Comment NullSquare traite les données client et les données de sécurité

Cette politique de confidentialité couvre le site NullSquare, la plateforme, l’assessment gratuit, le Private Runner, l’intégration GitHub, les rapports et les canaux de support.

NullSquare est responsable du traitement pour les données du site, de compte, de facturation, de support, de vente et de télémétrie plateforme. Pour le contenu des assessments clients, NullSquare traite les données selon les instructions du client et l’accord de service applicable.

Nous collectons uniquement les données nécessaires pour exploiter, sécuriser, supporter et améliorer le service.

• Données de compte et de contact : nom, e-mail professionnel, entreprise, rôle, identifiants d’authentification, appartenance au workspace et préférences de communication.
• Données de facturation : plan, facture, taxes et statut de paiement. Les données de carte sont traitées par notre prestataire de paiement et ne sont pas stockées par NullSquare.
• Données du site et de l’appareil : pages visitées, source de référence, localisation approximative, navigateur, appareil, identifiants cookies, diagnostics et security logs.
• Entrées d’assessment : domaines, IPs, repositories, API endpoints, instructions de scope, identifiants de test et configuration de scan.
• Sorties d’assessment : findings validés, preuves proof-of-concept, sévérité, recommandations de remédiation, statut de retest, preuves de conformité et métadonnées de rapport.
• Données runner et intégrations : statut Private Runner, métadonnées GitHub pull request, événements CI, logs webhooks et configuration d’intégration.
• Données support et ventes : messages, notes de réunion, démos, feedback et informations que vous choisissez de partager avec notre équipe.

Nous utilisons les données pour les finalités spécifiques nécessaires à une plateforme de tests de sécurité.

• Exécuter des assessments autorisés, valider les findings, générer des rapports et retester les corrections.
• Vérifier l’autorisation, appliquer le scope, prévenir les abus, enquêter sur les incidents et protéger la plateforme.
• Exploiter les comptes, l’authentification, la facturation, le support, les notifications et les communications client.
• Améliorer la fiabilité, les performances, l’expérience utilisateur et la qualité produit avec de la télémétrie et des données agrégées ou dé-identifiées.
• Préparer les preuves de conformité demandées par les clients, y compris du matériel orienté SOC 2, ISO 27001, HIPAA et PCI-DSS.
• Respecter la loi, faire appliquer les accords, résoudre les litiges, percevoir les frais et répondre aux demandes légales.

Vous conservez la propriété de vos cibles, code, identifiants, configurations, entrées d’assessment, findings et rapports. NullSquare utilise ces données uniquement pour fournir, sécuriser, supporter et améliorer le service comme décrit ici ou dans un accord signé.

• Nous ne vendons pas les données client ni les données personnelles.
• Nous n’entraînons pas d’AI models généralistes sur le code client, les identifiants, les cibles de scan, les findings ou les rapports sans autorisation écrite explicite.
• Pour les déploiements Private Runner, les tests s’exécutent dans l’environnement client. NullSquare reçoit uniquement les métadonnées, findings, rapports ou données opérationnelles configurées par le client ou nécessaires au service.
• Pour les scans hébergés, les sandboxes d’exécution sont isolées et détruites après la fin. Les workspaces bruts, identifiants et données temporaires d’exécution ne sont pas conservés par défaut.

Nous partageons les données uniquement avec les parties nécessaires pour exploiter NullSquare, respecter la loi ou compléter un workflow demandé par le client.

• Prestataires d’infrastructure, hébergement, stockage, logging, observability et sécurité.
• Prestataires de paiement, taxes, facturation, e-mail, support, CRM et communication client.
• Fournisseurs d’AI model ou d’analyse utilisés pour les workflows d’assessment hébergés, selon la configuration et les contrôles contractuels.
• Conseillers professionnels, auditeurs, assureurs, forces de l’ordre, régulateurs ou tribunaux lorsque la loi l’exige ou pour protéger les droits et la sécurité.
• Un successeur ou acquéreur si NullSquare participe à une fusion, acquisition, financement, restructuration ou vente d’actifs.

Nous conservons les données uniquement aussi longtemps que nécessaire pour la finalité de collecte, la configuration client, les exigences contractuelles, la sécurité, les obligations légales ou les besoins commerciaux légitimes.

• Les dossiers de compte, facturation et support sont conservés pendant que le compte est actif et autant que nécessaire pour les taxes, audits, litiges et obligations légales.
• Les rapports, dossiers de vulnérabilités et preuves de conformité restent disponibles dans le dashboard jusqu’à suppression, export, expiration selon le plan ou retrait après fermeture du compte.
• Les sandboxes d’exécution hébergées et workspaces temporaires sont détruits après la fin du run sauf si une enquête, une demande de debugging ou une obligation légale impose leur conservation.
• Les identifiants fournis pour les scans doivent être limités, révocables et temporaires. NullSquare supprime ou désactive les identifiants stockés lorsqu’ils ne sont plus nécessaires au service.

Signalez les vulnérabilités ou incidents suspectés à security@nullsquare.net.

• TLS pour les données en transit et chiffrement des données stockées lorsque notre infrastructure le permet.
• Contrôles d’accès par rôle, opérations en moindre privilège, audit logging et accès production restreint.
• Isolation basée sur Docker pour l’exécution hébergée et options Private Runner pour les environnements internes.
• Security monitoring, vulnerability management, investigation d’incidents et processus de revue fournisseurs.

Nous utilisons des cookies et technologies similaires pour l’authentification, la sécurité, les préférences, la performance, les analytics et l’attribution marketing. Vous pouvez gérer les paramètres cookies du navigateur, mais désactiver les cookies essentiels peut empêcher certaines parties du service de fonctionner.

Selon votre localisation, vous pouvez avoir des droits d’accès, de correction, suppression, export, limitation ou opposition au traitement des données personnelles. Vous pouvez aussi vous désinscrire des e-mails marketing et retirer votre consentement lorsque le traitement repose sur le consentement.

Pour faire une demande, contactez legal@nullsquare.net. Nous pouvons demander des informations pour vérifier votre identité et votre autorité avant d’y répondre.

NullSquare sert des clients dans le monde entier, notamment au Canada, aux États-Unis, au Royaume-Uni et en Europe. Les données peuvent être traitées dans les pays où NullSquare, ses clients et ses sous-traitants opèrent. Lorsque nécessaire, nous utilisons des garanties contractuelles ou légales appropriées.

NullSquare n’est pas destiné aux enfants de moins de 16 ans et nous ne collectons pas sciemment de données personnelles d’enfants de moins de 16 ans.

Nous pouvons mettre à jour cette politique lorsque le produit ou les exigences légales changent. Les changements matériels seront publiés sur cette page ou communiqués via le service.