Política de Privacidad

Esta Política de Privacidad explica cómo True Hacking ("nosotros", "nuestro") recopila, usa, comparte y protege información sobre ti cuando usas la plataforma True Hacking en https://truehacking.ai (el "Servicio").

True Hacking es el controlador de datos responsable de tus datos personales bajo la Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018) y las leyes de privacidad internacionales aplicables.

Para consultas de privacidad, incluido el ejercicio de tus derechos como titular, contacta a nuestro Encargado de Protección de Datos (DPO) en support@truehacking.ai.

Recopilamos información en tres categorías:

• Dirección de correo (usada como tu identificador de inicio de sesión)
• Contraseña (almacenada solo como hash bcrypt; nunca vemos el texto plano)
• Nombre completo y nombre de organización opcionales que indicas al registrarte
• Datos de perfil OAuth (nombre, correo, URL de foto) si inicias sesión vía Google o GitHub
• Secretos de autenticación de dos factores si activas el 2FA

• Objetivos de scan (dominios, IPs, URLs) que agregas a los proyectos
• Metadatos del proyecto (nombres, descripciones, etiquetas de cliente)
• Notas de revisión manual, ajustes de severidad y textos de prueba de concepto que escribes en los hallazgos
• Comprobaciones de titularidad de dominio (registros DNS TXT o archivos HTTP con tokens que emitimos)

• Datos de ejecución de scan: salidas de herramientas, evidencias normalizadas, hallazgos correlacionados, resultados de enriquecimiento por IA
• Registros de auditoría: eventos de autenticación, acciones administrativas, accesos a datos (retenidos según la configuración de la plataforma, por defecto 365 días)
• Metadatos de sesión: dirección IP, user agent, marcas de tiempo de inicio de sesión
• Registros de refresh-token (las sesiones revocadas se conservan con fines de auditoría)

Bajo la LGPD, cada categoría de tratamiento requiere una base legal. Nos apoyamos en las siguientes:

• Ejecución de contrato (Art. 7, V) — para operar el Servicio: autenticarte, ejecutar los scans que solicitas, almacenar resultados, entregar informes.
• Consentimiento (Art. 7, I) — para el inicio de sesión OAuth vía proveedores externos y cualquier comunicación de marketing futura. Puedes retirar el consentimiento en cualquier momento.
• Interés legítimo (Art. 7, IX) — para mantener registros de auditoría de seguridad, detectar abusos, aplicar límites de tasa y cuotas de la plataforma y depurar incidentes en producción.
• Obligación legal (Art. 7, II) — para cumplir requisitos de conservación de registros fiscales, civiles y penales cuando corresponda.

No vendemos tus datos. Los compartimos solo con proveedores de servicio estrictamente necesarios para operar la plataforma:

• Resend (proveedor de correo transaccional, EE. UU.) — para entregar correos de restablecimiento de contraseña y notificaciones de seguridad. Enviamos solo tu dirección de correo y el cuerpo del mensaje.
• Infraestructura de hosting — nuestros servidores de aplicación y base de datos corren en infraestructura de socios de hosting que han firmado los acuerdos de tratamiento de datos adecuados.
• Futuro procesador de pagos — cuando se lancen los planes de pago integraremos un proveedor de pagos; esta Política se actualizará para identificarlo y se te notificará antes de recopilar cualquier dato de facturación.

Divulgaremos datos a las autoridades solo cuando seamos obligados por una orden judicial válida o proceso legal equivalente, y te notificaremos salvo que la ley lo prohíba.

Algunos de nuestros proveedores (en particular Resend) operan fuera de Brasil. Cuando los datos personales se transfieren internacionalmente, nos apoyamos en las salvaguardas permitidas por el Art. 33 de la LGPD, incluidas cláusulas contractuales estándar y evaluaciones de protección adecuada de las jurisdicciones receptoras.

• Datos de cuenta — mientras tu cuenta esté activa. Eliminados dentro de los 30 días tras la eliminación de la cuenta, salvo cuando aplique retención por obligación legal.
• Datos de proyecto (resultados de scan, hallazgos, evidencias) — conservados mientras exista el proyecto. Eliminados cuando borras el proyecto o tu cuenta.
• Registros de auditoría — conservados por el período configurado en la plataforma (por defecto 365 días) y luego purgados automáticamente por una tarea diaria.
• Archivos de salida de herramientas en disco — purgados tras 30 días por defecto para evitar un consumo de disco ilimitado.
• Refresh-tokens revocados — conservados indefinidamente con fines de auditoría, anonimizados de los metadatos de sesión tras 90 días.

Como titular de los datos, tienes los siguientes derechos sobre tus datos personales (LGPD Art. 18):

• Confirmación de la existencia de tratamiento
• Acceso a tus datos
• Corrección de datos incompletos, inexactos o desactualizados
• Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en incumplimiento de la LGPD
• Portabilidad de los datos a otro proveedor de servicio
• Eliminación de los datos personales tratados con tu consentimiento (sujeta a los plazos de retención anteriores)
• Información sobre las entidades públicas y privadas con las que compartimos tus datos
• Información sobre la posibilidad de no dar consentimiento y las consecuencias de la negativa
• Revocación del consentimiento

La mayoría de ellos los puedes ejercer directamente dentro del Servicio:

• Acceder a tus datos: visibles en todo el panel y en el perfil de usuario
• Eliminar tu cuenta (y todos los datos personales asociados): Perfil → Eliminar Cuenta. Esto borra credenciales, membresías e identificadores personales; los datos de proyecto también se eliminan, salvo indicación en contrario.
• Exportar tus datos: contáctanos en support@truehacking.ai y proporcionaremos una exportación portable en JSON dentro de 15 días.

Para cualquier solicitud que no puedas completar en la app, contacta a nuestro DPO en support@truehacking.ai. Respondemos a solicitudes verificadas dentro de 15 días, según lo exige la LGPD.

• Todo el tráfico se sirve sobre HTTPS con configuración TLS moderna
• Las contraseñas se almacenan solo como hashes bcrypt (factor de costo 12)
• La autenticación usa tokens de acceso JWT de corta duración y refresh tokens con rotación en el uso
• Autenticación de dos factores disponible y obligatoria para cuentas de superusuario
• Aplicación del lado del servidor de todos los límites de plan y cuota (las desactivaciones en el frontend son solo indicaciones de UX)
• Límites de memoria por subproceso de herramienta evitan que herramientas descontroladas comprometan otras cargas
• Limitación de tasa HTTP en los endpoints de autenticación para mitigar el credential stuffing
• Las verificaciones de arranque en producción fallan de forma ruidosa ante configuración insegura (secretos por defecto, CORS comodín)
• Copias de seguridad cifradas diarias de la base de datos de producción

Ningún sistema es impenetrable. Si descubrimos una brecha que afecte tus datos personales, te notificaremos a ti y a la Autoridad Nacional de Protección de Datos de Brasil (ANPD) dentro de los plazos exigidos por la LGPD.

Usamos solo cookies funcionales estrictamente necesarias para operar el Servicio:

• Cookies de autenticación / entradas en localStorage con tus tokens de acceso y refresh
• Cookies de sesión para los flujos OAuth

No usamos cookies de rastreo, analítica o publicidad. Actualmente no integramos ningún servicio de analítica de terceros.

El Servicio no está dirigido a menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si te enteras de que un menor nos ha proporcionado datos personales, contáctanos y los eliminaremos.

Podemos actualizar esta Política para reflejar cambios en el Servicio, en nuestras prácticas o en requisitos legales. La fecha de vigencia en la parte superior de esta página refleja la revisión más reciente. Para cambios relevantes, notificaremos a los usuarios registrados por correo al menos 15 días antes de que la nueva versión entre en vigor.

Para cualquier duda, solicitud o reclamo sobre privacidad, contacta a nuestro Encargado de Protección de Datos en support@truehacking.ai.

También tienes derecho a presentar un reclamo ante la Autoridad Nacional de Protección de Datos (ANPD) en gov.br/anpd.