Política de Privacidad

Última actualización: 14 de marzo de 2026

1. Quiénes somos

Gerion ("Gerion", "nosotros", "nuestro") opera la plataforma de Application Security Posture Management (ASPM) disponible en gerion.dev. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos los datos personales de las personas que acceden a nuestra plataforma web, utilizan nuestros servicios SaaS o descargan y ejecutan el CLI de Gerion.

El responsable del tratamiento de los datos es Gerion, contactable en privacidad@gerion.dev.

2. Qué datos recopilamos

Recopilamos únicamente los datos necesarios para prestar el servicio:

• Datos de cuenta: nombre, dirección de correo electrónico, nombre de la organización y contraseña (almacenada en forma de hash, nunca en texto plano).
• Datos de hallazgo: para cada vulnerabilidad o problema detectado — severidad, tipo de escáner, ruta de archivo, número de línea, mensaje de la regla aplicada, un fragmento de código de contexto (las líneas relevantes alrededor del problema) y la sugerencia de corrección cuando esté disponible. Para hallazgos de tipo secreto, el valor del secreto se transmite redactado (p. ej., ABC123...[REDACTED]...XYZ789); el token completo nunca llega a nuestros servidores.
• Metadatos de git y CI/CD: nombre de rama, hash de commit y autor del commit. Además, variables de entorno de sistema expuestas por la plataforma CI/CD para identificar el contexto del workflow: URL del repositorio, ID del pipeline, nombre del job, nombre del workflow (p.ej. GITHUB_REPOSITORY, GITHUB_REF, CI_PIPELINE_URL, BUILD_URL). No se recogen variables de entorno definidas por el usuario ni secrets de aplicación.
• Impacto financiero: métricas calculadas por la plataforma (Deuda Técnica en €, Ahorro Realizado) derivadas de los datos de hallazgo anteriores.
• Datos de uso: logs de actividad en la plataforma (páginas visitadas, filtros aplicados, informes generados), timestamps de ejecución de la CLI y número de repositorios analizados.
• Datos técnicos: dirección IP, tipo de navegador, sistema operativo y versión del CLI. Utilizados exclusivamente para diagnóstico técnico y seguridad.
• Datos de facturación: para clientes de pago, nombre, datos de contacto de facturación y los últimos cuatro dígitos del método de pago. Los datos completos de tarjeta son gestionados exclusivamente por nuestro proveedor de pagos (Stripe) y nunca pasan por nuestros servidores.

3. Lo que no recopilamos

Por diseño de nuestra arquitectura, el CLI de Gerion ejecuta los escáneres dentro de tu propia infraestructura de CI/CD. Los ficheros fuente completos nunca se transmiten a Gerion. La distinción es la misma que entre recibir "Inyección SQL en src/api/usuarios.py:47" y recibir el fichero entero.

Gerion nunca recibe, almacena ni procesa: ficheros de código fuente completos, el árbol de tu repositorio, variables de entorno definidas por el usuario, archivos de configuración con secretos en texto plano, ni ningún otro contenido de tu codebase que no sea el fragmento de contexto del hallazgo descrito en la sección anterior.

4. Telemetría de herramientas de terceros

El CLI de Gerion orquesta cuatro herramientas open source independientes: Opengrep, OSV-Scanner, Gitleaks y KICS. Estas herramientas se ejecutan dentro de tu propia infraestructura, pero pueden recopilar y transmitir su propia telemetría de forma autónoma — con independencia de Gerion y fuera del alcance de esta Política de Privacidad.

Gerion no controla, no tiene acceso ni es responsable de la telemetría que cada herramienta pueda enviar a sus respectivos mantenedores. Te recomendamos revisar las políticas de privacidad de cada proyecto si operas en entornos con restricciones estrictas de salida de red:

• Opengrep — fork comunitario de Semgrep
• OSV-Scanner — Google Open Source Security
• Gitleaks
• KICS — Checkmarx

Si necesitas deshabilitar la telemetría de alguna de estas herramientas, consulta su documentación oficial. El CLI de Gerion no añade telemetría propia adicional a la de estas herramientas.

5. Cómo usamos tus datos

Utilizamos los datos recopilados para los siguientes fines:

• Prestación del servicio: procesar y mostrar los hallazgos de seguridad, calcular el impacto financiero y generar los dashboards e informes.
• Gestión de la cuenta: autenticación, gestión de suscripción y comunicaciones relacionadas con el servicio (confirmaciones de pago, avisos de renovación, alertas de seguridad de la cuenta).
• Soporte técnico: diagnóstico de incidencias cuando el usuario solicita asistencia.
• Mejora del servicio: análisis agregados y anonimizados de uso para mejorar la plataforma. Nunca se utilizan datos de hallazgos individuales para este fin.
• Seguridad y prevención de fraude: detección de accesos no autorizados y usos abusivos de la plataforma.
• Cumplimiento legal: conservación de datos en la medida exigida por la normativa aplicable.

6. Base legal del tratamiento (RGPD)

El tratamiento de tus datos personales se basa en las siguientes bases jurídicas del artículo 6 del Reglamento General de Protección de Datos (RGPD):

• Ejecución del contrato (art. 6.1.b): los datos de cuenta y de análisis son necesarios para prestar el servicio contratado.
• Interés legítimo (art. 6.1.f): datos técnicos y de uso para el diagnóstico, la seguridad de la plataforma y la mejora del servicio, siempre que no prevalezcan tus derechos fundamentales.
• Obligación legal (art. 6.1.c): conservación de registros de facturación y cumplimiento de requerimientos legales o regulatorios.
• Consentimiento (art. 6.1.a): para el envío de comunicaciones de marketing, cuando aplique. Puedes revocar este consentimiento en cualquier momento.

7. Retención de datos

• Datos de cuenta activa: mientras la cuenta esté activa.
• Datos de análisis (hallazgos): durante la vigencia de la suscripción más un período de 90 días tras la cancelación, para permitir la exportación de datos.
• Logs de actividad: 12 meses desde su generación.
• Registros de facturación: 7 años, según la normativa tributaria española.
• Tras la expiración de los plazos anteriores, los datos se eliminan de forma segura o se anonimizan irreversiblemente.

8. Compartición de datos y subencargados

No vendemos ni alquilamos tus datos personales a terceros. Podemos compartir datos con los siguientes subencargados del tratamiento, todos ellos bajo acuerdos de procesamiento de datos conformes al RGPD:

• Infraestructura cloud: servidores y almacenamiento alojados en la Unión Europea.
• Procesamiento de pagos: Stripe, Inc. — únicamente datos de facturación necesarios para procesar el pago.
• Soporte: herramientas de ticketing de soporte al cliente, con acceso limitado a los datos mínimos necesarios para resolver la incidencia.
• Monitorización y errores: herramientas de observabilidad para la detección de fallos técnicos, sin acceso a datos de hallazgos.

Podremos revelar datos personales a autoridades públicas cuando así lo exija la ley o una resolución judicial, notificando al usuario en la medida en que la ley lo permita.

9. Transferencias internacionales de datos

Todos los datos de la plataforma se almacenan y procesan en servidores ubicados dentro de la Unión Europea. En caso de que algún subencargado requiriera una transferencia fuera del Espacio Económico Europeo, nos aseguraremos de que existan las garantías adecuadas previstas en el RGPD (cláusulas contractuales tipo u otro mecanismo equivalente).

10. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos personales contra acceso no autorizado, pérdida accidental, destrucción o alteración. Entre ellas:

• Cifrado en tránsito (TLS 1.2 o superior) y en reposo.
• Autenticación multifactor (MFA) disponible para todas las cuentas.
• Control de acceso basado en roles dentro de la plataforma.
• Auditorías de seguridad periódicas y análisis de vulnerabilidades.
• Política de gestión de incidentes con notificación a la autoridad de control en los plazos previstos por el RGPD (72 horas).

11. Tus derechos como interesado (RGPD)

De acuerdo con el RGPD, tienes los siguientes derechos sobre tus datos personales:

• Acceso: obtener confirmación sobre si tratamos tus datos y recibir una copia de los mismos.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Supresión: solicitar la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento.
• Limitación del tratamiento: solicitar que suspendamos el procesamiento de tus datos en determinadas circunstancias.
• Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
• Oposición: oponerte al tratamiento basado en interés legítimo.
• No ser objeto de decisiones automatizadas: no tomamos decisiones con efectos jurídicos basadas exclusivamente en tratamiento automatizado.

Para ejercer cualquiera de estos derechos, escríbenos a privacidad@gerion.dev. Responderemos en un plazo máximo de 30 días. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.

12. Cookies

Utilizamos cookies estrictamente necesarias para el funcionamiento del servicio (sesión de usuario, preferencias de idioma y tema). No utilizamos cookies de seguimiento de terceros ni publicidad comportamental. Puedes configurar tu navegador para rechazar cookies, aunque esto puede afectar a la funcionalidad de la plataforma.

13. Menores de edad

El servicio está dirigido a usuarios profesionales y no está destinado a menores de 16 años. No recopilamos conscientemente datos personales de menores. Si detectamos que hemos recopilado inadvertidamente datos de un menor, los eliminaremos sin demora.

14. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente. Cuando realicemos cambios materiales, te notificaremos por correo electrónico o mediante un aviso prominente en la plataforma con al menos 30 días de antelación. La fecha de "Última actualización" al inicio de este documento siempre refleja la versión vigente.

15. Contacto

Para cualquier consulta relacionada con la privacidad o el tratamiento de tus datos personales, puedes contactarnos en:

• Email: privacidad@gerion.dev
• Web: gerion.dev