Cómo NullSquare maneja datos de clientes y datos de seguridad

Esta Política de Privacidad cubre el sitio web de NullSquare, la plataforma, la evaluación gratuita, Private Runner, la integración con GitHub, los reportes y los canales de soporte.

NullSquare actúa como responsable del tratamiento para datos del sitio web, cuenta, facturación, soporte, ventas y telemetría de la plataforma. Para contenido de evaluaciones de clientes, NullSquare procesa los datos según las instrucciones del cliente y el acuerdo de servicio aplicable.

Recopilamos solo los datos necesarios para operar, proteger, dar soporte y mejorar el servicio.

• Datos de cuenta y contacto: nombre, correo empresarial, empresa, cargo, identificadores de autenticación, membresía del workspace y preferencias de comunicación.
• Datos de facturación: plan, factura, impuestos y estado de pago. Los datos de tarjeta son gestionados por nuestro procesador de pagos y NullSquare no los almacena.
• Datos del sitio y dispositivo: páginas visitadas, fuente de referencia, ubicación aproximada, navegador, dispositivo, identificadores de cookies, diagnósticos y logs de seguridad.
• Entradas de evaluación: dominios, IPs, repositorios, API endpoints, instrucciones de alcance, credenciales de prueba y configuración de scan.
• Salidas de evaluación: findings validados, evidencia proof-of-concept, severidad, guía de remediación, estado de retest, evidencia de cumplimiento y metadatos del reporte.
• Datos de runner e integraciones: estado de Private Runner, metadatos de pull requests de GitHub, eventos CI, logs de webhooks y configuración de integraciones.
• Datos de soporte y ventas: mensajes, notas de reuniones, demos, feedback e información que decidas compartir con nuestro equipo.

Usamos los datos para los fines específicos necesarios para entregar una plataforma de pruebas de seguridad.

• Ejecutar evaluaciones autorizadas, validar findings, generar reportes y volver a probar fixes.
• Verificar autorización, hacer cumplir el alcance, prevenir abuso, investigar incidentes y proteger la plataforma.
• Operar cuentas, autenticación, facturación, soporte, notificaciones y comunicaciones con clientes.
• Mejorar confiabilidad, rendimiento, experiencia de usuario y calidad del producto usando telemetría y datos agregados o desidentificados.
• Preparar evidencia de cumplimiento solicitada por clientes, incluida evidencia orientada a SOC 2, ISO 27001, HIPAA y PCI-DSS.
• Cumplir la ley, hacer cumplir acuerdos, resolver disputas, cobrar tarifas y responder a solicitudes legales.

Tú conservas la propiedad de tus targets, código, credenciales, configuraciones, entradas de evaluación, findings y reportes. NullSquare usa esos datos solo para proporcionar, proteger, dar soporte y mejorar el servicio según se describe aquí o en un acuerdo firmado.

• No vendemos datos de clientes ni datos personales.
• No entrenamos modelos de IA de propósito general con código, credenciales, targets de scan, findings o reportes de clientes sin permiso escrito explícito.
• En despliegues de Private Runner, las pruebas se ejecutan dentro del entorno del cliente. NullSquare recibe solo metadatos, findings, reportes o datos operativos configurados por el cliente o necesarios para operar el servicio.
• En scans hospedados, los sandboxes de ejecución se aíslan y destruyen al completar la ejecución. Los workspaces, credenciales y datos temporales de ejecución no se retienen por defecto.

Compartimos datos solo con partes necesarias para operar NullSquare, cumplir la ley o completar un workflow solicitado por el cliente.

• Proveedores de infraestructura, hosting, almacenamiento, logging, observabilidad y seguridad.
• Proveedores de pagos, impuestos, facturación, email, soporte, CRM y comunicación con clientes.
• Proveedores de modelos de IA o análisis usados para realizar workflows de evaluación hospedados, sujetos a configuración y controles contractuales.
• Asesores profesionales, auditores, aseguradoras, autoridades, reguladores o tribunales cuando sea legalmente requerido o necesario para proteger derechos y seguridad.
• Un sucesor o comprador si NullSquare participa en una fusión, adquisición, financiación, reestructuración o venta de activos.

Conservamos los datos solo durante el tiempo necesario para el fin de recopilación, la configuración del cliente, requisitos contractuales, seguridad, obligaciones legales o necesidades comerciales legítimas.

• Los registros de cuenta, facturación y soporte se conservan mientras tu cuenta esté activa y según sea necesario para impuestos, auditoría, disputas y requisitos legales.
• Los reportes, registros de vulnerabilidades y evidencia de cumplimiento permanecen disponibles en tu dashboard hasta que se eliminen, exporten, expiren según tu plan o se retiren tras el cierre de la cuenta.
• Los sandboxes de ejecución hospedados y workspaces temporales se destruyen al finalizar la ejecución, salvo que una investigación, solicitud de debugging u obligación legal requiera preservación.
• Las credenciales proporcionadas para scans deben tener alcance limitado, ser revocables y temporales. NullSquare elimina o desactiva credenciales almacenadas cuando ya no son necesarias para prestar el servicio.

Reporta vulnerabilidades o incidentes sospechosos a security@nullsquare.net.

• TLS para datos en tránsito y cifrado para datos almacenados cuando nuestra infraestructura lo soporta.
• Controles de acceso basados en roles, operaciones con mínimo privilegio, logging de auditoría y acceso restringido a producción.
• Aislamiento basado en Docker para ejecución hospedada y opciones de Private Runner para entornos internos.
• Monitoreo de seguridad, gestión de vulnerabilidades, investigación de incidentes y procesos de revisión de proveedores.

Usamos cookies y tecnologías similares para autenticación, seguridad, preferencias, rendimiento, analítica y atribución de marketing. Puedes gestionar la configuración de cookies en tu navegador, pero desactivar cookies esenciales puede impedir que partes del servicio funcionen.

Según tu ubicación, puedes tener derechos de acceso, corrección, eliminación, exportación, restricción u oposición al tratamiento de datos personales. También puedes darte de baja de emails de marketing y retirar consentimiento cuando el tratamiento se base en consentimiento.

Para hacer una solicitud, contacta a legal@nullsquare.net. Podemos necesitar información para verificar tu identidad y autoridad antes de atender la solicitud.

NullSquare atiende clientes globalmente, incluidos Canadá, Estados Unidos, Reino Unido y Europa. Los datos pueden procesarse en países donde operan NullSquare, clientes y subprocesadores. Cuando sea requerido, usamos salvaguardas contractuales o legales adecuadas para transferencias.

NullSquare no está destinado a menores de 16 años y no recopilamos deliberadamente datos personales de menores de 16 años.

Podemos actualizar esta política a medida que cambien el producto y los requisitos legales. Los cambios materiales se publicarán en esta página o se comunicarán a través del servicio.