Política de Privacidad
Esta política describe cómo Vestige recolecta, procesa y protege datos al operar su plataforma de Exposure Intelligence. Adoptamos los principios del GDPR y de la LGPD brasileña como línea de base, incluso donde no se exigen estrictamente.
1. Alcance y finalidad
Vestige observa exclusivamente la superficie pública de internet y correlaciona las señales recolectadas con los activos que cada organización registra en la plataforma.
Los datos se tratan estrictamente para las finalidades de descubrimiento, monitoreo y correlación de exposición contratadas por el cliente.
2. Datos que recolectamos
Datos de cuenta (nombre, correo corporativo, organización) facilitados al registrarse o iniciar sesión.
Señales e indicadores recolectados de fuentes públicas distribuidas — Certificate Transparency, enrutamiento BGP, índices abiertos, feeds de amenazas y DNS. No accedemos a sistemas privados de terceros ni autenticamos o explotamos.
Telemetría mínima de uso para auditoría, seguridad y mejora operativa.
3. Tratamiento de información sensible (PII)
Cuando la recolección de fuentes públicas indica la presencia de tipos de documento (por ejemplo, identificaciones fiscales), Vestige registra solo la presencia y el conteo — nunca el valor, que se redacta.
El objetivo es señalar la exposición para que la organización actúe, no reproducir ni divulgar el dato sensible.
4. Base legal
Ejecución de contrato, cumplimiento de obligación legal e interés legítimo — siempre balanceado con los derechos del titular.
Para datos de fuentes públicas: tratamiento de dato hecho manifiestamente público por el titular.
5. Compartición
No vendemos datos. Compartimos solo con encargados estrictamente necesarios para prestar el servicio (infraestructura, correo transaccional, procesamiento de pagos), bajo contrato de tratamiento.
Las autoridades públicas se atienden únicamente mediante orden legal específica y documentada.
6. Retención
Los datos de cuenta se retienen durante el periodo de suscripción activa, más el plazo mínimo exigido por obligación legal.
Las solicitudes de supresión se procesan en hasta 15 días hábiles cuando no hay base legal que exija retención.
7. Derechos del titular
Acceso, rectificación, supresión, portabilidad, oposición y revocación del consentimiento, conforme al GDPR y la LGPD.
Para ejercer derechos: privacidad@vtg.cx — respuesta en hasta 15 días hábiles.
8. Seguridad
Cifrado en tránsito y en reposo, aislamiento de datos por organización, control de acceso de mínimo privilegio, registros de auditoría y revisión periódica de superficies de exposición.
9. Contacto
Delegado de Protección de Datos (DPO): privacidad@vtg.cx