Wie NullSquare Kunden- und Security-Daten verarbeitet

Diese Datenschutzrichtlinie gilt für die NullSquare Website, Plattform, kostenlose Assessments, Private Runner, GitHub-Integration, Reports und Support-Kanäle.

NullSquare ist Verantwortlicher für Website-, Account-, Abrechnungs-, Support-, Sales- und Plattform-Telemetriedaten. Inhalte von Kunden-Assessments verarbeitet NullSquare nach den Anweisungen des Kunden und der jeweils geltenden Servicevereinbarung.

Wir erheben nur Daten, die nötig sind, um den Service zu betreiben, abzusichern, zu unterstützen und zu verbessern.

• Account- und Kontaktdaten: Name, geschäftliche E-Mail, Unternehmen, Rolle, Authentifizierungskennungen, Workspace-Mitgliedschaft und Kommunikationspräferenzen.
• Abrechnungsdaten: Plan, Rechnung, Steuer- und Zahlungsstatus. Kartendaten verarbeitet unser Zahlungsdienstleister; NullSquare speichert sie nicht.
• Website- und Gerätedaten: besuchte Seiten, Referral-Quelle, ungefährer Standort, Browser, Gerät, Cookie-Kennungen, Diagnosen und Security Logs.
• Assessment-Eingaben: Domains, IPs, Repositories, API Endpoints, Scope-Anweisungen, Test-Credentials und Scan-Konfiguration.
• Assessment-Ausgaben: validierte Findings, Proof-of-Concept-Nachweise, Schweregrad, Remediation-Hinweise, Retest-Status, Compliance-Nachweise und Report-Metadaten.
• Runner- und Integrationsdaten: Private-Runner-Status, GitHub Pull-Request-Metadaten, CI Events, Webhook Logs und Integrationskonfiguration.
• Support- und Sales-Daten: Nachrichten, Meeting-Notizen, Demos, Feedback und Informationen, die du unserem Team bereitstellst.

Wir verwenden Daten für die spezifischen Zwecke, die zum Betrieb einer Security-Testing-Plattform erforderlich sind.

• Autorisierte Assessments ausführen, Findings validieren, Reports erstellen und Fixes erneut testen.
• Autorisierung prüfen, Scope durchsetzen, Missbrauch verhindern, Vorfälle untersuchen und die Plattform schützen.
• Accounts, Authentifizierung, Abrechnung, Support, Benachrichtigungen und Kundenkommunikation betreiben.
• Zuverlässigkeit, Performance, User Experience und Produktqualität mit Telemetrie sowie aggregierten oder de-identifizierten Daten verbessern.
• Von Kunden angeforderte Compliance-Nachweise vorbereiten, einschließlich Material für SOC 2, ISO 27001, HIPAA und PCI-DSS.
• Rechtliche Pflichten erfüllen, Vereinbarungen durchsetzen, Streitigkeiten lösen, Gebühren einziehen und rechtmäßige Anfragen beantworten.

Du behältst Eigentum an Targets, Code, Credentials, Konfigurationen, Assessment-Eingaben, Findings und Reports. NullSquare nutzt diese Daten nur, um den Service bereitzustellen, abzusichern, zu unterstützen und zu verbessern, wie hier oder in einer unterzeichneten Vereinbarung beschrieben.

• Wir verkaufen keine Kundendaten oder personenbezogenen Daten.
• Wir trainieren keine allgemeinen AI Models mit Kundencode, Credentials, Scan-Zielen, Findings oder Reports ohne ausdrückliche schriftliche Erlaubnis.
• Bei Private-Runner-Deployments laufen Tests in der Kundenumgebung. NullSquare erhält nur Metadaten, Findings, Reports oder Betriebsdaten, die der Kunde konfiguriert oder die für den Service erforderlich sind.
• Bei gehosteten Scans sind Execution Sandboxes isoliert und werden nach Abschluss zerstört. Raw Workspaces, Credentials und temporäre Ausführungsdaten werden standardmäßig nicht aufbewahrt.

Wir teilen Daten nur mit Parteien, die für den Betrieb von NullSquare, die Einhaltung von Recht oder einen vom Kunden angeforderten Workflow erforderlich sind.

• Anbieter für Infrastruktur, Hosting, Storage, Logging, Observability und Security.
• Anbieter für Zahlung, Steuern, Rechnungsstellung, E-Mail, Support, CRM und Kundenkommunikation.
• AI-Model- oder Analyseanbieter, die für gehostete Assessment-Workflows verwendet werden, vorbehaltlich Konfiguration und vertraglicher Kontrollen.
• Berater, Auditoren, Versicherer, Strafverfolgungsbehörden, Regulierer oder Gerichte, wenn dies rechtlich erforderlich ist oder zum Schutz von Rechten und Sicherheit nötig ist.
• Ein Nachfolger oder Käufer, falls NullSquare an Fusion, Übernahme, Finanzierung, Restrukturierung oder Verkauf von Vermögenswerten beteiligt ist.

Wir bewahren Daten nur so lange auf, wie es für den Erhebungszweck, die Kundenkonfiguration, vertragliche Anforderungen, Sicherheit, gesetzliche Pflichten oder berechtigte Geschäftsanforderungen nötig ist.

• Account-, Abrechnungs- und Support-Datensätze bleiben während eines aktiven Accounts und soweit für Steuern, Audits, Streitigkeiten und rechtliche Anforderungen nötig erhalten.
• Reports, Vulnerability Records und Compliance-Nachweise bleiben im Dashboard verfügbar, bis sie gelöscht, exportiert, gemäß Plan ablaufen oder nach Account-Schließung entfernt werden.
• Gehostete Execution Sandboxes und temporäre Workspaces werden nach Run-Abschluss zerstört, außer eine Untersuchung, Debugging-Anfrage oder rechtliche Pflicht erfordert Aufbewahrung.
• Für Scans bereitgestellte Credentials sollten begrenzt, widerrufbar und temporär sein. NullSquare löscht oder deaktiviert gespeicherte Credentials, wenn sie nicht mehr für den Service benötigt werden.

Melde vermutete Schwachstellen oder Vorfälle an security@nullsquare.net.

• TLS für Datenübertragung und Verschlüsselung gespeicherter Daten, soweit von unserer Infrastruktur unterstützt.
• Rollenbasierte Zugriffskontrollen, Least-Privilege-Betrieb, Audit Logging und eingeschränkter Produktionszugriff.
• Docker-basierte Isolation für gehostete Ausführung und Private-Runner-Optionen für interne Umgebungen.
• Security Monitoring, Vulnerability Management, Incident Investigation und Vendor-Review-Prozesse.

Wir verwenden Cookies und ähnliche Technologien für Authentifizierung, Sicherheit, Präferenzen, Performance, Analytics und Marketing Attribution. Du kannst Cookie-Einstellungen im Browser verwalten; das Deaktivieren notwendiger Cookies kann jedoch Teile des Services verhindern.

Je nach Standort kannst du Rechte auf Auskunft, Berichtigung, Löschung, Export, Einschränkung oder Widerspruch gegen die Verarbeitung personenbezogener Daten haben. Du kannst Marketing-E-Mails abbestellen und Einwilligungen widerrufen, wenn Verarbeitung auf Einwilligung beruht.

Für Anfragen kontaktiere legal@nullsquare.net. Wir benötigen möglicherweise Informationen, um Identität und Berechtigung vor Bearbeitung zu prüfen.

NullSquare bedient Kunden weltweit, einschließlich Kanada, USA, Vereinigtes Königreich und Europa. Daten können in Ländern verarbeitet werden, in denen NullSquare, Kunden oder Subprozessoren tätig sind. Wo erforderlich, nutzen wir geeignete vertragliche oder rechtliche Schutzmaßnahmen.

NullSquare richtet sich nicht an Kinder unter 16 Jahren, und wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren.

Wir können diese Richtlinie aktualisieren, wenn sich Produkt oder rechtliche Anforderungen ändern. Wesentliche Änderungen werden auf dieser Seite veröffentlicht oder über den Service kommuniziert.