parceiro de infraestrutura para a entrega dos e-mails de simulação; o conteúdo da isca não contém PII do destinatário além do que é necessário para o envio (e-mail e nome).
• Provedor de hospedagem — infraestrutura em que a plataforma é executada (banco PostgreSQL, aplicação Next.js).

A Memphis poderá compartilhar dados também: (i) com o próprio Cliente (controlador); (ii) com autoridades competentes, mediante requisição legal válida; (iii) em caso de operações societárias (fusão, aquisição, cisão), respeitando esta Política.

Alguns subprocessadores (Microsoft, Anthropic) podem processar dados em servidores localizados fora do Brasil. As transferências internacionais observam o art. 33 da LGPD e as garantias contratuais aplicáveis (cláusulas-padrão, certificações ou demais salvaguardas equivalentes).

Os dados pessoais são mantidos enquanto perdurar a relação contratual com o Cliente e pelos prazos legais ou regulatórios aplicáveis após o encerramento. Após esse período, os dados são eliminados ou anonimizados para fins estatísticos e de auditoria, conforme o art. 16 da LGPD.

As senhas digitadas pelo titular na página de simulação não são armazenadas em qualquer momento — são descartadas imediatamente após o registro do evento de “envio de credenciais”.

O titular pode exercer, gratuitamente e a qualquer tempo, os direitos previstos no art. 18 da LGPD, especialmente:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial.
• Eliminação dos dados tratados com base no consentimento.
• Informação sobre as entidades públicas e privadas com as quais a Memphis compartilhou dados.
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
• Revogação do consentimento, quando esta tiver sido a base legal.
• Revisão de decisões automatizadas que afetem seus interesses.

Como exercer: envie e-mail para suporte@memphisnetwork.com.br com o assunto “LGPD — Direito do titular”, identificando-se e descrevendo a solicitação. Como a Memphis atua como operadora, podemos encaminhar a solicitação à organização Cliente (controladora), que responde no prazo legal.

Adotamos medidas técnicas e administrativas proporcionais ao risco, incluindo, entre outras:

• Criptografia em trânsito (HTTPS/TLS) em todas as comunicações.
• Senhas armazenadas com hash bcrypt; senhas reais dos colaboradores nunca são gravadas.
• Autenticação por SSO Microsoft 365 (clientes/MSSPs) e por senha forte (super-admin).
• Isolamento por tenant (multi-tenancy) em todos os modelos de dados.
• Princípio do menor privilégio nos acessos.
• Registros (logs) de operações sensíveis e revalidação periódica de sessões.

Nenhum sistema é absolutamente imune a incidentes. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a ANPD e os titulares serão comunicados em prazo razoável, conforme o art. 48 da LGPD.

O Sentria utiliza um cookie de sessão próprio (HttpOnly, assinado via JWT) estritamente necessário para autenticar o usuário e manter a sessão ativa. Não utilizamos cookies de marketing, rastreamento publicitário ou compartilhamento com redes sociais.

O Human Risk Score é calculado automaticamente, de forma determinística, a partir dos eventos comportamentais (cliques, credenciais entregues, reportes) registrados nas simulações. O titular tem direito à revisão dessa pontuação (LGPD, art. 20) — basta solicitar pelo canal indicado na seção 10.

O recurso Sentria AI utiliza um modelo de linguagem (Anthropic) para auxiliar na geração do texto da isca a partir de uma descrição livre do usuário do painel. O modelo não recebe dados pessoais de colaboradores — somente a descrição da campanha e a lista de departamentos do tenant (códigos e nomes). O conteúdo gerado passa por validação e saneamento antes do uso.

Esta Política pode ser atualizada a qualquer tempo para refletir mudanças legais, regulatórias, técnicas ou operacionais. As atualizações relevantes são informadas pelos canais habituais (e-mail, aviso no painel). Recomendamos consultar periodicamente esta página; a data da última atualização consta no topo.

Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018) e pelas demais normas aplicáveis. Eventuais conflitos serão dirimidos perante o foro da comarca da sede da Memphis Network, salvo quando a legislação aplicável determinar foro diverso (ex.: relações de consumo).