NullSquareが顧客データとセキュリティデータを扱う方法

本プライバシーポリシーは、NullSquareのWebサイト、プラットフォーム、無料アセスメント、Private Runner、GitHub連携、レポート、サポートチャネルに適用されます。

NullSquareは、Webサイト、アカウント、請求、サポート、営業、プラットフォームテレメトリのデータについて管理者として取り扱います。顧客アセスメントのコンテンツについては、顧客の指示および適用されるサービス契約に従って処理します。

当社は、サービスの運用、保護、サポート、改善に必要なデータのみを収集します。

• アカウントおよび連絡先データ: 氏名、勤務先メール、会社、役割、認証識別子、Workspaceメンバーシップ、連絡設定。
• 請求データ: プラン、請求書、税務、支払い状況データ。支払いカード情報は決済処理業者が扱い、NullSquareは保存しません。
• Webサイトおよびデバイスデータ: 訪問ページ、参照元、おおよその所在地、ブラウザ、デバイス、Cookie識別子、診断情報、Security Logs。
• アセスメント入力: ドメイン、IP、リポジトリ、APIエンドポイント、スコープ指示、テスト認証情報、スキャン設定。
• アセスメント出力: 検証済みFinding、Proof-of-Concept証拠、重要度、修復ガイダンス、再テスト状況、コンプライアンス証跡、レポートメタデータ。
• Runnerおよび連携データ: Private Runnerの状態、GitHub Pull Requestメタデータ、CIイベント、Webhook Logs、連携設定。
• サポートおよび営業データ: メッセージ、ミーティングメモ、デモ、フィードバック、当社チームに共有いただく情報。

当社は、セキュリティテストプラットフォームを提供するために必要な具体的な目的でデータを利用します。

• 許可されたアセスメントの実行、Findingの検証、レポート生成、修正後の再テスト。
• 権限の確認、スコープの適用、不正利用の防止、インシデント調査、プラットフォーム保護。
• アカウント、認証、請求、サポート、通知、顧客コミュニケーションの運用。
• テレメトリおよび集計または非識別化データを用いた信頼性、性能、ユーザー体験、製品品質の改善。
• SOC 2、ISO 27001、HIPAA、PCI-DSS向けのレポート素材など、顧客が求めるコンプライアンス証跡の準備。
• 法令遵守、契約の執行、紛争解決、料金回収、適法な要請への対応。

お客様は、ターゲット、コード、認証情報、設定、アセスメント入力、Finding、レポートの所有権を保持します。NullSquareは、本ポリシーまたは署名済み契約に記載された範囲で、サービスの提供、保護、サポート、改善のためにのみこれらのデータを利用します。

• 当社は顧客データまたは個人データを販売しません。
• 当社は、明示的な書面による許可なく、顧客コード、認証情報、スキャンターゲット、Finding、レポートを汎用AIモデルの学習に使用しません。
• Private Runnerのデプロイでは、テストは顧客環境内で実行されます。NullSquareが受け取るのは、顧客が設定した、またはサービス運用に必要なメタデータ、Finding、レポート、運用データのみです。
• ホスト型スキャンでは、実行Sandboxは隔離され、完了後に破棄されます。Raw Workspace、認証情報、一時的な実行データは既定では保持されません。

当社は、NullSquareの運用、法令遵守、または顧客が依頼したワークフローの完了に必要な相手にのみデータを共有します。

• インフラ、ホスティング、ストレージ、ログ、Observability、セキュリティの各プロバイダー。
• 決済、税務、請求、メール、サポート、CRM、顧客コミュニケーションの各プロバイダー。
• ホスト型アセスメントワークフローで使用されるAIモデルまたは分析プロバイダー。ただし設定および契約上の管理に従います。
• 権利と安全の保護に必要な場合、または法的に求められる場合の専門アドバイザー、監査人、保険会社、法執行機関、規制当局、裁判所。
• NullSquareが合併、買収、資金調達、組織再編、資産売却に関与する場合の承継者または買主。

当社は、収集目的、顧客設定、契約上の要件、セキュリティ、法的義務、または正当な事業上の必要性に応じて必要な期間のみデータを保持します。

• アカウント、請求、サポートの記録は、アカウントが有効な間、および税務、監査、紛争、法的要件に必要な範囲で保持されます。
• レポート、脆弱性記録、コンプライアンス証跡は、削除、エクスポート、プランに基づく期限切れ、またはアカウント終了後の削除までダッシュボードで利用できます。
• ホスト型実行Sandboxと一時Workspaceは、調査、デバッグ依頼、法的義務により保存が必要な場合を除き、Run完了後に破棄されます。
• スキャン用に提供する認証情報は、範囲を限定し、取り消し可能で、一時的なものにしてください。NullSquareは、サービス提供に不要になった保存済み認証情報を削除または無効化します。

脆弱性またはインシデントが疑われる場合は、security@nullsquare.netまで報告してください。

• 転送中データに対するTLS、および当社インフラが対応する範囲での保存データ暗号化。
• ロールベースのアクセス制御、最小権限運用、監査ログ、制限された本番アクセス。
• ホスト型実行のDockerベース隔離と、内部環境向けPrivate Runnerデプロイオプション。
• Security Monitoring、Vulnerability Management、Incident Investigation、Vendor Reviewプロセス。

当社は、認証、セキュリティ、設定、性能、Analytics、マーケティングアトリビューションのためにCookieおよび類似技術を使用します。ブラウザのCookie設定は管理できますが、必須Cookieを無効にするとサービスの一部が動作しない場合があります。

所在地によっては、個人データへのアクセス、訂正、削除、エクスポート、処理制限、処理への異議申し立ての権利を有する場合があります。また、マーケティングメールの配信停止や、同意に基づく処理について同意の撤回ができる場合があります。

リクエストはlegal@nullsquare.netまでご連絡ください。対応前に、本人確認および権限確認のための情報が必要になる場合があります。

NullSquareは、カナダ、米国、英国、欧州を含む世界中の顧客にサービスを提供しています。データは、NullSquare、顧客、サブプロセッサが運用する国で処理される場合があります。必要な場合、当社は移転に対して適切な契約上または法的な保護措置を用います。

NullSquareは16歳未満の児童を対象としておらず、16歳未満の児童から個人データを意図的に収集することはありません。

製品および法的要件の変更に応じて、本ポリシーを更新する場合があります。重要な変更はこのページまたはサービスを通じて通知されます。