Jak NullSquare obsługuje dane klientów i dane bezpieczeństwa

Niniejsza Polityka prywatności obejmuje stronę NullSquare, platformę, bezpłatną ocenę, Private Runner, integrację GitHub, raporty oraz kanały wsparcia.

NullSquare jest administratorem danych strony, konta, rozliczeń, wsparcia, sprzedaży i telemetry platformy. W przypadku treści assessmentów klientów NullSquare przetwarza dane zgodnie z instrukcjami klienta i właściwą umową usługową.

Zbieramy tylko dane potrzebne do działania, zabezpieczenia, wsparcia i ulepszania usługi.

• Dane konta i kontaktowe: imię i nazwisko, e-mail służbowy, firma, rola, identyfikatory logowania, członkostwo w workspace i preferencje komunikacji.
• Dane rozliczeniowe: plan, faktura, podatki i status płatności. Dane kart płatniczych obsługuje nasz procesor płatności i nie są przechowywane przez NullSquare.
• Dane strony i urządzenia: odwiedzone strony, źródło wejścia, przybliżona lokalizacja, przeglądarka, urządzenie, identyfikatory cookies, diagnostyka i logi bezpieczeństwa.
• Dane wejściowe assessmentów: domeny, IP, repozytoria, endpointy API, instrukcje scope, credentials testowe i konfiguracja scanów.
• Dane wyjściowe assessmentów: zwalidowane Findingi, dowody proof-of-concept, severity, zalecenia naprawcze, status retestu, evidence compliance i metadane raportów.
• Dane Runnerów i integracji: status Private Runner, metadane pull requestów GitHub, zdarzenia CI, logi webhooków i konfiguracja integracji.
• Dane wsparcia i sprzedaży: wiadomości, notatki ze spotkań, demo, feedback i informacje, które zdecydujesz się przekazać zespołowi.

Używamy danych do konkretnych celów potrzebnych do dostarczania platformy testów bezpieczeństwa.

• Uruchamianie autoryzowanych assessmentów, walidowanie Findingów, generowanie raportów i ponowne testowanie poprawek.
• Weryfikowanie autoryzacji, egzekwowanie scope, zapobieganie nadużyciom, badanie incydentów i ochrona platformy.
• Obsługa kont, uwierzytelniania, rozliczeń, wsparcia, powiadomień i komunikacji z klientami.
• Ulepszanie niezawodności, wydajności, doświadczenia użytkownika i jakości produktu z użyciem telemetry oraz danych zagregowanych lub zanonimizowanych.
• Przygotowywanie evidence compliance żądanego przez klientów, w tym materiałów raportowych zorientowanych na SOC 2, ISO 27001, HIPAA i PCI-DSS.
• Przestrzeganie prawa, egzekwowanie umów, rozwiązywanie sporów, pobieranie opłat i odpowiadanie na zgodne z prawem żądania.

Zachowujesz własność targetów, kodu, credentials, konfiguracji, danych wejściowych assessmentów, Findingów i raportów. NullSquare używa tych danych tylko do świadczenia, zabezpieczania, wspierania i ulepszania usługi zgodnie z tym dokumentem albo podpisaną umową.

• Nie sprzedajemy danych klientów ani danych osobowych.
• Nie trenujemy ogólnego przeznaczenia modeli AI na kodzie, credentials, targetach scanów, Findingach ani raportach klientów bez wyraźnej pisemnej zgody.
• W deploymentach Private Runner testy działają w środowisku klienta. NullSquare otrzymuje tylko metadane, Findingi, raporty lub dane operacyjne skonfigurowane przez klienta albo wymagane do działania usługi.
• W hosted scanach sandboxy wykonawcze są izolowane i niszczone po zakończeniu. Raw workspaces, credentials i tymczasowe dane wykonania domyślnie nie są przechowywane.

Udostępniamy dane tylko stronom potrzebnym do działania NullSquare, spełnienia wymogów prawa albo realizacji workflow żądanego przez klienta.

• Dostawcy infrastruktury, hostingu, storage, loggingu, observability i bezpieczeństwa.
• Dostawcy płatności, podatków, fakturowania, e-maila, wsparcia, CRM i komunikacji z klientami.
• Dostawcy modeli AI lub analizy używani w hosted assessment workflows, z zastrzeżeniem konfiguracji i kontroli umownych.
• Doradcy zawodowi, audytorzy, ubezpieczyciele, organy ścigania, regulatorzy albo sądy, gdy wymaga tego prawo lub ochrona praw i bezpieczeństwa.
• Następca lub nabywca, jeśli NullSquare uczestniczy w fuzji, przejęciu, finansowaniu, restrukturyzacji albo sprzedaży aktywów.

Przechowujemy dane tylko tak długo, jak jest to potrzebne dla celu zebrania, konfiguracji klienta, wymogów umownych, bezpieczeństwa, obowiązków prawnych albo uzasadnionych potrzeb biznesowych.

• Rekordy konta, rozliczeń i wsparcia są przechowywane, gdy konto jest aktywne, oraz tak długo, jak wymaga tego podatek, audyt, spór albo prawo.
• Raporty, rekordy podatności i evidence compliance pozostają dostępne w dashboardzie do usunięcia, eksportu, wygaśnięcia według planu albo usunięcia po zamknięciu konta.
• Hosted execution sandboxy i tymczasowe workspace są niszczone po zakończeniu runu, chyba że investigation, prośba debuggingowa albo obowiązek prawny wymaga zachowania.
• Credentials dostarczone do scanów powinny być ograniczone scope, odwoływalne i tymczasowe. NullSquare usuwa albo wyłącza zapisane credentials, gdy nie są już potrzebne do świadczenia usługi.

Podejrzane podatności lub incydenty zgłaszaj na security@nullsquare.net.

• TLS dla danych w transmisji i szyfrowanie danych przechowywanych tam, gdzie wspiera to nasza infrastruktura.
• Role-based access controls, działania least-privilege, audit logging i ograniczony dostęp do produkcji.
• Izolacja Docker-based dla hosted execution oraz opcje deploymentu Private Runner dla środowisk wewnętrznych.
• Security monitoring, vulnerability management, incident investigation i procesy przeglądu dostawców.

Używamy cookies i podobnych technologii do uwierzytelniania, bezpieczeństwa, preferencji, wydajności, analytics i atrybucji marketingowej. Możesz zarządzać ustawieniami cookies w przeglądarce, ale wyłączenie cookies niezbędnych może uniemożliwić działanie części usługi.

W zależności od lokalizacji możesz mieć prawa do dostępu, poprawiania, usunięcia, eksportu, ograniczenia albo sprzeciwu wobec przetwarzania danych osobowych. Możesz też wypisać się z e-maili marketingowych i wycofać zgodę, gdy przetwarzanie jest oparte na zgodzie.

Aby złożyć żądanie, skontaktuj się z legal@nullsquare.net. Przed realizacją żądania możemy poprosić o informacje potwierdzające tożsamość i uprawnienia.

NullSquare obsługuje klientów globalnie, w tym w Kanadzie, Stanach Zjednoczonych, Wielkiej Brytanii i Europie. Dane mogą być przetwarzane w krajach, w których działają NullSquare, klienci i subprocessors. Gdy jest to wymagane, stosujemy odpowiednie zabezpieczenia umowne albo prawne dla transferów.

NullSquare nie jest przeznaczony dla dzieci poniżej 16 lat i świadomie nie zbieramy danych osobowych od dzieci poniżej 16 lat.

Możemy aktualizować tę politykę wraz ze zmianami produktu i wymogów prawnych. Istotne zmiany zostaną opublikowane na tej stronie albo przekazane przez usługę.