La presente Política de Privacidad (la “Política”) describe cómo Strike Security LLC y sus empresas afiliadas (“Strike”, “nosotros”, “nuestro” o “nos”) recopilan, utilizan, divulgan y protegen la información personal y determinados datos relacionados con servicios de seguridad procesados a través de la Plataforma Always-on, nuestro sitio web (https://strike.sh) y los servicios relacionados (conjuntamente, la “Plataforma”).

Esta Política se aplica a todos los usuarios de la Plataforma Always-on, incluidos clientes (“Usuarios” o “Clientes”), investigadores éticos de seguridad (“Strikers”) y visitantes del sitio web.

Strike opera una Plataforma Always-on impulsada por inteligencia artificial con validación híbrida, incluidas capacidades de Validación Híbrida Continua, que ayuda a las organizaciones a identificar, priorizar y remediar vulnerabilidades de seguridad en toda su infraestructura digital.

Al acceder o utilizar la Plataforma Always-on, usted reconoce que ha leído y comprendido esta Política. Cuando la legislación aplicable lo requiera, obtendremos su consentimiento antes de procesar su información personal. Si no está de acuerdo con esta Política, no debe utilizar la Plataforma Always-on.

Si tiene preguntas sobre esta Política o sobre la protección de datos en Strike, puede contactarnos en: legal@strike.sh.

1. DEFINICIONES

“Cuenta” significa la cuenta de usuario creada por usted para acceder a la Plataforma Always-on, según se describe en los Términos de Uso aplicables.

“Agentes de IA” significa los sistemas de inteligencia artificial propietarios de Strike que realizan pruebas de seguridad automatizadas, detección de vulnerabilidades, emulación de ataques y funciones de análisis relacionadas dentro de la Plataforma Always-on.

“Contenido del Cliente” significa cualquier dato, archivo, documento, configuración, código u otro contenido cargado, enviado o puesto a disposición por un Usuario o Usuario Final a través de la Plataforma Always-on en relación con los Servicios. El Contenido del Cliente no incluye las Credenciales de Prueba, las cuales se rigen por disposiciones independientes.

“Plataforma Always-on” significa la plataforma de seguridad continua impulsada por IA de Strike con validación híbrida, incluidas capacidades de Validación Híbrida Continua, Agentes de IA, integraciones, APIs y servicios relacionados.

“Usuario Final” significa una persona autorizada por un Cliente para acceder y utilizar la Plataforma Always-on en nombre de dicho Cliente.

“Información Personal” significa cualquier información relacionada con una persona física identificada o identificable, según se define en las leyes de protección de datos aplicables, incluyendo GDPR, CCPA y LGPD.

“Plataforma” significa el sitio web de Strike ubicado en https://strike.sh, la aplicación Plataforma Always-on y todas las herramientas e interfaces relacionadas.

“Datos de Seguridad” significa la información técnica de seguridad generada o procesada a través de la Plataforma Always-on, incluyendo hallazgos de vulnerabilidades, resultados de escaneos, resultados de emulaciones de ataques, inteligencia de amenazas, inventarios de activos y evaluaciones de postura de seguridad. Los Datos de Seguridad pueden contener o no Información Personal según el contexto.

“Servicios” significa todos los productos y servicios proporcionados por Strike a través de la Plataforma Always-on, incluyendo la Plataforma Always-on, Hybrid Testing, Manual Pentesting Projects, Red Teaming Projects y cualquier servicio adicional.

“Striker(s)” significa investigadores de seguridad independientes y hackers éticos que realizan pruebas de seguridad dirigidas por humanos, validación y análisis experto a través de la Plataforma Always-on.

“Datos de Telemetría” significa los datos técnicos recopilados automáticamente por la Plataforma Always-on relacionados con el rendimiento del sistema, patrones de uso de funcionalidades, registros de errores y métricas operativas.

“Credenciales de Prueba” significa contraseñas, claves API, tokens de acceso, claves SSH, certificados y cualquier otro material de autenticación proporcionado por un Cliente para habilitar la prestación de los Servicios sobre sus activos.

“Datos de Uso” significa la información sobre cómo los usuarios interactúan con la Plataforma Always-on, incluyendo actividad de inicio de sesión, acceso a funcionalidades, consultas, datos de sesión y análisis de comportamiento.

“Usuario(s)” o “Cliente(s)” significa cualquier persona física o entidad jurídica que accede a la Plataforma Always-on para contratar o utilizar los Servicios.

2. QUIÉNES SOMOS

Strike Security LLC es una sociedad constituida conforme a las leyes del estado de Delaware, Estados Unidos, con domicilio principal en 848 Brickell Avenue, Suite 600, Miami, FL 33131.

Strike opera a través de entidades afiliadas, incluyendo Strike SAS (Uruguay), Airstrike SRL de CV (México) y Strike Brazil LTDA (Brasil).

Strike proporciona una Plataforma Always-on impulsada por inteligencia artificial con validación híbrida que ofrece pruebas de seguridad continuas. Nuestra Plataforma Always-on combina Agentes de IA que realizan emulación automatizada de ataques, detección de vulnerabilidades y evaluación de postura de seguridad con validación experta realizada por Strikers, quienes verifican hallazgos, realizan pruebas profundas y proporcionan orientación para la remediación.

A efectos de las leyes de protección de datos aplicables, Strike actúa como responsable del tratamiento respecto de la Información Personal de los usuarios de la Plataforma Always-on (datos de cuenta y datos de uso), y como encargado del tratamiento respecto del Contenido del Cliente y las Credenciales de Prueba procesadas en nombre de los Usuarios en relación con los Servicios.

Las funciones, responsabilidades y obligaciones específicas se detallan adicionalmente en nuestro Acuerdo de Procesamiento de Datos (“DPA”), disponible previa solicitud.

3. INFORMACIÓN QUE RECOPILAMOS

Recopilamos las siguientes categorías de información. Tenga en cuenta que no todas las categorías constituyen Información Personal según las leyes de protección de datos aplicables; algunas categorías corresponden a datos técnicos o datos relacionados con servicios de seguridad que se rigen por nuestras obligaciones contractuales.

3.1. Información de Cuenta y Registro

Información que usted proporciona al crear una Cuenta, incluyendo:

• Nombre
• Dirección de correo electrónico
• Número de teléfono
• Nombre de la empresa
• Cargo o puesto
• Dirección de facturación
• Información de pago (procesada por nuestros proveedores de servicios de pago)
• Credenciales de autenticación

3.2. Contenido del Cliente

Datos que usted carga o proporciona en relación con los Servicios, incluyendo:

• Información de activos (URLs, direcciones IP, dominios, endpoints de API)
• Código fuente de aplicaciones o documentación
• Detalles de arquitectura de red
• Cualquier otro contenido enviado con fines de pruebas de seguridad

3.3. Credenciales de Prueba

Materiales de autenticación proporcionados por usted para habilitar los Servicios sobre sus activos, incluyendo:

• Contraseñas
• Claves API
• Tokens de acceso
• Claves SSH
• Certificados

Las Credenciales de Prueba reciben un tratamiento de seguridad reforzado y están sujetas a reglas específicas de retención (ver Sección 8).

3.4. Datos de Seguridad

Información técnica de seguridad generada a través del funcionamiento de la Plataforma, incluyendo:

• Hallazgos de vulnerabilidades y evaluaciones de severidad
• Resultados de escaneos y emulaciones de ataque
• Puntajes y tendencias de postura de seguridad
• Estado de remediación y resultados de verificación
• Inteligencia de amenazas y datos de exposición
• Datos de inventario de activos

3.5. Datos de Uso y Telemetría

Información sobre cómo interactúa con la Plataforma, incluyendo:

• Actividad de inicio de sesión y datos de sesión
• Funcionalidades accedidas y acciones realizadas
• Consultas de búsqueda y configuraciones de filtros
• Datos de rendimiento de la Plataforma y registros de errores
• Tipo de navegador
• Información del dispositivo
• Dirección IP
• Sistema operativo

3.6. Datos de Comunicación

Información intercambiada a través de los canales de comunicación de la Plataforma entre Usuarios, Strikers y Strike, incluyendo:

• Mensajes
• Solicitudes de soporte
• Comentarios y retroalimentación

3.7. Información Específica de los Strikers

Para los Strikers, recopilamos adicionalmente:

• Calificaciones profesionales y certificaciones
• Datos de verificación de antecedentes
• Métricas de desempeño y calidad
• Información de pagos e impuestos
• Documentación de verificación de identidad

4. CÓMO UTILIZAMOS SU INFORMACIÓN

‍

‍

5. IA Y PROCESAMIENTO AUTOMATIZADO

La Plataforma Always-on utiliza inteligencia artificial y procesamiento automatizado como componentes fundamentales de los Servicios. Esta sección explica cómo gestionamos los datos en relación con nuestros sistemas de IA.

5.1. Cómo Opera la IA Dentro de la Plataforma Always-on

Nuestros Agentes de IA procesan Contenido del Cliente y Datos de Seguridad para realizar pruebas de seguridad automatizadas, incluyendo:

• Emulación de ataques
• Detección de vulnerabilidades
• Evaluación de severidad
• Recomendaciones de remediación

El procesamiento mediante IA se realiza dentro de la infraestructura controlada por Strike y está sujeto a las mismas protecciones de seguridad y confidencialidad aplicables al resto de los datos procesados por la Plataforma.

5.2. Uso de Datos para IA y Mejora del Producto

Distinguimos entre los siguientes tipos de uso de datos:

Prestación del Servicio

Utilizamos el Contenido del Cliente, las Credenciales de Prueba y los Datos de Seguridad para proporcionar los Servicios contratados.

Esto incluye el procesamiento mediante IA de sus activos y datos en la medida necesaria para ejecutar las pruebas de seguridad solicitadas.

Mejora de la Detección

Podemos utilizar resultados derivados de los Datos de Seguridad (como patrones de vulnerabilidades y firmas de ataque) de forma agregada y desidentificada para mejorar nuestros motores de detección y capacidades de inteligencia de amenazas.

Mejora del Producto

Utilizamos Datos de Telemetría y Datos de Uso agregados y desidentificados para mejorar funcionalidades, rendimiento y experiencia de usuario.

Sin Entrenamiento de IA de Propósito General

Strike no utiliza el Contenido del Cliente para entrenar modelos de IA de propósito general ni modelos puestos a disposición de otros clientes, salvo acuerdo expreso y por escrito. Los datos específicos de cada cliente no se comparten entre diferentes tenants o entornos de clientes.

5.3. Toma de Decisiones Automatizada

Nuestros Agentes de IA realizan evaluaciones automatizadas relacionadas con:

• Severidad de vulnerabilidades
• Priorización de riesgos
• Recomendaciones de remediación

Estos resultados tienen carácter informativo y de apoyo a la toma de decisiones. En los servicios de Hybrid Testing, los hallazgos generados por IA son validados por Strikers. Los Clientes conservan plena discreción sobre las decisiones de remediación que adopten.

‍

6. DIVULGACIÓN DE INFORMACIÓN

Podemos divulgar su información a las siguientes categorías de destinatarios, de conformidad con esta Política y la legislación aplicable.

6.1. Entidades Afiliadas de Strike

Compartimos datos con las entidades afiliadas de Strike (Strike SAS, Airstrike SRL de CV y Strike Brazil LTDA) cuando sea necesario para la prestación de los Servicios.

6.2. Strikers

En los servicios que involucren pruebas dirigidas por personas o validación híbrida, compartimos con los Strikers únicamente el Contenido del Cliente y los Datos de Seguridad estrictamente necesarios para la ejecución del servicio.

Los Strikers están sujetos a obligaciones de confidencialidad y tratamiento de datos establecidas en los Términos y Condiciones para Strikers.

6.3. Subencargados y Proveedores de Servicios

Contratamos proveedores externos que procesan datos en nuestro nombre.

Todos los subencargados están sujetos a acuerdos de procesamiento de datos con obligaciones de protección al menos equivalentes a las establecidas en nuestro Acuerdo de Procesamiento de Datos (DPA).

Una lista actualizada de subencargados está disponible en:

https://strike.sh/subprocessors

o puede solicitarse directamente a Strike.

La lista se actualiza con un aviso previo de al menos treinta (30) días.

Los Clientes podrán presentar objeciones razonables respecto de nuevos subencargados de conformidad con lo establecido en el DPA.

6.4. Integraciones con Terceros

Cuando usted habilita integraciones con terceros (por ejemplo, Jira, Slack o herramientas de CI/CD), los datos se transferirán a dichos servicios de acuerdo con la configuración establecida por usted.

Estos servicios operan bajo sus propias políticas de privacidad.

6.5. Autoridades Legales y Regulatorias

Podremos divulgar información cuando sea requerido por ley, regulación, proceso legal o requerimiento gubernamental, o cuando sea necesario para proteger los derechos, la propiedad o la seguridad de Strike, nuestros usuarios o terceros.

6.6. Transacciones Corporativas

En caso de fusión, adquisición o venta de activos, su información podrá ser transferida a la entidad adquirente, manteniendo las mismas protecciones de privacidad aplicables.

Le notificaremos cualquier transferencia de este tipo cuando corresponda.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS

Strike procesa datos principalmente en Estados Unidos, México, Brasil y Uruguay.

Su información puede ser transferida y procesada en países distintos de su país de residencia.

Para las transferencias desde el Espacio Económico Europeo (EEE), Reino Unido o Suiza hacia países que no cuenten con una decisión de adecuación, implementamos las salvaguardas apropiadas, incluidas las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.

Las copias de dichas cláusulas están disponibles previa solicitud.

Para las transferencias provenientes de Brasil, cumplimos con los requisitos de la LGPD relativos a transferencias internacionales de datos, utilizando cláusulas contractuales estándar, consentimiento u otros mecanismos legalmente reconocidos.

8. CONSERVACIÓN DE DATOS

Conservamos su información durante los períodos indicados a continuación, salvo que la ley exija o permita un período de conservación más prolongado.

‍

‍

Al finalizar la prestación de los Servicios, y a elección del Cliente, de conformidad con lo establecido en el DPA, Strike podrá:

(a) devolver el Contenido del Cliente en un formato estándar legible por máquina; o

(b) eliminar de forma segura el Contenido del Cliente y las Credenciales de Prueba, proporcionando, cuando sea solicitado, una certificación escrita de dicha eliminación.

9. YOUR PRIVACY RIGHTS

Depending on your location, you may have the following rights under applicable data protection laws. To exercise any of these rights, contact us at legal@strike.sh.

9.1. Rights Under GDPR (EEA, UK, Switzerland)

If you are located in the EEA, UK, or Switzerland, you have the right to: access your personal data and obtain a copy; rectify inaccurate or incomplete data; erase your data (right to be forgotten) where there is no compelling reason for continued processing; restrict processing in certain circumstances; data portability; object to processing based on legitimate interests or for direct marketing; withdraw consent at any time; and lodge a complaint with your local supervisory authority.

Legal bases for processing: performance of a contract (to provide the Services); legitimate interests (to improve and secure the Platform, prevent fraud); consent (for marketing communications); and legal obligation (to comply with applicable laws).

9.2. Rights Under CCPA / CPRA (California)

If you are a California resident, you have the right to: know what personal information we collect, use, and disclose; delete your personal information (subject to exceptions); correct inaccurate personal information; and non-discrimination for exercising your privacy rights.

Strike does not sell personal information as defined by the CCPA. Where required by applicable law, we provide mechanisms to opt out of sale or sharing of personal information, including certain advertising or analytics cookies.

9.3. Rights Under LGPD (Brazil)

If you are located in Brazil, you have the right to: confirmation of the existence of processing; access to your data; correction of incomplete, inaccurate, or outdated data; anonymization, blocking, or deletion of unnecessary or excessive data; data portability; information about third parties with whom your data is shared; and revocation of consent.

9.4. Response and Verification

We will respond to your request within the timeframes required by applicable law (generally 30 days for GDPR, 45 days for CCPA). We may need to verify your identity before processing your request. For requests related to Client Content processed on behalf of a User, please contact your organization’s administrator.

10. DATA PROCESSING AGREEMENT

For enterprise Clients, Strike offers a Data Processing Agreement (DPA) that governs the processing of personal data contained within Client Content. The DPA addresses: the nature and purpose of processing; categories of data subjects and personal data; obligations of Strike as data processor and the Client as data controller; security measures; subprocessor management; data breach notification procedures; audit rights; and data return or deletion upon termination.

To request a copy of Strike’s DPA, contact legal@strike.sh.

11. COOKIES AND TRACKING TECHNOLOGIES

We use cookies and similar tracking technologies to operate and improve the Platform:

• Essential Cookies: Required for the Platform to function, including authentication, security, and session management. These cannot be disabled.
• Analytics Cookies: Help us understand how the Platform is used so we can improve performance and features. These can be declined.
• Marketing Cookies: Used to deliver relevant advertising and measure campaign effectiveness. These are only set with your consent where required by applicable law.

You can manage your cookie preferences through the cookie banner displayed when you first visit our website, or through your browser settings.

12. SECURITY OF YOUR INFORMATION

Strike maintains comprehensive security measures to protect your information, including: encryption of data in transit (TLS 1.2+) and at rest (AES-256); access controls and role-based permissions; regular vulnerability assessments and penetration testing of our own infrastructure; intrusion detection and prevention systems; security incident response procedures; and employee and contractor security training and background checks.

Strike maintains SOC 2 Type II and ISO 27001 certifications, and a HIPAA-aligned compliance program where applicable.

While we implement industry-standard security measures, no method of transmission or storage is completely secure. You are responsible for maintaining the confidentiality of your Account credentials and for notifying us promptly of any unauthorized access.

13. CHILDREN’S PRIVACY

The Platform is not directed at individuals under the age of 18. We do not knowingly collect personal information from minors. If we become aware that we have collected personal information from a minor, we will take steps to delete it promptly. Contact us at legal@strike.sh if you believe a minor has provided us with personal information.

14. THIRD-PARTY WEBSITES AND SERVICES

The Platform may contain links to third-party websites and services. This Policy does not apply to those third-party services. We encourage you to review their privacy policies. Strike is not responsible for the privacy practices of third-party services.

15. CHANGES TO THIS PRIVACY POLICY

We may update this Policy from time to time. We will notify you of material changes by posting the updated Policy on our website and, where required by law, by email or through the Platform. The “Last updated” date at the top indicates when it was last revised. Continued use of the Platform after the effective date constitutes acceptance.

16. CONTACT US

If you have questions, concerns, or complaints about this Privacy Policy or our data practices:

Strike Security LLC

Attn: Legal / Data Protection

848 Brickell Avenue, Suite 600, Miami, FL 33131

Email: legal@strike.sh

For EEA/UK data subjects, you also have the right to lodge a complaint with your local data protection supervisory authority.