Document legal · v2.0

Termeni și
Condiții Utilizare

Versiune 2.0 · În vigoare din 5 mai 2026 · CAI Technology SRL · CUI RO50512457 · J2024020380005
Sediu social: Str. Victor Brauner Bl.1 Sc.4 Ap.5, Sector 3, București, 030611
Email contact: tehnic@caitech.ro · Operator înregistrat ANSPDCP

1. Definiții

În cuprinsul acestor Termeni și Condiții (denumite în continuare "T&C"), termenii cu literă mare au următoarele semnificații:

• "CAI Technology" sau "Furnizor" — CAI Technology SRL, persoană juridică română, înregistrată la Registrul Comerțului sub J2024020380005, CUI RO50512457, cu sediul în București, str. Victor Brauner, Bl.1, Sc.4, Ap.5, Sector 3.
• "ARTEMIS" sau "Platformă" — produsul software-as-a-service ARTEMIS Pentest Platform, accesibil la artemis.caitech.ro, cu funcționalitățile descrise public la momentul utilizării.
• "Utilizator" sau "Client" — persoana fizică sau juridică care accesează sau utilizează Platforma în baza unui Cont autentificat.
• "Target" — orice resursă informatică (domeniu, adresă IP, range de rețea, URL, repository de cod, sistem) supusă unei activități de testare prin Platformă.
• "Scope Scriptic" — documentul electronic semnat de Utilizator prin care declară pe propria răspundere că: (a) deține drepturi legale de proprietate sau autorizare expresă din partea proprietarului asupra Target-ului; (b) autorizează în mod expres CAI Technology să efectueze testele de securitate descrise; (c) acceptă consecințele juridice ale unor declarații false.
• "Audit" — execuția unui set de teste automate sau semi-automate efectuate de Platformă asupra unui Target, cu produs final un raport tehnic.
• "Credit" — unitate de cont prepay reprezentând valoarea de 1 (un) Euro, utilizată ca monedă internă pentru contabilizarea consumului Platformei.
• "Findings" — concluziile, observațiile, vulnerabilitățile descoperite în urma execuției unui Audit.
• "NIS2" — Directiva (UE) 2022/2555 transpusă în România prin OUG 89/2024.
• "GDPR" — Regulamentul (UE) 2016/679 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal.

2. Acceptarea Termenilor

2.1 Prin accesarea Platformei și/sau crearea unui Cont, Utilizatorul declară că a citit, a înțeles și acceptă necondiționat acești Termeni și Condiții, precum și Politica de Confidențialitate (Privacy Policy) și Acordul de Prelucrare a Datelor (DPA), care fac parte integrantă din prezentul document.

2.2 Pentru a putea utiliza funcționalitatea de testare (Audit), Utilizatorul trebuie să bifeze expres în interfață acceptarea T&C și să semneze Scope Scriptic pentru fiecare Target supus testării.

2.3 În cazul persoanelor juridice, persoana fizică care creează contul declară pe propria răspundere că deține împuternicire expresă din partea entității juridice pe care o reprezintă pentru a încheia prezentul contract.

3. Descrierea Serviciilor

3.1 ARTEMIS este o platformă SaaS care oferă servicii automate de testare de securitate (penetration testing, vulnerability assessment, compliance audit) executate prin agenți AI și unelte open-source consacrate.

3.2 Tipurile de Audit disponibile la momentul redactării (lista poate fi extinsă):

• Site Audit (2 credite) — verificare DNS, SSL, headers, CT logs
• Network Scan (10 credite) — Nmap + Nuclei + service detection
• Web App Audit (20 credite) — OWASP Top 10 coverage
• Code Audit (15 credite) — static analysis + AI review
• Compliance Audit (5 credite) — NIS2 / GDPR / ISO 27001
• Full Audit (40 credite) — pachet combinat cu discount

3.3 Platforma este oferită pe principiul "as-is" — CAI Technology nu garantează că Auditele vor descoperi toate vulnerabilitățile existente într-un Target. Pentest-ul este o activitate probabilistică, nu deterministă.

4. Cont Utilizator și MFA Obligatoriu

4.1 Pentru a utiliza Platforma, Utilizatorul trebuie să creeze un Cont furnizând: nume firmă/persoană, email business valid, opțional CUI și nume reprezentant legal.

4.2 Autentificarea cu factor multiplu (MFA) este obligatorie pentru toate Conturile, conform Art. 21(2)(j) NIS2. Utilizatorul trebuie să configureze TOTP (Google Authenticator, Authy, etc.) la prima logare. Conturi fără MFA activ vor fi suspendate după 7 zile.

4.3 Utilizatorul este pe deplin responsabil de păstrarea confidențialității credențialelor sale (parolă, secret TOTP, API keys). Orice acțiune efectuată cu credențialele Utilizatorului se prezumă a fi efectuată de acesta.

4.4 CAI Technology va loga și audita toate evenimentele de autentificare. Tentativele de autentificare suspecte (IP din rețele Tor, IP în liste blacklist Spamhaus DROP, IP cu reputație malicioasă) vor fi blocate automat și raportate.

5. Scope Scriptic și Acord Pentest (CLAUZĂ CRITICĂ)

ATENȚIE — Articolul 360 Cod Penal RO: "Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă." Testarea unui Target fără autorizare expresă a proprietarului constituie infracțiune.

5.1 Înainte de orice Audit, Utilizatorul trebuie să semneze electronic Scope Scriptic care declară:

1. Lista exactă a Target-urilor supuse testării (domenii, IP-uri, range-uri)
2. Tipurile de Audit autorizate
3. Perioada de valabilitate a autorizării
4. Identitatea proprietarului Target-urilor (nume firmă/persoană, contact)
5. Declarație pe propria răspundere că Utilizatorul deține dreptul legal de a autoriza testarea

5.2 Utilizatorul răspunde personal și integral pentru veridicitatea declarației. CAI Technology NU verifică independent dacă Utilizatorul deține efectiv proprietatea sau autorizarea.

5.3 În cazul unei declarații false sau incomplete:

• Utilizatorul răspunde penal și civil pentru consecințele acțiunii
• CAI Technology va furniza autorităților competente toate datele privind Utilizatorul și acțiunile sale (audit log de 5 ani)
• CAI Technology va denunța din oficiu activitatea, conform Art. 290 Cod Procedură Penală RO
• Contul Utilizatorului va fi suspendat imediat și creditele neutilizate vor fi confiscate (clauză penală pentru încălcare T&C)

5.4 Nu se acceptă Scope Scriptic pentru:

• Sisteme guvernamentale RO sau ale altor state (administrații publice)
• Infrastructură critică listată conform OUG 89/2024 (energie, transport, sănătate, bancar)
• Sisteme aparținând persoanelor fizice fără consimțământ explicit scris
• Sisteme aflate în jurisdicții cu legislații restrictive (ex: Coreea de Nord, Iran sub sancțiuni)

6. Plată, Credite, Refund Policy

6.1 Modelul de prețuri este "1 credit = 1 EUR". Utilizatorul cumpără pachete de credite (Free Trial, Starter, Pro, Business, Enterprise) și consumă credite pentru fiecare Audit lansat.

6.2 Plata se efectuează prin Stripe Checkout (EUR primary). Pentru clienți români se afișează echivalent RON la curs BNR live, iar la cerere se emite factură proformă în RON la cursul BNR din ziua emiterii.

6.3 Refund Policy — clauză strictă:

Cauză eșec	Refund
Engine ARTEMIS crash în timpul scan	✅ Refund 100%
Infrastructură DC CAI Technology indisponibilă >30 min	✅ Refund 100%
Bug confirmat în logica de scan care invalidează rezultatul	✅ Refund 100%
Target unreachable din cauza Utilizatorului (firewall, DNS, target down)	❌ NU se face refund
Scope invalid (target diferit de cel autorizat)	❌ NU + suspendare cont
Audit completat dar 0 vulnerabilități găsite	❌ NU (succes operativ)
Cancel mid-scan după debit credit	❌ NU se restituie creditul
Nemulțumire subiectivă față de raport	❌ NU se face refund

6.4 Pentru evitarea oricărui dubiu, Platforma execută Pre-flight Check obligatoriu înainte de a debita Credite: verifică reachability target, validitate scope, autentificare. Dacă Pre-flight eșuează, NU se debitează nimic.

6.5 Creditele cumpărate sunt valabile:

• Free Trial — 90 zile
• Starter / Pro / Business — în luna calendaristică curentă (no-rollover, except plan annual)
• Enterprise — conform contract bilateral

6.6 În baza Art. 16(m) OUG 34/2014 privind drepturile consumatorilor, dreptul de retragere de 14 zile NU se aplică serviciilor digitale care încep imediat la cererea consumatorului (Audit lansat = serviciu prestat). Utilizatorul renunță expres la dreptul de retragere prin acceptarea acestor T&C.

7. Obligații Utilizator

Utilizatorul se obligă să:

1. Folosească Platforma exclusiv în scopuri legitime de testare a securității propriilor sisteme sau a sistemelor pentru care deține autorizare scrisă
2. NU încerce să compromită Platforma în sine (CAI Technology dispune de mecanisme de detecție)
3. NU încerce să obțină credite gratuite prin abuz al sistemului Free Trial (un cont per persoană fizică/juridică)
4. NU partajeze accesul la Cont cu terți neautorizați
5. Notifice CAI Technology imediat dacă suspectează compromiterea contului
6. Respecte limitele rate-limit ale Platformei (specifice planului)
7. Nu utilizeze rezultatele Audit pentru a desfășura activități ilicite

8. Limitarea Răspunderii CAI Technology

8.1 CAI Technology furnizează Platforma "as-is" și "as-available", fără garanții explicite sau implicite, în limita maximă permisă de lege. Specifically, CAI Technology NU garantează:

• Detectarea tuturor vulnerabilităților existente în Target
• Absența rezultatelor false-positive sau false-negative
• Disponibilitate 100% (SLA 99.9% pentru planuri paid)
• Compatibilitate cu orice sistem-Target

8.2 Răspunderea totală a CAI Technology față de Utilizator, indiferent de cauză (contract, delict, neglijență), este limitată la valoarea totală plătită de Utilizator în ultimele 6 luni anterior incidentului, dar nu mai mult de 5.000 EUR.

8.3 CAI Technology NU răspunde pentru:

• Daune indirecte, consecințe, lucrum cessans (profituri pierdute)
• Daune rezultate din declarații false ale Utilizatorului în Scope Scriptic
• Daune rezultate din utilizarea findings-urilor de către Utilizator
• Comportamentul anormal al Target-urilor în timpul Auditului (orice scan poate cauza efecte neașteptate)
• Suspendări temporare de serviciu pentru maintenance programat
• Cazuri de Forță Majoră (vezi clauza 13)

8.4 Limitările de răspundere NU se aplică în cazul: (a) culpei grave dovedite a CAI Technology; (b) decesului sau vătămării corporale; (c) altor cauze pentru care legea interzice limitarea răspunderii.

9. Proprietate Intelectuală

9.1 Platforma ARTEMIS, codul sursă, design-ul, marca "ARTEMIS — Hunt · Reveal · Strike", logoul, brevetele asociate, sunt proprietatea exclusivă a CAI Technology SRL și sunt protejate de legislația română și internațională privind drepturile de autor și proprietatea industrială.

9.2 Utilizatorul primește o licență neexclusivă, netransferabilă, revocabilă, limitată în timp, pentru a accesa și utiliza Platforma exclusiv în scopurile prevăzute de prezentul T&C.

9.3 Nu se acordă licență pentru: reverse engineering, decompilare, scraping automatizat, crearea de produse derivate, încercarea de a obține codul sursă.

9.4 Findings-urile rezultate din Audit aparțin Utilizatorului. CAI Technology păstrează însă dreptul de a folosi date agregate, anonimizate (statistici, threat intelligence) pentru îmbunătățirea Platformei.

10. Confidențialitate Findings

10.1 Toate findings-urile generate pentru Utilizator sunt strict confidențiale. CAI Technology se obligă să:

• Stocheze findings-urile criptat AES-256
• Permită accesul doar Utilizatorului proprietar și administratorilor CAI Technology cu need-to-know
• NU comunice findings-uri către terți, exceptând ordonanță judecătorească
• Folosească canale criptate pentru transmiterea rapoartelor (TLS 1.3 + opțional PGP la cerere)

10.2 Excepție de la confidențialitate: CAI Technology va denunța autorităților dacă findings-urile relevă clar că Utilizatorul a folosit Platforma pentru activități ilicite (Art. 5).

11. Retenție Date și Audit Log

11.1 Conform Art. 30 GDPR și Art. 21 NIS2, CAI Technology păstrează:

Tip date	Retenție	Bază legală
Audit log acțiuni admin	5 ani	NIS2 Art. 21 + GDPR Art. 30
Findings audituri client	2 ani după ultimul login	Contract
Date facturare	10 ani	Lege Contabilitate 82/1991
Date cont și autentificare	Pe durata contractului + 6 luni	Contract
Sesiuni JWT și tokens	24h - 8h	Tehnic
IP audit log autentificare	1 an	Securitate sistem

12. Suspendare și Reziliere

12.1 CAI Technology poate suspenda sau rezilia unilateral Contul în caz de:

• Încălcare T&C (mai ales clauza 5 — Scope Scriptic fals)
• Activitate ilicită detectată
• Neplata facturilor (după 30 zile notificare)
• Solicitarea autorităților competente
• Inactivitate > 24 luni

12.2 Utilizatorul poate denunța contractul oricând prin email la tehnic@caitech.ro, cu efect imediat. Creditele neutilizate NU se rambursează (cf. Art. 6.3).

13. Forța Majoră și Caz Fortuit

13.1 CAI Technology nu răspunde pentru neîndeplinirea obligațiilor cauzată de Forță Majoră sau Caz Fortuit, conform Art. 1351-1352 Cod Civil RO. Includ, fără limitare: dezastre naturale, război, atacuri cibernetice masive (DDoS volumetric >100 Gbps), opriri ale internetului naționale, pandemii, decizii guvernamentale care interzic activitatea.

14. Legea Aplicabilă și Jurisdicție

14.1 Prezentul contract este guvernat exclusiv de legea română.

14.2 Orice litigiu se va rezolva cu prioritate pe cale amiabilă. În caz de eșec, competența exclusivă aparține instanțelor judecătorești din București (Tribunalul București - Secția Civilă pentru clienți persoane juridice; Judecătoria Sector 3 pentru consumatori).

14.3 Pentru clienți consumatori UE non-RO se aplică suplimentar prevederile Regulamentului (UE) 1215/2012 (Bruxelles I bis) și Reg. 593/2008 (Roma I).

15. Modificări ale Termenilor

15.1 CAI Technology poate modifica T&C oricând. Modificările se comunică prin email la adresa Utilizatorului cu minim 30 zile înainte de intrarea în vigoare.

15.2 Continuarea utilizării Platformei după intrarea în vigoare = acceptare tacită. Refuzul = denunțare contract conform Art. 12.2.

16. Dispoziții Finale

16.1 Dacă o clauză este declarată nulă, restul T&C rămân valide (clauză de divizibilitate).

16.2 Lipsa exercitării unui drept de către CAI Technology nu echivalează cu renunțarea la acel drept.

16.3 Limba contractului — română. Versiunea engleză e doar pentru referință; în caz de conflict prevalează versiunea română.

16.4 Documente atașate care fac parte integrantă: Politica de Confidențialitate, Acordul de Prelucrare Date (DPA).

Acceptarea acestor Termeni și Condiții constituie un contract civil deplin opozabil între Utilizator și CAI Technology SRL. Pentru întrebări legale: tehnic@caitech.ro. Document înregistrat la sediul CAI Technology · Versiunea 2.0 · 2026-05-05.