Política de Privacidad

1.1 Información del Responsable del Tratamiento:

Nombre de la empresa: Covenant Security Solutions International

Nombre del servicio: CoreCyber

Dirección: Sheridan, Wyoming, Estados Unidos

Correo electrónico: legal@corecyber.io

Delegado de Protección de Datos: legal@corecyber.io

Representante en el EEE/Reino Unido/Suiza: Covenant Security Solutions Intl., 30 N. Gould St. STE 9374, Sheridan Wyoming USA, Correo: legal@corecyber.io

2.1 Información Personal que Usted Proporciona (Categorías CCPA: A, B, C, H)

Recopilamos información que usted nos proporciona voluntariamente cuando:

• Registra o crea una cuenta
• Solicita una prueba de penetración o evaluación de vulnerabilidades
• Se suscribe a nuestro boletín o comunicaciones
• Nos contacta a través de nuestros canales de soporte
• Participa en encuestas o promociones
• Carga documentos o archivos en nuestra plataforma
• Realiza un pago por nuestros servicios
• Ejerce sus derechos de privacidad

Esta información puede incluir:

• Nombre completo (RGPD: Datos de identidad)
• Dirección de correo electrónico (RGPD: Datos de contacto)
• Nombre de la empresa, cargo e información profesional (RGPD: Datos profesionales)
• Número de teléfono (RGPD: Datos de contacto)
• Dirección comercial (RGPD: Datos de contacto)
• Sector, tamaño de la empresa y datos organizacionales (RGPD: Datos profesionales)
• Direcciones IP e información de red para evaluaciones de seguridad (RGPD: Datos técnicos)
• Información de pago, procesada por Stripe (RGPD: Datos financieros, Categoría CCPA D)
• Identificación emitida por el gobierno para verificación de identidad a través de Stripe Identity (RGPD: Datos de identidad, Categoría CCPA G)
• Información de habilitación de seguridad si la proporciona voluntariamente (RGPD: Datos de categoría especial)
• Preferencias de comunicación y consentimientos de marketing (RGPD: Datos de marketing)
• Cualquier otra información que elija proporcionar

2.2 Información Recopilada Automáticamente (Categorías CCPA: F, G, K)

Cuando accede a nuestros Servicios, recopilamos automáticamente cierta información a través de cookies y tecnologías similares:

• Información del dispositivo: tipo de dispositivo, sistema operativo, tipo y versión del navegador (RGPD: Datos técnicos)
• Dirección IP y datos de geolocalización aproximada (RGPD: Datos técnicos)
• Datos de registro: horarios de acceso, páginas visitadas, URLs de referencia, datos de flujo de clics (RGPD: Datos de uso)
• Cookies y tecnologías de seguimiento similares (véase la Sección 7)
• Datos de uso y análisis: funciones utilizadas, tiempo empleado, patrones de interacción (RGPD: Datos de uso)
• Datos de rendimiento y diagnóstico: errores, fallos, tiempos de carga (RGPD: Datos técnicos)
• Actividad de red: uso del ancho de banda, calidad de la conexión (RGPD: Datos técnicos)
• Inferencias derivadas de lo anterior para crear perfiles de usuario (Categoría CCPA K)

2.3 Información de Terceros (Categorías CCPA: B, C, F, G)

Podemos recibir información sobre usted de fuentes de terceros, incluidas:

• Socios comerciales y proveedores de servicios (información de contacto y profesional)
• Plataformas de redes sociales si elige conectar sus cuentas (datos de perfil)
• Bases de datos de acceso público y corredores de datos (información empresarial)
• Proveedores de marketing y análisis (datos demográficos y de comportamiento)
• Fuentes de inteligencia de amenazas y bases de datos de seguridad (datos relacionados con la seguridad)
• Procesadores de pago (datos de transacciones y verificación)
• Servicios de verificación de identidad (datos de confirmación de identidad)

2.4 Información Personal Sensible (Categorías especiales del RGPD)

No recopilamos intencionalmente información personal sensible (datos de categoría especial bajo el RGPD) como origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, datos biométricos, datos de salud o datos relativos a la vida sexual u orientación sexual. Sin embargo, podemos recopilar:

• Identificación emitida por el gobierno para fines de verificación de identidad (con su consentimiento explícito)
• Información de habilitación de seguridad si la proporciona voluntariamente para servicios profesionales

Cuando recopilemos información personal sensible, obtendremos su consentimiento explícito y la procesaremos únicamente para los fines específicos divulgados en el momento de la recopilación.

3.1 Prestación de Servicios (RGPD: Ejecución de contrato, Intereses legítimos)

• Proporcionar, operar y mantener nuestros Servicios
• Procesar sus solicitudes, transacciones y pedidos de servicio
• Realizar pruebas de penetración y evaluaciones de vulnerabilidades
• Generar informes de seguridad, hallazgos y recomendaciones
• Brindar atención al cliente y asistencia técnica
• Autenticar usuarios y gestionar controles de acceso
• Prevenir fraudes, abusos y accesos no autorizados
• Realizar la verificación de identidad a través de Stripe Identity
• Procesar pagos de forma segura a través de Stripe

3.2 Comunicación (RGPD: Consentimiento, Ejecución de contrato, Intereses legítimos)

• Enviarle notificaciones, actualizaciones y confirmaciones relacionadas con el servicio
• Responder a sus consultas, solicitudes y tickets de soporte
• Enviar comunicaciones de marketing (con su consentimiento; puede darse de baja en cualquier momento)
• Proporcionar alertas de seguridad, notificaciones de amenazas y divulgaciones de vulnerabilidades
• Enviar boletines informativos, contenido educativo y mejores prácticas de seguridad
• Notificarle sobre cambios en nuestros Términos de Servicio o Política de Privacidad
• Realizar encuestas de satisfacción del cliente y solicitudes de retroalimentación

3.3 Mejora y Desarrollo (RGPD: Intereses legítimos)

• Analizar patrones de uso y comportamiento del usuario para mejorar nuestros Servicios
• Desarrollar nuevas funciones, herramientas y funcionalidades
• Realizar investigaciones, análisis y análisis estadísticos
• Mejorar las medidas de seguridad y las capacidades de detección de amenazas
• Solucionar problemas técnicos y optimizar el rendimiento
• Probar y evaluar nuevas tecnologías y metodologías
• Crear datos agregados y anonimizados para investigaciones del sector

3.4 Legal y Cumplimiento (RGPD: Obligación legal, Intereses vitales)

• Cumplir con las obligaciones legales bajo el RGPD, la CCPA y otras regulaciones
• Hacer cumplir nuestros Términos de Servicio, políticas y acuerdos
• Proteger nuestros derechos, propiedad, seguridad y los de nuestros usuarios
• Responder a procesos legales, órdenes judiciales y solicitudes gubernamentales
• Prevenir fraudes, amenazas de seguridad, cibercrímenes y actividades ilegales
• Investigar y responder a violaciones de datos o incidentes de seguridad
• Mantener los registros requeridos por ley o regulación
• Defenderse contra reclamaciones y disputas legales

3.5 Toma de Decisiones Automatizada y Elaboración de Perfiles (Artículo 22 del RGPD)

Podemos utilizar procesamiento automatizado, incluida inteligencia artificial y aprendizaje automático, para:

• Detectar anomalías y posibles amenazas de seguridad en sus sistemas
• Priorizar y clasificar vulnerabilidades según la gravedad del riesgo
• Generar recomendaciones de seguridad personalizadas
• Evaluar la postura de seguridad de su infraestructura

Usted tiene el derecho de no ser objeto de decisiones basadas únicamente en el procesamiento automatizado que produzcan efectos jurídicos o le afecten significativamente de manera similar. Puede solicitar intervención humana, expresar su punto de vista e impugnar las decisiones automatizadas contactando a legal@corecyber.io.

5.1 Proveedores de Servicios (CCPA: Divulgado para fines comerciales)

Contratamos proveedores de servicios de terceros que procesan datos personales en nuestro nombre como encargados del tratamiento (RGPD) o proveedores de servicios (CCPA). Compartimos las Categorías A, B, C, F, G, H con:

• Proveedores de alojamiento en la nube e infraestructura: Vercel (alojamiento) y un servicio gestionado de base de datos en la nube (base de datos) - Categorías A, B, C, F, G, H
• Proveedores de servicios de correo electrónico: Resend (entrega de correo) - Categorías A, B, C
• Procesadores de pago: Stripe (procesamiento de pagos y verificación de identidad) - Categorías A, B, C, D, G, H
• Servicios de análisis y monitoreo: Google Analytics (análisis de uso) - Categorías F, G
• Plataformas de atención al cliente: Sistemas de tickets y chat de soporte - Categorías A, B, C
• Herramientas de seguridad y análisis de vulnerabilidades: Plataformas de pruebas de seguridad - Categorías F, G, H
• Plataformas de comunicación: Servicios de SMS y notificaciones - Categorías A, B

Estos proveedores tienen acceso a su información únicamente para realizar tareas específicas en nuestro nombre bajo contratos escritos que los obligan a proteger su información, no utilizarla para sus propios fines y cumplir con las leyes de protección de datos aplicables.

5.4 Requisitos Legales y Protección

Podemos divulgar su información si así lo exige la ley o si creemos de buena fe que dicha divulgación es necesaria para:

• Cumplir con citaciones, órdenes judiciales, procesos legales o solicitudes legales de autoridades gubernamentales
• Hacer cumplir nuestros Términos de Servicio, políticas u otros acuerdos
• Proteger los derechos, la propiedad o la seguridad de CoreCyber, nuestros usuarios o el público
• Investigar, prevenir o tomar medidas respecto a presuntos fraudes, problemas de seguridad, actividades ilegales o violaciones de nuestras políticas
• Responder a solicitudes de acceso de interesados u otras solicitudes de derechos de privacidad según lo exija la ley
• Protegerse contra responsabilidades legales o defender reclamaciones legales

Divulgaremos únicamente la información mínima necesaria para cumplir con el requisito legal y, cuando sea posible, impugnaremos las solicitudes excesivamente amplias o inapropiadas.

6.1 Mecanismos de Transferencia del RGPD

Cuando transferimos datos personales desde el EEE, el Reino Unido o Suiza a países fuera de estas regiones, implementamos las salvaguardas apropiadas según lo requiere el RGPD:

• Cláusulas Contractuales Tipo (CCT): Utilizamos las Cláusulas Contractuales Tipo de la Comisión Europea (también conocidas como Cláusulas Modelo) para transferencias a países sin decisiones de adecuación.
• Acuerdos de Procesamiento de Datos (APD): Celebramos APD completos con todos los proveedores de servicios que procesan datos personales en nuestro nombre.
• Decisiones de Adecuación: Nos basamos en las decisiones de adecuación de la Comisión Europea cuando están disponibles.
• Medidas Complementarias: Implementamos medidas técnicas y organizativas adicionales para garantizar una protección de datos equivalente a los estándares del RGPD.
• Evaluaciones de Impacto de las Transferencias (EIT): Realizamos EIT para evaluar las leyes y prácticas de los países de destino.

7.2 Tipos de Cookies que Utilizamos

Utilizamos las siguientes categorías de cookies:

• Cookies Estrictamente Necesarias (RGPD: Interés legítimo): Esenciales para el correcto funcionamiento del sitio web. Estas cookies permiten funcionalidades básicas como autenticación, funciones de seguridad y acceso a áreas seguras. Sin estas cookies, no se pueden proporcionar los servicios solicitados. Estas cookies no requieren consentimiento bajo el RGPD.
• Cookies de Rendimiento/Análisis (RGPD: Se requiere consentimiento): Nos ayudan a entender cómo los visitantes utilizan nuestro sitio web mediante la recopilación de información sobre páginas visitadas, tiempo empleado, errores encontrados y otras métricas de uso. Utilizamos Google Analytics y herramientas similares. Estas cookies se anonimizan cuando es posible y requieren su consentimiento.
• Cookies Funcionales (RGPD: Se requiere consentimiento): Recuerdan sus preferencias y configuraciones, como la selección de idioma, región, tamaño de fuente y otras opciones de personalización. Estas cookies mejoran su experiencia de usuario pero no son estrictamente necesarias. Requieren su consentimiento.
• Cookies de Marketing/Segmentación (RGPD: Se requiere consentimiento): Se utilizan para ofrecer anuncios relevantes, rastrear la eficacia de las campañas y limitar el número de veces que ve un anuncio. Estas cookies pueden ser establecidas por nosotros o por socios publicitarios de terceros. Requieren su consentimiento explícito y puede darse de baja en cualquier momento.

7.3 Cookies Específicas que Utilizamos

La siguiente tabla enumera las cookies específicas utilizadas en nuestro sitio web:

• _ga (Google Analytics) Distinguir usuarios únicos y calcular estadísticas de visitantes — 2 años (Analítica)
• _gid (Google Analytics) Distinguir usuarios únicos en un período de 24 horas — 24 horas (Analítica)
• cookie_consent Recordar sus preferencias de consentimiento de cookies — 1 año (Necesaria)
• session_id Mantener su sesión autenticada — Sesión (Necesaria)

7.4 Sus Opciones de Cookies y Gestión del Consentimiento

Tiene el derecho de aceptar o rechazar cookies. Puede gestionar sus preferencias de cookies a través de:

• Nuestro Banner de Consentimiento de Cookies: Cuando visita nuestro sitio web por primera vez, aparece un banner que le permite aceptar o personalizar la configuración de cookies. Puede cambiar estas preferencias en cualquier momento haciendo clic en el enlace de configuración de cookies en nuestro pie de página.
• Configuración del Navegador: La mayoría de los navegadores le permiten ver, eliminar y bloquear cookies. Consulte la sección de ayuda de su navegador para obtener instrucciones.
• Exclusiones de Terceros: Para cookies publicitarias de terceros, visite la página de exclusión de la Digital Advertising Alliance (DAA): www.aboutads.info/choices o la página de exclusión de la Network Advertising Initiative (NAI): www.networkadvertising.org/choices.
• Exclusión de Google Analytics: Instale el complemento de exclusión del navegador de Google Analytics: tools.google.com/dlpage/gaoptout

Nota: Bloquear o eliminar ciertas cookies puede limitar su capacidad de usar funciones específicas de nuestros Servicios. Las cookies estrictamente necesarias no pueden desactivarse ya que son esenciales para el funcionamiento del sitio web.

8.1 Medidas de Seguridad Técnicas

• Cifrado de los datos en tránsito mediante HTTPS/TLS y controles de seguridad estándar de la industria.
• Controles de acceso y salvaguardas de autenticación, incluida la compatibilidad con la autenticación multifactor (MFA).
• Limitación de velocidad y medidas automatizadas de prevención de abuso en los puntos de acceso y formularios públicos.
• Validación del lado del servidor de los datos enviados y verificación de la integridad de los eventos de pago y de webhook.
• Restricciones de acceso basadas en roles que limitan las funciones administrativas al personal autorizado.
• Almacenamiento privado y con control de acceso para documentos sensibles.
• Registro y supervisión de eventos clave del sistema para ayudar a detectar y responder a posibles incidentes de seguridad.

8.2 Medidas Organizativas y Operativas

• Restricción de las capacidades sensibles de forma predeterminada para reducir nuestra superficie de ataque.
• Aplicación del principio de mínimo privilegio para el acceso administrativo e interno.
• Minimización de datos y limitación de propósito: recopilamos solo los datos necesarios para prestar el servicio solicitado.
• Gestión segura de credenciales y secretos, mantenidos separados del código de la aplicación.

8.3 Notificación de Violaciones de Datos (Artículos 33-34 del RGPD, CCPA)

En caso de una violación de datos personales que represente un riesgo para sus derechos y libertades, nosotros:

• Notificaremos a la autoridad supervisora pertinente (para violaciones del RGPD) dentro de las 72 horas siguientes a tener conocimiento de la violación, cuando sea factible.
• Notificaremos a las personas afectadas sin demora indebida si es probable que la violación resulte en un alto riesgo para sus derechos y libertades.
• Proporcionaremos información sobre la naturaleza de la violación, categorías y número aproximado de personas afectadas, consecuencias probables y medidas tomadas o propuestas.
• Documentaremos todas las violaciones, incluyendo hechos, efectos y acciones correctivas tomadas, en nuestro registro interno de violaciones.
• Para los residentes de California, notificaremos a las personas afectadas de acuerdo con la Sección 1798.82 del Código Civil de California.

9.1 Criterios de Retención

• La naturaleza y sensibilidad de los datos personales
• Los fines para los que recopilamos y procesamos los datos
• Si tenemos una relación continua con usted (cuenta activa)
• Requisitos legales, reglamentarios, fiscales, contables o de información
• Si necesitamos los datos para reclamaciones legales, cumplimiento o auditoría
• Orientación de las autoridades de protección de datos pertinentes
• Sus solicitudes de eliminación de datos (sujeto a obligaciones legales)

9.2 Períodos de Retención Específicos

Aplicamos los siguientes períodos de retención a diferentes categorías de datos:

• Datos de cuenta: Conservados durante la vigencia de su cuenta activa más 90 días después del cierre de la cuenta. Tras este período, los datos se anonimizan o eliminan.
• Informes de evaluación: Conservados durante 7 años tras la prestación del servicio para cumplir con los requisitos de responsabilidad profesional y legales.
• Registros financieros: Conservados durante 7 años para cumplir con los requisitos fiscales, contables y de auditoría.
• Comunicaciones de marketing: Conservadas hasta que se dé de baja o retire el consentimiento, luego eliminadas en un plazo de 30 días.
• Tickets de soporte: Conservados durante 3 años para control de calidad y fines de formación.
• Datos analíticos y de registro: Conservados durante 26 meses (configuración predeterminada de Google Analytics) o anonimizados antes.
• Registros de incidentes de seguridad: Conservados durante 7 años para fines legales y de cumplimiento.
• Copias de seguridad: Conservadas hasta 90 días en copias de seguridad cifradas, luego eliminadas permanentemente.

10.1 Derechos de Privacidad Generales (Todos los usuarios)

Todos los usuarios, independientemente de su ubicación, tienen los siguientes derechos:

• Derecho a ser Informado: Tiene derecho a información clara y transparente sobre cómo recopilamos, usamos y compartimos su información personal (proporcionada en esta Política de Privacidad).
• Derecho de Acceso: Tiene derecho a solicitar acceso a la información personal que conservamos sobre usted, incluidos detalles sobre qué datos tenemos, cómo los usamos y con quién los compartimos.
• Derecho de Rectificación: Tiene derecho a solicitar la corrección de información personal inexacta o incompleta que conservamos sobre usted.
• Derecho de Supresión: Tiene derecho a solicitar la eliminación de su información personal, sujeto a ciertas excepciones legales (por ejemplo, obligaciones legales, reclamaciones legales activas).
• Derecho a Darse de Baja del Marketing: Tiene derecho a darse de baja de las comunicaciones de marketing de nuestra parte en cualquier momento haciendo clic en "Cancelar suscripción" en los correos electrónicos o contactándonos.

10.2 Derechos del RGPD (Residentes del EEE, Reino Unido, Suiza)

Si se encuentra en el EEE, el Reino Unido o Suiza, tiene derechos adicionales bajo el Reglamento General de Protección de Datos (RGPD):

• Derecho a la Portabilidad de los Datos (Artículo 20): Tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (por ejemplo, CSV, JSON) y transmitirlos a otro responsable del tratamiento sin impedimentos por nuestra parte, cuando sea técnicamente factible.
• Derecho de Oposición (Artículo 21): Tiene derecho a oponerse al tratamiento basado en intereses legítimos (Artículo 6(1)(f)), marketing directo (incluida la elaboración de perfiles) y tratamiento con fines de investigación científica/histórica o estadísticos. Dejaremos de tratar los datos a menos que demostremos motivos legítimos convincentes que prevalezcan sobre sus intereses o que necesitemos los datos para reclamaciones legales.
• Derecho a la Limitación del Tratamiento (Artículo 18): Tiene derecho a solicitar la limitación del tratamiento en determinadas circunstancias: usted impugna la exactitud de los datos; el tratamiento es ilícito pero se opone a la supresión; ya no necesitamos los datos pero usted los necesita para reclamaciones legales; usted se ha opuesto al tratamiento y se está verificando la existencia de motivos legítimos.
• Derecho a Retirar el Consentimiento (Artículo 7(3)): Cuando el tratamiento se basa en el consentimiento, tiene derecho a retirar su consentimiento en cualquier momento. La retirada no afecta a la licitud del tratamiento basado en el consentimiento antes de su retirada.
• Derecho a No Ser Objeto de Decisiones Automatizadas (Artículo 22): Tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente de manera similar.
• Derecho a Presentar una Reclamación (Artículo 77): Tiene derecho a presentar una reclamación ante su autoridad supervisora local si considera que hemos infringido el RGPD. Información de contacto de las autoridades supervisoras de la UE: https://edpb.europa.eu/about-edpb/board/members_en. Oficina del Comisario de Información del Reino Unido (ICO): https://ico.org.uk/. Comisario Federal de Protección de Datos e Información de Suiza (PFPDT): https://www.edoeb.admin.ch/.

10.3 Derechos de la CCPA (Residentes de California)

Si es residente de California, tiene derechos bajo la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA):

• Derecho a Saber (Sección 1798.100 de la CCPA): Tiene derecho a solicitar información sobre la información personal que hemos recopilado sobre usted en el año calendario anterior.
• Derecho a Eliminar (Sección 1798.105 de la CCPA): Tiene derecho a solicitar la eliminación de su información personal, sujeto a ciertas excepciones.
• Derecho a Excluirse de la Venta (Sección 1798.120 de la CCPA): Tiene derecho a excluirse de la "venta" de su información personal. NO vendemos información personal.
• Derecho a la No Discriminación (Sección 1798.125 de la CCPA): Tiene derecho a no recibir un trato discriminatorio por ejercer sus derechos bajo la CCPA.
• Derecho a Corregir (Sección 1798.106 de la CPRA): Tiene derecho a solicitar la corrección de información personal inexacta que conservamos sobre usted.
• Derecho a Limitar el Uso de Información Personal Sensible (Sección 1798.121 de la CPRA): Si utilizamos información personal sensible para fines distintos a los especificados, tiene derecho a limitar dicho uso.
• Ley Shine the Light (Sección 1798.83 del Código Civil de California): Los residentes de California pueden solicitar información sobre la información personal divulgada a terceros para sus propios fines de marketing directo en el año calendario anterior. No compartimos información personal con terceros para sus propios fines de marketing directo sin su consentimiento explícito.

Puede designar a un agente autorizado para presentar solicitudes de la CCPA en su nombre. El agente autorizado debe proporcionar una autorización escrita firmada por usted y podemos requerir la verificación de su identidad antes de procesar la solicitud.

10.4 Cómo Ejercer Sus Derechos

Para ejercer cualquiera de sus derechos de privacidad, utilice uno de los siguientes métodos:

• Correo electrónico: legal@corecyber.io con el asunto "Solicitud de Derechos de Privacidad", "Solicitud CCPA" o "Solicitud RGPD"
• Formulario web: Visite nuestro Formulario de Solicitud de Privacidad en corecyber.io/privacy-request (si está disponible)
• Correo postal: Covenant Security Solutions International, Attn: Privacy Team, Sheridan, Wyoming, Estados Unidos

Responderemos a su solicitud dentro de los plazos requeridos por la ley aplicable: RGPD: 1 mes (ampliable 2 meses para solicitudes complejas); CCPA: 45 días (ampliable 45 días con aviso). Reconoceremos su solicitud dentro de los 10 días hábiles. No hay cargo por ejercer sus derechos, a menos que su solicitud sea manifiestamente infundada, excesiva o repetitiva.

Nombre de la empresa: Covenant Security Solutions International

Nombre del servicio: CoreCyber

Dirección: Sheridan, Wyoming, Estados Unidos

Consultas generales: legal@corecyber.io

Delegado de Protección de Datos: legal@corecyber.io