Como a NullSquare trata dados de clientes e dados de segurança

Esta Política de Privacidade cobre o site da NullSquare, a plataforma, a avaliação gratuita, o Private Runner, a integração com GitHub, relatórios e canais de suporte.

A NullSquare atua como controladora dos dados do site, conta, cobrança, suporte, vendas e telemetria da plataforma. Para conteúdo de avaliações de clientes, a NullSquare processa dados de acordo com as instruções do cliente e o contrato de serviço aplicável.

Coletamos apenas os dados necessários para operar, proteger, dar suporte e melhorar o serviço.

• Dados de conta e contato: nome, email corporativo, empresa, cargo, identificadores de autenticação, associação ao workspace e preferências de comunicação.
• Dados de cobrança: plano, fatura, impostos e status de pagamento. Dados de cartão são tratados pelo nosso processador de pagamentos e não são armazenados pela NullSquare.
• Dados do site e dispositivo: páginas visitadas, origem de referência, localização aproximada, navegador, dispositivo, identificadores de cookies, diagnósticos e logs de segurança.
• Entradas de avaliação: domínios, IPs, repositórios, endpoints de API, instruções de escopo, credenciais de teste e configuração de scan.
• Saídas de avaliação: findings validados, evidência proof-of-concept, severidade, orientação de remediação, status de reteste, evidência de conformidade e metadados do relatório.
• Dados de runner e integrações: status do Private Runner, metadados de pull requests do GitHub, eventos CI, logs de webhooks e configuração de integrações.
• Dados de suporte e vendas: mensagens, notas de reuniões, demos, feedback e informações que você escolhe compartilhar com nossa equipe.

Usamos dados para os fins específicos necessários para entregar uma plataforma de testes de segurança.

• Executar avaliações autorizadas, validar findings, gerar relatórios e retestar fixes.
• Verificar autorização, aplicar escopo, prevenir abuso, investigar incidentes e proteger a plataforma.
• Operar contas, autenticação, cobrança, suporte, notificações e comunicações com clientes.
• Melhorar confiabilidade, desempenho, experiência do usuário e qualidade do produto usando telemetria e dados agregados ou desidentificados.
• Preparar evidências de conformidade solicitadas por clientes, incluindo material de relatório orientado a SOC 2, ISO 27001, HIPAA e PCI-DSS.
• Cumprir a lei, aplicar contratos, resolver disputas, cobrar valores e responder a solicitações legais.

Você mantém a propriedade dos seus targets, código, credenciais, configurações, entradas de avaliação, findings e relatórios. A NullSquare usa esses dados apenas para fornecer, proteger, dar suporte e melhorar o serviço conforme descrito aqui ou em um contrato assinado.

• Não vendemos dados de clientes nem dados pessoais.
• Não treinamos modelos de IA de propósito geral com código, credenciais, targets de scan, findings ou relatórios de clientes sem permissão escrita explícita.
• Em implantações de Private Runner, os testes são executados dentro do ambiente do cliente. A NullSquare recebe apenas metadados, findings, relatórios ou dados operacionais configurados pelo cliente ou necessários para operar o serviço.
• Em scans hospedados, os sandboxes de execução são isolados e destruídos após a conclusão. Workspaces brutos, credenciais e dados temporários de execução não são retidos por padrão.

Compartilhamos dados apenas com partes necessárias para operar a NullSquare, cumprir a lei ou concluir um workflow solicitado pelo cliente.

• Provedores de infraestrutura, hospedagem, armazenamento, logging, observabilidade e segurança.
• Provedores de pagamento, impostos, faturamento, email, suporte, CRM e comunicação com clientes.
• Provedores de modelos de IA ou análise usados para executar workflows de avaliação hospedados, sujeitos à configuração e controles contratuais.
• Consultores profissionais, auditores, seguradoras, autoridades, reguladores ou tribunais quando legalmente exigido ou necessário para proteger direitos e segurança.
• Um sucessor ou comprador se a NullSquare participar de fusão, aquisição, financiamento, reestruturação ou venda de ativos.

Mantemos dados apenas pelo tempo necessário para a finalidade da coleta, a configuração do cliente, requisitos contratuais, segurança, obrigações legais ou necessidades comerciais legítimas.

• Registros de conta, cobrança e suporte são mantidos enquanto sua conta estiver ativa e conforme necessário para impostos, auditoria, disputas e requisitos legais.
• Relatórios, registros de vulnerabilidades e evidências de conformidade permanecem disponíveis no seu dashboard até serem excluídos, exportados, expirarem conforme seu plano ou removidos após o encerramento da conta.
• Sandboxes de execução hospedada e workspaces temporários são destruídos após a conclusão da execução, salvo se uma investigação, solicitação de debugging ou obrigação legal exigir preservação.
• Credenciais fornecidas para scans devem ter escopo limitado, ser revogáveis e temporárias. A NullSquare exclui ou desativa credenciais armazenadas quando elas não são mais necessárias para prestar o serviço.

Reporte vulnerabilidades ou incidentes suspeitos para security@nullsquare.net.

• TLS para dados em trânsito e criptografia para dados armazenados quando suportado pela nossa infraestrutura.
• Controles de acesso baseados em função, operações com privilégio mínimo, logging de auditoria e acesso restrito à produção.
• Isolamento baseado em Docker para execução hospedada e opções de implantação de Private Runner para ambientes internos.
• Monitoramento de segurança, gestão de vulnerabilidades, investigação de incidentes e processos de revisão de fornecedores.

Usamos cookies e tecnologias similares para autenticação, segurança, preferências, desempenho, analytics e atribuição de marketing. Você pode gerenciar as configurações de cookies no navegador, mas desativar cookies essenciais pode impedir o funcionamento de partes do serviço.

Dependendo da sua localização, você pode ter direitos de acessar, corrigir, excluir, exportar, restringir ou se opor ao tratamento de dados pessoais. Você também pode cancelar o recebimento de emails de marketing e retirar consentimento quando o tratamento for baseado em consentimento.

Para fazer uma solicitação, entre em contato com legal@nullsquare.net. Podemos precisar de informações para verificar sua identidade e autoridade antes de atender à solicitação.

A NullSquare atende clientes globalmente, incluindo Canadá, Estados Unidos, Reino Unido e Europa. Dados podem ser processados em países onde a NullSquare, clientes e subprocessadores operam. Quando exigido, usamos salvaguardas contratuais ou legais adequadas para transferências.

A NullSquare não se destina a menores de 16 anos, e não coletamos intencionalmente dados pessoais de menores de 16 anos.

Podemos atualizar esta política conforme o produto e os requisitos legais mudam. Alterações materiais serão publicadas nesta página ou comunicadas pelo serviço.