Privacy Policy Política de Privacidad

This Privacy Policy explains how Nuxalt LLC ("Nuxalt", "we", "us", "our") processes personal information in connection with its website nuxalt.com, related sub-domains, marketing communications, customer-facing portals and the offensive security, security awareness and private DNS filtering services we provide (collectively, the "Services").

For the purposes of the EU/UK General Data Protection Regulation (GDPR), Nuxalt LLC is the data controller of the personal information described in this Policy, except where we act as a data processor on behalf of a business customer (for example, when we operate a DNS filtering tenancy or run security-awareness campaigns for that customer's employees). In those processor scenarios, the customer's own privacy notice governs and our processing is bound by a Data Processing Agreement (DPA).

Esta Política de Privacidad explica cómo Nuxalt LLC ("Nuxalt", "nosotros") trata la información personal en relación con su sitio web nuxalt.com, sub-dominios relacionados, comunicaciones comerciales, portales de cliente y los servicios de seguridad ofensiva, concienciación y filtrado DNS privado que ofrecemos (conjuntamente, los "Servicios").

A efectos del Reglamento General de Protección de Datos (RGPD) de la UE/Reino Unido, Nuxalt LLC actúa como responsable del tratamiento de la información personal descrita en esta Política, excepto cuando actuamos como encargado del tratamiento por cuenta de un cliente empresarial (por ejemplo, cuando operamos un tenant de filtrado DNS o ejecutamos campañas de concienciación para los empleados de ese cliente). En esos casos, la política del cliente prevalece y nuestro tratamiento se rige por un Acuerdo de Encargo de Tratamiento (DPA).

This Policy applies to personal information that we process about:

• Visitors to our public website and marketing pages.
• Prospects who contact us through forms, email, phone or events.
• Business customers and their authorized users (administrators, project contacts).
• End users of our DNS filtering services where Nuxalt is the controller (e.g. direct consumer/family plans).
• Recipients of our security-awareness training and phishing simulations.
• Job applicants and candidates.

It does not apply to data we process strictly as a processor for a customer — that data is governed by the customer's own privacy notice and our DPA with the customer.

Esta Política se aplica a la información personal que tratamos sobre:

• Visitantes de nuestra web pública y páginas de marketing.
• Prospectos que nos contactan mediante formularios, correo, teléfono o eventos.
• Clientes empresariales y sus usuarios autorizados (administradores, contactos de proyecto).
• Usuarios finales del filtrado DNS cuando Nuxalt actúa como responsable (p. ej., planes directos para consumidor/familia).
• Destinatarios de formación de concienciación y simulaciones de phishing.
• Candidatos y aspirantes a empleo.

No se aplica a los datos tratados estrictamente como encargados por cuenta de un cliente — esos datos se rigen por la política del cliente y nuestro DPA.

Under GDPR/UK GDPR, the legal bases we rely on are:

• Performance of a contract — to deliver the Services you or your employer have contracted; to respond to your inquiry; to issue invoices and provide support.
• Legitimate interests — to operate, secure and improve the website and Services; to detect fraud and abuse; for business-to-business marketing of substantially similar services to existing customers (you may opt out at any time); to manage and defend legal claims.
• Consent — for non-essential cookies, for marketing emails where consent is required (e.g. EU/UK prospects), and for any voluntary use of free-text fields.
• Legal obligation — to comply with tax, anti-money-laundering, accounting and judicial requirements.

You can withdraw any consent at any time without affecting prior processing — see Your rights.

De acuerdo con el RGPD/RGPD-RU, las bases legales en las que nos amparamos son:

• Ejecución de un contrato — para prestar los Servicios contratados; responder a tu consulta; emitir facturas y dar soporte.
• Interés legítimo — para operar, asegurar y mejorar el sitio web y los Servicios; detectar fraude y abuso; para marketing B2B de servicios sustancialmente similares a clientes existentes (puedes oponerte en cualquier momento); para gestionar y defender reclamaciones legales.
• Consentimiento — para cookies no esenciales, para emails comerciales cuando se requiere consentimiento (p. ej., prospectos UE/RU) y para cualquier uso voluntario de campos de texto libre.
• Obligación legal — para cumplir requisitos fiscales, contables, de prevención de blanqueo y judiciales.

Puedes retirar tu consentimiento en cualquier momento sin que ello afecte al tratamiento previo — ver Tus derechos.

We do not sell personal information. We share data only with:

• Sub-processors bound by written contracts — for hosting, email delivery, customer relationship management, billing, analytics, error monitoring and threat intelligence. A current list is available on request.
• Customers when we act as a processor for that customer (e.g. delivering awareness reports to the customer's security team).
• Professional advisors (lawyers, auditors, accountants) under duties of confidentiality.
• Authorities when required by law, court order or to defend our rights.
• Successor entities in connection with a merger, acquisition or sale of substantially all of our assets, in which case any successor will be bound by privacy commitments substantially equivalent to this Policy.

No vendemos información personal. Compartimos datos únicamente con:

• Subencargados vinculados mediante contrato — para hosting, envío de email, CRM, facturación, analítica, monitorización de errores e inteligencia de amenazas. Lista actualizada disponible bajo petición.
• Clientes cuando actuamos como encargados para ellos (p. ej., entregando informes de concienciación al equipo de seguridad del cliente).
• Asesores profesionales (abogados, auditores, contables) bajo deberes de confidencialidad.
• Autoridades cuando lo exija la ley, una orden judicial o para defender nuestros derechos.
• Entidades sucesoras en el contexto de una fusión, adquisición o venta sustancial de activos; en tal caso el sucesor quedará vinculado a compromisos de privacidad sustancialmente equivalentes a esta Política.

We retain personal information only as long as needed for the purposes described above and to comply with our legal obligations. As a general guide:

• Contact-form inquiries that do not become an engagement: up to 24 months, then deleted or anonymized.
• Customer engagement records (proposals, contracts, deliverables): up to 7 years after termination, for legal, tax and defense purposes.
• Technical website logs: up to 12 months.
• DNS query telemetry (controller-mode): aggregated after 30 days, raw logs retained no longer than 90 days unless required for incident investigation.
• Recruiting data: up to 12 months after the application is closed, unless you ask us to keep your profile longer.

Conservamos la información personal sólo durante el tiempo necesario para las finalidades descritas y para cumplir nuestras obligaciones legales. Como guía:

• Consultas que no resultan en contrato: hasta 24 meses y luego se borran o anonimizan.
• Registros contractuales (propuestas, contratos, entregables): hasta 7 años tras la finalización, por motivos legales, fiscales y de defensa.
• Logs técnicos del sitio web: hasta 12 meses.
• Telemetría DNS (modo responsable): agregada a los 30 días, logs brutos no más de 90 días salvo investigación de incidente.
• Datos de reclutamiento: hasta 12 meses tras el cierre de la candidatura, salvo que pidas que mantengamos tu perfil más tiempo.

Nuxalt is headquartered in the United States. We may transfer personal information to other jurisdictions where we, our affiliates or our sub-processors operate. Where data originates in the EU/UK and is transferred to a country without an adequacy decision, we rely on:

• The European Commission's Standard Contractual Clauses (2021) with our sub-processors;
• The UK International Data Transfer Addendum for UK data;
• Additional safeguards including encryption in transit and at rest, access controls, and Transfer Impact Assessments as required.

Copies of the safeguards are available on written request to info@nuxalt.com.

Nuxalt tiene su sede en Estados Unidos. Podemos transferir información personal a otras jurisdicciones donde operamos o donde lo hacen nuestros afiliados o subencargados. Cuando los datos provienen de la UE/RU y se transfieren a un país sin decisión de adecuación, nos amparamos en:

• Las Cláusulas Contractuales Tipo de la Comisión Europea (2021) con nuestros subencargados;
• El UK International Data Transfer Addendum para datos del Reino Unido;
• Garantías adicionales como cifrado en tránsito y en reposo, controles de acceso y Evaluaciones de Impacto de Transferencia cuando proceda.

Copias de las garantías disponibles bajo solicitud escrita a info@nuxalt.com.

Nuxalt operates with a security-first posture aligned with ISO 27001 controls and the NIST Cybersecurity Framework. Measures include: encryption in transit (TLS 1.2+) and at rest (AES-256); role-based access control with multi-factor authentication; principle of least privilege; segregation of customer environments; centralized logging with tamper detection; vulnerability management; secure SDLC; documented incident response with notification timelines that meet or exceed GDPR Art. 33-34 and state-level breach laws.

No method of transmission or storage is 100% secure. We will notify affected individuals and regulators where required by law in the event of a personal data breach.

Nuxalt opera con una postura de seguridad alineada con los controles de ISO 27001 y el NIST CSF. Medidas: cifrado en tránsito (TLS 1.2+) y en reposo (AES-256); control de acceso basado en roles con MFA; principio de mínimo privilegio; segregación de entornos por cliente; logging centralizado con detección de manipulación; gestión de vulnerabilidades; SDLC seguro; respuesta a incidentes documentada con plazos de notificación que cumplen o superan los arts. 33-34 RGPD y las leyes estatales de notificación de brechas.

Ningún método de transmisión o almacenamiento es 100% seguro. Notificaremos a personas afectadas y autoridades en caso de brecha de datos personales cuando la ley lo exija.

Subject to applicable law and verification of your identity, you have the right to:

• Access the personal information we hold about you.
• Rectify data that is inaccurate or incomplete.
• Erase data when no longer necessary, when consent is withdrawn, or where required by law.
• Restrict or object to processing based on legitimate interests, including direct marketing.
• Portability of data you provided to us, in a structured, machine-readable format.
• Withdraw consent at any time where processing is based on consent.
• Lodge a complaint with a supervisory authority (in the EU, your local Data Protection Authority; in the UK, the ICO; in Spain, the AEPD).

To exercise any right, email info@nuxalt.com. We respond within 30 days, extendable by 60 additional days for complex requests as permitted by law.

Conforme a la legislación aplicable y previa verificación de tu identidad, tienes derecho a:

• Acceso a la información personal que mantenemos sobre ti.
• Rectificación de datos inexactos o incompletos.
• Supresión cuando ya no sean necesarios, cuando retires el consentimiento o cuando lo exija la ley.
• Limitación u oposición al tratamiento basado en interés legítimo, incluido marketing directo.
• Portabilidad de los datos que nos hayas proporcionado, en formato estructurado y legible por máquina.
• Retirar el consentimiento en cualquier momento cuando el tratamiento se base en él.
• Reclamar ante una autoridad de control (en la UE, tu AEPD/EPD local; en el Reino Unido, la ICO; en España, la AEPD).

Para ejercer cualquier derecho, escribe a info@nuxalt.com. Responderemos en 30 días, prorrogables 60 días adicionales en casos complejos según permita la ley.

If you are a resident of a US state with applicable privacy law (including but not limited to the California Consumer Privacy Act / CPRA, the Virginia CDPA, the Colorado CPA, the Connecticut CTDPA, the Utah UCPA and the Texas TDPSA), you have rights to know, access, correct, delete and obtain a portable copy of your personal information, and to opt out of "sales" or "sharing" of personal information as defined by your state law.

Nuxalt does not "sell" personal information and does not "share" personal information for cross-context behavioral advertising. We do not use Sensitive Personal Information for purposes other than those allowed under applicable law. To submit a request, email info@nuxalt.com with the subject line "US State Privacy Request" and identify your state of residence. We do not discriminate against any individual for exercising these rights.

Si eres residente de un estado de EE. UU. con ley de privacidad aplicable (CCPA/CPRA en California, CDPA en Virginia, CPA en Colorado, CTDPA en Connecticut, UCPA en Utah, TDPSA en Texas, entre otras), tienes derecho a conocer, acceder, corregir, suprimir y obtener una copia portable de tu información personal, así como a oponerte a la "venta" o "compartición" de información personal según defina tu ley estatal.

Nuxalt no "vende" información personal ni la "comparte" para publicidad conductual cross-context. No usamos información personal sensible para finalidades distintas de las permitidas por la ley aplicable. Para enviar una solicitud, escribe a info@nuxalt.com con asunto "US State Privacy Request" indicando tu estado de residencia. No discriminamos a quien ejerza estos derechos.

Our Services are directed to businesses and adult professionals. We do not knowingly collect personal information from children under 16 (or 13 in the United States) without parental consent. Our family-tier DNS Services may be purchased by a parent or legal guardian on behalf of minors; in that case, the adult subscriber is responsible for setting profiles and any related consents.

Nuestros Servicios se dirigen a empresas y profesionales adultos. No recogemos a sabiendas información personal de menores de 16 años (o 13 en EE. UU.) sin consentimiento parental. Nuestros Servicios DNS de tier familiar pueden ser contratados por un padre o tutor legal en nombre de menores; en ese caso, el adulto contratante es responsable de configurar los perfiles y los consentimientos correspondientes.

We may update this Policy from time to time. Material changes will be signaled on the website and, where appropriate, communicated by email at least 30 days before they take effect. The "Last updated" date at the top reflects the most recent revision.

Podemos actualizar esta Política periódicamente. Los cambios sustanciales se anunciarán en la web y, cuando corresponda, por email al menos 30 días antes de entrar en vigor. La fecha de "Última actualización" en la parte superior refleja la revisión más reciente.