Come NullSquare gestisce dati dei clienti e dati di sicurezza

Questa Privacy Policy copre il sito web NullSquare, la piattaforma, la valutazione gratuita, il Private Runner, l’integrazione GitHub, i report e i canali di supporto.

NullSquare agisce come titolare del trattamento per dati del sito web, account, fatturazione, supporto, vendite e telemetria della piattaforma. Per il contenuto delle valutazioni dei clienti, NullSquare tratta i dati secondo le istruzioni del cliente e il contratto di servizio applicabile.

Raccogliamo solo i dati necessari per operare, proteggere, supportare e migliorare il servizio.

• Dati account e contatto: nome, email aziendale, azienda, ruolo, identificatori di autenticazione, appartenenza al workspace e preferenze di comunicazione.
• Dati di fatturazione: piano, fattura, tasse e stato del pagamento. I dati della carta sono gestiti dal nostro processore di pagamento e non sono conservati da NullSquare.
• Dati del sito e del dispositivo: pagine visitate, sorgente di riferimento, posizione approssimativa, browser, dispositivo, identificatori cookie, diagnostica e log di sicurezza.
• Input di valutazione: domini, IP, repository, endpoint API, istruzioni di scope, credenziali di test e configurazione dello scan.
• Output di valutazione: findings validati, evidenze proof-of-concept, severità, guida alla remediation, stato di retest, evidenze di conformità e metadati del report.
• Dati di runner e integrazioni: stato del Private Runner, metadati delle pull request GitHub, eventi CI, log dei webhook e configurazione delle integrazioni.
• Dati di supporto e vendite: messaggi, note di meeting, demo, feedback e informazioni che scegli di condividere con il nostro team.

Usiamo i dati per gli scopi specifici necessari a fornire una piattaforma di test di sicurezza.

• Eseguire valutazioni autorizzate, validare findings, generare report e ritestare fix.
• Verificare autorizzazioni, applicare lo scope, prevenire abusi, investigare incidenti e proteggere la piattaforma.
• Gestire account, autenticazione, fatturazione, supporto, notifiche e comunicazioni con i clienti.
• Migliorare affidabilità, prestazioni, esperienza utente e qualità del prodotto usando telemetria e dati aggregati o de-identificati.
• Preparare evidenze di conformità richieste dai clienti, incluso materiale di report orientato a SOC 2, ISO 27001, HIPAA e PCI-DSS.
• Rispettare la legge, far valere accordi, risolvere controversie, riscuotere importi e rispondere a richieste legittime.

Mantieni la proprietà dei tuoi target, codice, credenziali, configurazioni, input di valutazione, findings e report. NullSquare usa quei dati solo per fornire, proteggere, supportare e migliorare il servizio come descritto qui o in un accordo firmato.

• Non vendiamo dati dei clienti né dati personali.
• Non addestriamo modelli AI general-purpose su codice, credenziali, target di scan, findings o report dei clienti senza permesso scritto esplicito.
• Nelle distribuzioni Private Runner, i test vengono eseguiti dentro l’ambiente del cliente. NullSquare riceve solo metadati, findings, report o dati operativi configurati dal cliente o necessari per operare il servizio.
• Negli scan ospitati, i sandbox di esecuzione sono isolati e distrutti al termine. Workspace grezzi, credenziali e dati temporanei di esecuzione non sono conservati per impostazione predefinita.

Condividiamo dati solo con parti necessarie per operare NullSquare, rispettare la legge o completare un workflow richiesto dal cliente.

• Provider di infrastruttura, hosting, storage, logging, osservabilità e sicurezza.
• Provider di pagamento, tasse, fatturazione, email, supporto, CRM e comunicazione con i clienti.
• Provider di modelli AI o analisi usati per eseguire workflow di valutazione ospitati, soggetti a configurazione e controlli contrattuali.
• Consulenti professionali, revisori, assicuratori, autorità, regolatori o tribunali quando legalmente richiesto o necessario per proteggere diritti e sicurezza.
• Un successore o acquirente se NullSquare partecipa a fusione, acquisizione, finanziamento, ristrutturazione o vendita di asset.

Conserviamo i dati solo per il tempo necessario allo scopo della raccolta, alla configurazione del cliente, ai requisiti contrattuali, alla sicurezza, agli obblighi legali o a legittime esigenze aziendali.

• Record di account, fatturazione e supporto sono conservati mentre l’account è attivo e secondo necessità per tasse, audit, controversie e requisiti legali.
• Report, record di vulnerabilità ed evidenze di conformità restano disponibili nel tuo dashboard fino a eliminazione, esportazione, scadenza secondo il piano o rimozione dopo la chiusura dell’account.
• Sandbox di esecuzione ospitati e workspace temporanei sono distrutti dopo il completamento della run, salvo che un’indagine, una richiesta di debugging o un obbligo legale richieda preservazione.
• Le credenziali fornite per gli scan devono avere scope limitato, essere revocabili e temporanee. NullSquare elimina o disattiva le credenziali archiviate quando non sono più necessarie per fornire il servizio.

Segnala vulnerabilità o incidenti sospetti a security@nullsquare.net.

• TLS per i dati in transito e crittografia per i dati archiviati quando supportata dalla nostra infrastruttura.
• Controlli di accesso basati su ruoli, operazioni a privilegio minimo, logging di audit e accesso alla produzione limitato.
• Isolamento basato su Docker per l’esecuzione ospitata e opzioni di distribuzione Private Runner per ambienti interni.
• Monitoraggio di sicurezza, gestione delle vulnerabilità, investigazione degli incidenti e processi di revisione dei vendor.

Usiamo cookie e tecnologie simili per autenticazione, sicurezza, preferenze, prestazioni, analytics e attribuzione marketing. Puoi gestire le impostazioni cookie nel browser, ma disattivare i cookie essenziali può impedire il funzionamento di parti del servizio.

A seconda della tua posizione, potresti avere diritti di accesso, correzione, eliminazione, esportazione, limitazione o opposizione al trattamento dei dati personali. Puoi anche annullare l’iscrizione alle email marketing e revocare il consenso quando il trattamento si basa sul consenso.

Per effettuare una richiesta, contatta legal@nullsquare.net. Potremmo aver bisogno di informazioni per verificare la tua identità e autorità prima di soddisfare la richiesta.

NullSquare serve clienti globalmente, inclusi Canada, Stati Uniti, Regno Unito ed Europa. I dati possono essere trattati in paesi in cui operano NullSquare, clienti e subprocessori. Quando richiesto, usiamo garanzie contrattuali o legali adeguate per i trasferimenti.

NullSquare non è destinata a minori di 16 anni e non raccogliamo consapevolmente dati personali di minori di 16 anni.

Possiamo aggiornare questa policy man mano che cambiano il prodotto e i requisiti legali. Le modifiche materiali saranno pubblicate su questa pagina o comunicate attraverso il servizio.