Política de Privacidad y Tratamiento de Datos

El presente documento establece las directrices normativas bajo las cuales SecureZZ (en adelante, "la Compañía", "el Prestador" o "Nosotros") recopila, procesa, almacena y destruye los datos personales e información corporativa de sus usuarios y clientes (en adelante, "el Usuario" o "el Cliente"). Esta política está diseñada para cumplir estrictamente con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y marcos internacionales equivalentes.

1. Naturaleza de los Datos Procesados y Exclusiones

En cumplimiento del principio de minimización de datos (Art. 5.1.c RGPD), limitamos estrictamente la recopilación de información. A continuación, se detalla nuestra política de retención cero:

• Archivos y Cargas Útiles (Payloads): Los archivos procesados a través de nuestras herramientas son analizados, en la medida de lo técnicamente posible, en entornos de ejecución efímeros. Una vez emitido el veredicto de seguridad, el procesamiento contempla la eliminación segura o anonimización de los activos conforme a las políticas de retención. La Compañía implementa medidas técnicas orientadas a favorecer la reducción del riesgo de persistencia fuera de la operación activa.
• Sanitización de Metadatos (Exif Stripper): El procesamiento de imágenes se orienta a la ejecución local en entornos de memoria efímera. Los datos procesados se someten a rutinas de eliminación segura tras completar la operación. Este servicio busca minimizar la comunicación con servicios externos, mitigando la exposición del contenido durante el entorno de ejecución.
• Datos Técnicos: El procesamiento técnico está orientado a no realizar auditorías sistemáticas del contenido semántico de los documentos. El análisis se centra en la estructura binaria, heurística y metadatos técnicos destinados a la seguridad.

2. Datos Recopilados y Base Legitimadora (Art. 6 RGPD)

Para la provisión de los servicios SaaS y la gestión comercial, la Compañía actúa, según el servicio y el vínculo contractual aplicable, como Responsable o Encargado del Tratamiento conforme al artículo 28 del RGPD, tratando los siguientes datos bajo criterios de necesidad y proporcionalidad:

• Información de Identidad y Acceso: Dirección de correo electrónico y credenciales de acceso (procesadas mediante funciones hash unidireccionales de seguridad).
• Autenticación de Terceros (SSO): En caso de utilizar proveedores de identidad (ej. Google OAuth), procesamos el token de autenticación y los datos básicos del perfil autorizados por el usuario.
• Datos Transaccionales y de Facturación: Para la gestión de cobros y el cumplimiento de obligaciones fiscales, se procesan datos de facturación a través de nuestra pasarela de pagos Stripe, Inc.. En cumplimiento de los estándares internacionales de seguridad, la Compañía implementa una arquitectura de tokenización: esto significa que los datos de su tarjeta de crédito o débito son capturados directamente por Stripe mediante sus propios formularios seguros. SecureZZ no procesa, no visualiza, ni almacena en sus servidores los datos de su tarjeta bancaria, garantizando el cumplimiento estricto de la normativa PCI-DSS.
• Indicadores Técnicos de Análisis (IoCs): En el marco de los servicios de Deep Analysis, extraemos y procesamos direcciones IP, URLs y dominios detectados dentro de las muestras analizadas. Este tratamiento se realiza bajo el Interés Legítimo (Art. 6.1.f RGPD y Recital 49) con el objetivo de proporcionar inteligencia de seguridad y prevenir ciberataques.
• Telemetría y Registro de Auditoría (Logs): Direcciones IP de acceso (recopiladas con el fin de garantizar el cumplimiento de nuestros límites de uso, prevenir abusos del sistema y asegurar la integridad de la plataforma contra intentos de evasión mediante navegación privada o identidades múltiples), y metadatos de uso del sistema.

3. Política de Retención y Purgado Automático de Historiales

De conformidad con el Art. 5.1.e del RGPD (Limitación del plazo de conservación), SecureZZ ha implementado rutinas automatizadas de destrucción de registros:

• Registro de Veredictos (Metadatos de Escaneo): Para proporcionar al Cliente un registro de auditoría, almacenamos temporalmente el nombre original del archivo enviado (ej. informe_financiero.pdf), su huella criptográfica (Hash SHA-256) y el resultado del análisis. Esta información de auditoría está programada para su eliminación segura de nuestras bases de datos en un plazo estándar de hasta 30 días naturales tras su creación.

4. Subencargados del Tratamiento y Transferencias Internacionales

La Compañía no comercializa estructuralmente los datos de sus Clientes. La información solo se comparte con subencargados estrictamente necesarios para la operatividad de la infraestructura (Art. 28 RGPD):

• Procesamiento de Pagos: Stripe, Inc. (Facturación y cumplimiento fiscal).
• Análisis de Archivos: El procesamiento de cualquier archivo o activo sometido a análisis se ejecuta íntegramente de forma local mediante motores propios (YARA, CAPA, ClamAV, etc.). Bajo ninguna circunstancia el contenido físico del archivo es transmitido a motores externos. Cualquier consulta de reputación externa (ej. MalwareBazaar, servidores WHOIS) se realiza enviando exclusivamente identificadores técnicos anónimos como la huella criptográfica (Hash SHA-256). Esta huella funciona como un "número de DNI": permite verificar si el archivo o dominio es conocido en bases de datos globales sin necesidad de entregar el archivo real, preservando la privacidad total del contenido.
• Analítica Web: Utilizamos Google Analytics 4 (implementado vía Google Tag Manager) para métricas de rendimiento y usabilidad. Se ha configurado la anonimización forzada de direcciones IP para prevenir el seguimiento cruzado. Los usuarios pueden revocar su consentimiento en cualquier momento mediante el panel de gestión de Cookies.

Las transferencias de datos fuera del Espacio Económico Europeo (EEE), como en el caso de prestadores ubicados en EEUU (ej. Stripe), se realizan bajo mecanismos destinados a garantizar un nivel de protección adecuado conforme al Artículo 46 del RGPD, amparándose en el Marco de Privacidad de Datos UE-EEUU (Data Privacy Framework - DPF) o, en su defecto, en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.

5. Limitación de Responsabilidad y Naturaleza del Servicio

SecureZZ proporciona herramientas de análisis de seguridad avanzadas; sin embargo, debido a la naturaleza evolutiva del malware, ningún análisis puede garantizar la detección de amenazas de día cero (zero-day) o ataques dirigidos con un 100% de precisión. La Compañía no será responsable de daños directos, indirectos, incidentales o lucro cesante derivados de la interpretación de los veredictos de seguridad, falsos positivos o falsos negativos. El Cliente es el único responsable de la licitud del contenido procesado.

6. Ejercicio de Derechos (ARCO+)

El Cliente ostenta plenos derechos sobre sus datos personales conforme a los Artículos 15 a 22 del RGPD. Puede ejercer sus derechos ARCO mediante comunicación directa:

• Acceso: Consultar qué datos tenemos sobre usted.
• Rectificación: Corregir información inexacta.
• Cancelación/Supresión: Derecho al Olvido y procedimiento de eliminación segura de cuenta.
• Limitación: Solicitar la restricción del tratamiento durante la verificación de otros derechos.
• Portabilidad: Recibir sus datos en formato estructurado.

Para ejercer estos derechos, el Cliente puede gestionar sus preferencias directamente desde su panel de control o enviar un correo a info@securezz.com desde la dirección de email asociada a su cuenta. En cumplimiento del principio de minimización de datos, la Compañía solo solicitará documentación identificativa adicional (como copia del DNI) en aquellos casos excepcionales donde existan dudas razonables sobre la identidad del solicitante.