Política de Privacidad - Shark Offensive

1. Información que Recopilamos

1.1 Datos Personales de Contacto

Recopilamos información de contacto necesaria para la prestación de servicios:

• Nombre completo y datos de identificación
• Dirección de email corporativa
• Número de teléfono de contacto
• Información de facturación y pagos
• Datos de la empresa (CUIT, razón social, etc.)

1.2 Datos Técnicos y de Sistemas

Para realizar pruebas de penetración y análisis de seguridad, recopilamos:

• Credenciales de acceso autorizadas para testing
• Direcciones IP, URLs y rangos de red del alcance
• Información de infraestructura técnica (servidores, bases de datos, APIs)
• Códigos fuente y configuraciones (cuando se proporciona acceso)
• Logs y datos de auditoría generados durante las pruebas

1.3 Datos de Vulnerabilidades y Hallazgos

Durante las pruebas, identificamos y documentamos:

• Detalles técnicos de vulnerabilidades encontradas
• Pasos de reproducción y evidencias
• Niveles de criticidad y clasificaciones de riesgo
• Recomendaciones de remediación específicas
• Historial de correcciones y re-tests

1.4 Datos de Navegación Web

En nuestra plataforma dashboard.sharkoffensive.com recopilamos:

• Datos de uso de la plataforma (páginas visitadas, tiempo de sesión)
• Información de cookies y preferencias
• Dirección IP y datos del navegador para seguridad
• Métricas de rendimiento y uso de funcionalidades

2. Uso de la Información

2.1 Prestación de Servicios

Utilizamos la información recopilada para:

• Realizar pruebas de penetración continuas (SAST, DAST, SCA)
• Generar reportes de vulnerabilidades detallados
• Proporcionar soporte técnico y consultoría especializada
• Realizar re-tests y validación de remediaciones
• Gestionar la plataforma y proporcionar acceso seguro

2.2 Comunicación y Mejora

La información se utiliza también para:

• Notificar sobre vulnerabilidades críticas encontradas
• Enviar actualizaciones sobre el estado de proyectos
• Mejorar nuestros servicios basados en métricas de uso
• Proporcionar soporte técnico y resolución de problemas
• Enviar comunicaciones relacionadas con el servicio (facturación, cambios)

2.3 Cumplimiento Legal

Procesamos datos para cumplir con:

• Ley de Protección de Datos Personales (Ley 25.326) de Argentina
• Reglamento General de Protección de Datos (RGPD) para clientes europeos
• Normativas específicas de ciberseguridad y estándares de la industria
• Obligaciones contractuales y acuerdos de confidencialidad
• Requisitos de auditoría y certificación de seguridad

3. Protección y Seguridad de Datos

3.1 Medidas Técnicas de Seguridad

Implementamos múltiples capas de protección para datos sensibles:

• Encriptación: Todos los datos en tránsito y reposo utilizan estándares AES-256
• Acceso Controlado: Principio de menor privilegio y autenticación multifactor
• Monitoreo Continuo: Sistemas de detección de intrusiones y logging detallado
• Backups Seguros: Copias de seguridad encriptadas y georredundantes
• Segmentación de Red: Aislamiento de entornos de producción y testing

3.2 Medidas Organizativas

Nuestro equipo está capacitado en:

• Políticas de confidencialidad estrictas y acuerdos de no divulgación
• Entrenamiento continuo en seguridad de la información
• Certificaciones profesionales (OSCP, CEH, eWPT, CRTP, etc.)
• Supervisión legal por Pablo Sebastián Rodríguez, abogado senior especializado
• Auditorías periódicas de cumplimiento y seguridad

3.3 Manejo de Datos Sensibles en Pentesting

Para datos obtenidos durante pruebas de penetración:

• Acceso temporal limitado únicamente al alcance autorizado
• No se almacenan credenciales reales más tiempo del necesario
• Datos sensibles se anonimizan en reportes cuando es posible
• Eliminación permanente de datos una vez completado el proyecto
• Notificación inmediata de cualquier incidente de seguridad

4. Compartir y Divulgar Información

4.1 Principio de No Compartir

Shark Offensive no vende, alquila ni comercializa datos de clientes.Solo compartimos información en circunstancias estrictamente necesarias:

4.2 Compartir Autorizado

• Con su Autorización: Solo datos específicos que usted apruebe compartir
• Proveedores de Servicio: Subcontratistas certificados para hosting y herramientas especializadas
• Cumplimiento Legal: Cuando requerido por orden judicial o autoridad competente
• Protección de Derechos: Para defender nuestros derechos legales o de propiedad intelectual
• Seguridad Nacional: En casos que involucren amenazas a la seguridad pública

4.3 Transferencias Internacionales

Algunos proveedores de servicios pueden estar ubicados fuera de Argentina. En estos casos, garantizamos que cumplan con estándares equivalentes de protección de datos y utilizamos cláusulas contractuales estándar aprobadas por autoridades de protección de datos.

5. Retención y Eliminación de Datos

5.1 Períodos de Retención

Retenemos diferentes tipos de datos por períodos específicos:

• Datos de Contacto: Durante la vigencia del contrato más 5 años para cumplimiento tributario
• Reportes de Vulnerabilidades: 7 años para evidencia de cumplimiento y mejora continua
• Datos Técnicos de Pruebas: Eliminados inmediatamente después del proyecto (máximo 90 días)
• Datos de Plataforma: Mientras mantenga una cuenta activa más 2 años de inactividad
• Datos de Facturación: 10 años según requerimientos legales argentinos

5.2 Eliminación Segura

Cuando llegue el momento de eliminar datos:

• Utilizamos métodos de eliminación segura (borrado múltiple o destrucción física)
• Notificamos la eliminación cuando sea solicitada por el cliente
• Mantenemos registros de eliminación para auditorías
• Cumplimos con plazos legales de retención obligatoria

5.3 Datos en Cookies

Utilizamos cookies técnicas necesarias para el funcionamiento de la plataforma. Estas cookies se eliminan automáticamente al cerrar la sesión y no contienen datos personales identificables.

6. Derechos de los Usuarios

6.1 Derechos ARCO+

De acuerdo con la Ley 25.326 de Protección de Datos Personales, usted tiene derecho a:

• Acceso: Conocer qué datos personales tenemos sobre usted
• Rectificación: Corregir datos inexactos o incompletos
• Cancelación: Solicitar la eliminación de sus datos (con excepciones legales)
• Oposición: Oponerse al tratamiento de sus datos para fines específicos
• Portabilidad: Obtener sus datos en formato estructurado
• Revocación: Retirar consentimientos otorgados previamente

6.2 Derechos Adicionales para RGPD

Para residentes europeos, adicionalmente tienen derecho a:

• No ser objeto de decisiones automatizadas sin intervención humana
• Restringir el procesamiento en determinadas circunstancias
• Presentar reclamaciones ante autoridades de protección de datos

6.3 Ejercicio de Derechos

Para ejercer cualquiera de estos derechos, contáctenos por los canales especificados en la sección de contacto. Responderemos dentro de los plazos legales establecidos (generalmente 15-30 días hábiles).

7. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales:

• Notificaremos a los afectados dentro de 72 horas según requerido por ley
• Reportaremos a la Agencia de Acceso a la Información Pública (AAIP)
• Proporcionaremos detalles sobre la naturaleza de la brecha y medidas tomadas
• Ofreceremos soporte para mitigar cualquier riesgo potencial
• Implementaremos medidas correctivas para prevenir incidentes similares

Nuestro equipo de respuesta a incidentes está disponible 24/7 para manejar cualquier situación de seguridad que pueda afectar datos de clientes.

8. Cambios a esta Política

Podemos actualizar esta política de privacidad periódicamente para reflejar:

• Cambios en nuestras prácticas de recopilación de datos
• Nuevos requisitos legales o regulatorios
• Mejoras en nuestras medidas de seguridad
• Actualizaciones en tecnologías de protección de datos

Los cambios significativos serán notificados por email y publicados en nuestra plataforma con 30 días de anticipación. El uso continuado de nuestros servicios después de dicho período constituirá aceptación de la política actualizada.

Recomendamos revisar esta política periódicamente para mantenerse informado sobre cómo protegemos su información.

9. Contacto y Responsable de Protección de Datos

Para cualquier consulta sobre esta política de privacidad o ejercer sus derechos:

Nuestro Data Protection Officer está capacitado para manejar consultas complejas sobre protección de datos y puede coordinar con autoridades regulatorias cuando sea necesario.

Si tiene alguna preocupación sobre cómo manejamos sus datos o cree que esta política no se ha cumplido, le recomendamos contactarnos primero para resolver el asunto de manera directa.