Cách NullSquare xử lý dữ liệu khách hàng và dữ liệu bảo mật

Chính sách Quyền riêng tư này áp dụng cho website NullSquare, nền tảng, assessment miễn phí, Private Runner, tích hợp GitHub, báo cáo và các kênh hỗ trợ.

NullSquare là bên kiểm soát dữ liệu cho website, tài khoản, billing, hỗ trợ, sales và telemetry nền tảng. Đối với nội dung assessment của khách hàng, NullSquare xử lý dữ liệu theo hướng dẫn của khách hàng và thỏa thuận dịch vụ áp dụng.

Chúng tôi chỉ thu thập dữ liệu cần thiết để vận hành, bảo mật, hỗ trợ và cải thiện dịch vụ.

• Dữ liệu tài khoản và liên hệ: tên, email công việc, công ty, vai trò, định danh xác thực, thành viên workspace và tùy chọn liên lạc.
• Dữ liệu billing: gói, invoice, thuế và trạng thái thanh toán. Chi tiết thẻ thanh toán do bộ xử lý thanh toán của chúng tôi quản lý và NullSquare không lưu trữ.
• Dữ liệu website và thiết bị: trang đã truy cập, nguồn giới thiệu, vị trí gần đúng, trình duyệt, thiết bị, định danh cookie, diagnostics và security logs.
• Input assessment: domain, IP, repository, endpoint API, hướng dẫn scope, credentials kiểm thử và cấu hình scan.
• Output assessment: Finding đã xác thực, bằng chứng proof-of-concept, severity, hướng dẫn remediation, trạng thái retest, compliance evidence và metadata báo cáo.
• Dữ liệu Runner và tích hợp: trạng thái Private Runner, metadata pull request GitHub, sự kiện CI, log webhook và cấu hình tích hợp.
• Dữ liệu hỗ trợ và sales: tin nhắn, ghi chú cuộc họp, demo, feedback và thông tin bạn chọn chia sẻ với đội ngũ của chúng tôi.

Chúng tôi sử dụng dữ liệu cho các mục đích cụ thể cần thiết để cung cấp nền tảng kiểm thử bảo mật.

• Chạy assessment được ủy quyền, xác thực Finding, tạo báo cáo và retest bản sửa lỗi.
• Xác minh ủy quyền, thực thi scope, ngăn lạm dụng, điều tra incident và bảo vệ nền tảng.
• Vận hành tài khoản, xác thực, billing, hỗ trợ, thông báo và liên lạc với khách hàng.
• Cải thiện reliability, performance, trải nghiệm người dùng và chất lượng sản phẩm bằng telemetry và dữ liệu tổng hợp hoặc đã khử định danh.
• Chuẩn bị compliance evidence theo yêu cầu của khách hàng, gồm tài liệu báo cáo định hướng SOC 2, ISO 27001, HIPAA và PCI-DSS.
• Tuân thủ pháp luật, thực thi thỏa thuận, giải quyết tranh chấp, thu phí và phản hồi yêu cầu hợp pháp.

Bạn giữ quyền sở hữu target, code, credentials, cấu hình, input assessment, Finding và báo cáo. NullSquare chỉ sử dụng dữ liệu đó để cung cấp, bảo mật, hỗ trợ và cải thiện dịch vụ như mô tả tại đây hoặc trong thỏa thuận đã ký.

• Chúng tôi không bán dữ liệu khách hàng hoặc dữ liệu cá nhân.
• Chúng tôi không huấn luyện mô hình AI đa mục đích bằng code, credentials, target scan, Finding hoặc báo cáo của khách hàng nếu không có sự cho phép rõ ràng bằng văn bản.
• Với triển khai Private Runner, việc kiểm thử chạy trong môi trường của khách hàng. NullSquare chỉ nhận metadata, Finding, báo cáo hoặc dữ liệu vận hành do khách hàng cấu hình hoặc cần thiết để vận hành dịch vụ.
• Với hosted scan, sandbox thực thi được cô lập và hủy sau khi hoàn tất. Raw workspace, credentials và dữ liệu thực thi tạm thời mặc định không được lưu giữ.

Chúng tôi chỉ chia sẻ dữ liệu với các bên cần thiết để vận hành NullSquare, tuân thủ pháp luật hoặc hoàn tất workflow do khách hàng yêu cầu.

• Nhà cung cấp infrastructure, hosting, storage, logging, observability và bảo mật.
• Nhà cung cấp payment, thuế, invoicing, email, support, CRM và liên lạc khách hàng.
• Nhà cung cấp mô hình AI hoặc analysis dùng cho hosted assessment workflows, chịu sự kiểm soát về cấu hình và hợp đồng.
• Cố vấn chuyên môn, auditor, insurer, cơ quan thực thi pháp luật, regulator hoặc tòa án khi pháp luật yêu cầu hoặc cần để bảo vệ quyền và an toàn.
• Bên kế nhiệm hoặc bên mua nếu NullSquare tham gia merger, acquisition, financing, restructuring hoặc bán tài sản.

Chúng tôi chỉ giữ dữ liệu trong thời gian cần thiết cho mục đích thu thập, cấu hình khách hàng, yêu cầu hợp đồng, bảo mật, nghĩa vụ pháp lý hoặc nhu cầu kinh doanh chính đáng.

• Hồ sơ tài khoản, billing và hỗ trợ được giữ khi tài khoản còn hoạt động và khi cần cho thuế, audit, tranh chấp và yêu cầu pháp lý.
• Báo cáo, bản ghi vulnerability và compliance evidence vẫn có trong dashboard cho đến khi bị xóa, xuất ra, hết hạn theo gói hoặc bị gỡ sau khi đóng tài khoản.
• Hosted execution sandbox và workspace tạm thời bị hủy sau khi run hoàn tất, trừ khi investigation, yêu cầu debugging hoặc nghĩa vụ pháp lý yêu cầu giữ lại.
• Credentials cung cấp cho scan nên có scope giới hạn, có thể thu hồi và tạm thời. NullSquare xóa hoặc vô hiệu hóa credentials đã lưu khi không còn cần thiết.

Báo cáo vulnerability hoặc incident nghi ngờ tới security@nullsquare.net.

• TLS cho dữ liệu truyền tải và mã hóa dữ liệu lưu trữ khi infrastructure của chúng tôi hỗ trợ.
• Role-based access controls, vận hành least-privilege, audit logging và quyền truy cập production bị hạn chế.
• Cô lập dựa trên Docker cho hosted execution và tùy chọn triển khai Private Runner cho môi trường nội bộ.
• Security monitoring, vulnerability management, điều tra incident và quy trình review vendor.

Chúng tôi dùng cookies và công nghệ tương tự cho xác thực, bảo mật, tùy chọn, performance, analytics và attribution marketing. Bạn có thể quản lý cài đặt cookie trong trình duyệt, nhưng tắt cookie thiết yếu có thể khiến một phần dịch vụ không hoạt động.

Tùy vị trí của bạn, bạn có thể có quyền truy cập, sửa, xóa, xuất, hạn chế hoặc phản đối xử lý dữ liệu cá nhân. Bạn cũng có thể từ chối email marketing và rút consent khi việc xử lý dựa trên consent.

Để gửi yêu cầu, liên hệ legal@nullsquare.net. Chúng tôi có thể cần thông tin để xác minh danh tính và thẩm quyền của bạn trước khi thực hiện yêu cầu.

NullSquare phục vụ khách hàng toàn cầu, bao gồm Canada, Hoa Kỳ, Vương quốc Anh và Châu Âu. Dữ liệu có thể được xử lý tại các quốc gia nơi NullSquare, khách hàng và subprocessors hoạt động. Khi cần, chúng tôi áp dụng biện pháp bảo vệ theo hợp đồng hoặc pháp luật phù hợp cho việc chuyển dữ liệu.

NullSquare không dành cho trẻ em dưới 16 tuổi, và chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em dưới 16 tuổi.

Chúng tôi có thể cập nhật chính sách này khi sản phẩm và yêu cầu pháp lý thay đổi. Thay đổi quan trọng sẽ được đăng trên trang này hoặc thông báo qua dịch vụ.