NullSquare 如何处理客户和安全数据

本隐私政策涵盖 NullSquare 网站、平台、free assessment、private runner、GitHub 集成、报告和支持渠道。

对于网站、账号、账单、支持、销售和平台 telemetry 数据，NullSquare 是 controller。对于客户评估内容，NullSquare 会根据客户指令和适用的 service agreement 处理数据。

我们只收集运行、保护、支持和改进服务所需的数据。

• 账号和联系数据：姓名、工作邮箱、公司、角色、认证标识、workspace 成员关系和通信偏好。
• 账单数据：计划、发票、税务和付款状态。支付卡信息由支付处理方处理，NullSquare 不存储。
• 网站和设备数据：访问页面、来源、粗略位置、浏览器、设备、cookie 标识、诊断和安全日志。
• 评估输入：域名、IP、代码仓库、API endpoints、scope 指令、测试凭据和扫描配置。
• 评估输出：已验证 findings、proof-of-concept evidence、severity、修复建议、retest 状态、合规证据和报告 metadata。
• Runner 和集成数据：private-runner 状态、GitHub pull request metadata、CI events、webhook logs 和集成配置。
• 支持和销售数据：消息、会议记录、演示、反馈，以及你选择与团队分享的信息。

我们将数据用于交付安全测试平台所需的具体目的。

• 运行授权评估、验证 findings、生成 reports，并 retest fixes。
• 验证授权、执行 scope、防止滥用、调查 incidents，并保护平台。
• 运营账号、认证、账单、支持、通知和客户通信。
• 使用 telemetry 以及 aggregated 或 de-identified data 改进可靠性、性能、用户体验和产品质量。
• 准备客户要求的合规证据，包括面向 SOC 2、ISO 27001、HIPAA 和 PCI-DSS 的报告材料。
• 遵守法律、执行协议、解决争议、收取费用，并回应 lawful requests。

你保留对 targets、代码、凭据、配置、评估输入、findings 和 reports 的所有权。NullSquare 仅按本政策或签署协议所述，用这些数据提供、保护、支持和改进服务。

• 我们不会出售客户数据或个人数据。
• 未经明确书面许可，我们不会用客户代码、凭据、scan targets、findings 或 reports 训练 general-purpose AI models。
• Private Runner 部署在客户环境内执行测试。NullSquare 只接收客户配置或运行服务所需的 metadata、findings、reports 或 operational data。
• Hosted scans 使用隔离的 execution sandboxes，并在完成后销毁。默认不保留 raw workspaces、credentials 或 temporary execution data。

我们只与运行 NullSquare、遵守法律或完成客户请求 workflow 所需的各方共享数据。

• 基础设施、托管、存储、日志、可观测性和安全提供商。
• 支付、税务、开票、邮件、支持、CRM 和客户通信提供商。
• 用于 hosted assessment workflows 的 AI model 或分析提供商，并受配置和合同控制约束。
• 在法律要求或为保护权利和安全所必需时，与专业顾问、审计师、保险方、执法机关、监管机构或法院共享。
• 如果 NullSquare 涉及合并、收购、融资、重组或资产出售，可能与继任方或买方共享。

我们仅在收集目的、客户配置、合同要求、安全、法律义务或正当业务需要所需期间保留数据。

• 账号、账单和支持记录会在账号活跃期间保留，并按税务、审计、争议和法律要求保留。
• 报告、漏洞记录和合规证据会在 dashboard 中保留，直到被删除、导出、按计划过期或账号关闭后移除。
• Hosted execution sandboxes 和 temporary workspaces 会在 run completion 后销毁，除非调查、debugging request 或法律义务要求保留。
• 用于扫描的凭据应是 scoped、revocable 和 temporary。NullSquare 会在不再需要时删除或禁用 stored credentials。

请将疑似 vulnerabilities 或 incidents 报告至 security@nullsquare.net。

• 传输中数据使用 TLS，存储数据在基础设施支持时加密。
• 基于角色的访问控制、最小权限操作、审计日志和受限生产访问。
• Hosted execution 使用 Docker-based isolation，内部环境可选择 Private Runner deployment。
• 安全监控、漏洞管理、事件调查和供应商审查流程。

我们使用 cookies 和类似技术进行认证、安全、偏好、性能、analytics 和 marketing attribution。你可以管理浏览器 cookie 设置，但禁用 essential cookies 可能导致部分服务无法工作。

根据你的所在地，你可能拥有访问、更正、删除、导出、限制或反对处理个人数据的权利。你也可以退订 marketing emails，并在处理基于 consent 时撤回 consent。

如需提出请求，请联系 legal@nullsquare.net。在处理请求前，我们可能需要信息来验证你的身份和权限。

NullSquare 服务全球客户，包括加拿大、美国、英国和欧洲。数据可能在 NullSquare、客户和 subprocessors 所在国家处理。必要时，我们会使用适当的合同或法律保障。

NullSquare 不面向 16 岁以下儿童，我们不会故意收集 16 岁以下儿童的个人数据。

随着产品和法律要求变化，我们可能更新本政策。重大变更会发布在本页面或通过服务通知。