Política de Privacidad
Última actualización: 20 de mayo de 2026.
En cumplimiento del Reglamento (UE) 2016/679 (en adelante, "RGPD") y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD"), Hard2bit S.L. informa a los usuarios del servicio Hard2bit Scanner sobre el tratamiento de sus datos personales.
1. Responsable del tratamiento
- Identidad: Hard2bit S.L. (Sociedad Laboral) (en adelante, "Hard2bit" o el "Responsable").
- CIF: B86717147
- CIF intracomunitario: ESB86717147
- Domicilio social: Calle Filipo 41, 28232 Las Rozas de Madrid, España
- Datos registrales: Registro Mercantil de Madrid, Hoja M-550809, Tomo 30604, Folio 98
- CNAE: 6202 – Actividades de consultoría informática
- Correo electrónico de contacto general: info@hard2bit.com
- Contacto en materia de privacidad y protección de datos: info@hard2bit.com
En la fecha de publicación de esta política, Hard2bit no ha designado formalmente un Delegado de Protección de Datos (DPD), tras análisis interno del artículo 37 del RGPD. En caso de designarse formalmente en el futuro, los datos de contacto del DPD se publicarán y comunicarán conforme a la normativa aplicable.
2. Datos personales que tratamos
2.1. Datos de identificación y contacto
- Dirección de correo electrónico
- Nombre y apellidos (opcional)
- Idioma de preferencia (español / inglés)
2.2. Datos de autenticación
- Contraseña cifrada (almacenada mediante hash criptográfico, nunca en texto plano)
- Identificadores de proveedores de identidad externos (Google, GitHub) si el usuario elige autenticación social
- Tokens de sesión temporales
2.3. Datos económicos y de facturación
- Datos de facturación (nombre, dirección, NIF cuando aplique) — tratados por Stripe Payments Europe Ltd. como encargado del tratamiento.
- Identificadores de cliente y suscripción de Stripe (
stripe_customer_id,stripe_subscription_id). - Importante: Hard2bit no almacena ningún dato de tarjeta bancaria. El procesamiento de pagos se realiza íntegramente en la infraestructura PCI-DSS Level 1 de Stripe.
2.4. Datos de uso del servicio
- Dominios analizados por el usuario.
- Resultados de los análisis (puntuaciones de seguridad, hallazgos, recomendaciones).
- Fecha y hora de las acciones realizadas.
- Dirección IP desde la que se accede al servicio (en registros técnicos).
- Información técnica del navegador (user-agent).
2.5. Datos de comunicaciones comerciales (solo con consentimiento)
- Registro del consentimiento prestado (timestamp, versión de la política aceptada).
3. Finalidades y bases legales del tratamiento
| Finalidad | Base legal | Datos | Plazo |
|---|---|---|---|
| Gestión y mantenimiento de la cuenta | Ejecución del contrato (Art. 6.1.b RGPD) | Identificación, contacto, autenticación, uso | Durante la vigencia de la cuenta |
| Prestación del servicio de análisis | Ejecución del contrato (Art. 6.1.b RGPD) | Dominios, resultados, IP | Indefinido mientras la cuenta esté activa |
| Evidencia contractual y de checkout | Ejecución del contrato e interés legítimo (Art. 6.1.b y 6.1.f RGPD) | Versión de Términos/Privacidad/Cookies aceptada, texto de los checkboxes aceptados (incluido el de inicio inmediato del servicio), fecha/hora, IP, user-agent, identificadores Stripe | Durante la relación contractual y el plazo de prescripción de posibles reclamaciones |
| Análisis anónimo (sin registro) | Interés legítimo del usuario y del Responsable (Art. 6.1.f RGPD) | Dominio analizado, IP del solicitante | 30 días naturales |
| Facturación y obligaciones contables | Obligación legal (Art. 6.1.c RGPD) — Código de Comercio (art. 30), Ley General Tributaria y normativa fiscal aplicable | Datos económicos | 6 años con carácter general |
| Comunicaciones comerciales | Consentimiento (Art. 6.1.a RGPD) | Hasta retirada del consentimiento | |
| Seguridad y prevención de abuso | Interés legítimo (Art. 6.1.f RGPD) | IP, user-agent, logs | 90 días naturales |
| Cumplimiento de obligaciones legales | Obligación legal (Art. 6.1.c RGPD) | Según requerimiento | Según marco legal aplicable |
4. Destinatarios y comunicación de datos
Comunicamos datos personales a los siguientes encargados del tratamiento, todos ellos con contratos de encargo (DPA) o cláusulas contractuales tipo (SCC) firmados:
| Encargado | Servicio | Ubicación | Marco legal |
|---|---|---|---|
| Hetzner Online GmbH | Hosting de infraestructura | Falkenstein, Alemania (UE) | DPA firmado. No hay transferencia internacional. |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | Dublín, Irlanda (UE) | DPA firmado. No hay transferencia internacional. |
| Resend Inc. | Envío de correos transaccionales | Estados Unidos | DPA + SCC UE-EE.UU. + Data Privacy Framework cuando aplique. |
| Cloudflare Inc. | CDN, seguridad y proxy DNS | Estados Unidos / red global | DPA + SCC UE-EE.UU. + Data Privacy Framework. |
Garantías adicionales para transferencias internacionales: en aquellos casos en que existe transferencia fuera del Espacio Económico Europeo, Hard2bit ha verificado que el encargado cuenta con garantías adecuadas conforme al Art. 46 RGPD (SCC vigentes post-Schrems II) y/o se acoge al Marco de Privacidad de Datos EU-EE.UU.
No comunicamos datos a terceros distintos de los anteriores salvo obligación legal o autorización expresa del usuario.
5. Derechos del interesado
De conformidad con el RGPD (artículos 15 a 22), el usuario tiene derecho a:
- Acceso (Art. 15): solicitar copia de todos los datos personales que tratamos.
- Rectificación (Art. 16): solicitar la corrección de datos inexactos.
- Supresión "derecho al olvido" (Art. 17): solicitar la eliminación de los datos cuando ya no sean necesarios, retire el consentimiento o se oponga al tratamiento.
- Limitación del tratamiento (Art. 18): solicitar la restricción del tratamiento en determinados supuestos.
- Portabilidad (Art. 20): recibir los datos en formato estructurado, de uso común y lectura mecánica.
- Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo o para comunicaciones comerciales.
- No ser objeto de decisiones automatizadas (Art. 22): incluyendo la elaboración de perfiles que produzcan efectos jurídicos.
Cómo ejercer los derechos
- Desde la cuenta: el usuario puede ejercer los derechos de acceso y supresión directamente desde su panel de cuenta (/account) mediante los botones "Exportar mis datos" y "Eliminar mi cuenta".
- Por correo electrónico: dirigiendo un escrito a info@hard2bit.com.
- Plazo de respuesta: un mes desde la recepción de la solicitud, prorrogable a dos meses adicionales en supuestos complejos (Art. 12.3 RGPD).
Reclamación ante la Autoridad de Control
Si el usuario considera que sus derechos no han sido atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos:
- Web: https://www.aepd.es
- Dirección: C/ Jorge Juan, 6 — 28001 Madrid
- Teléfono: 901 100 099
6. Medidas de seguridad
Hard2bit aplica medidas técnicas y organizativas apropiadas al riesgo del tratamiento (Art. 32 RGPD), incluyendo:
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones (HTTPS obligatorio).
- Cifrado en reposo: cifrado de volúmenes de almacenamiento (LUKS) y backups cifrados con criptografía asimétrica (age).
- Hash de contraseñas: algoritmo scrypt con parámetros conformes a OWASP Password Storage Cheat Sheet.
- Control de acceso: principios de mínimo privilegio. Acceso a la base de datos productiva limitado al personal estrictamente necesario.
- Registro de actividad (audit log): acciones administrativas registradas con identificador del operador, acción, recurso afectado y timestamp.
- Copias de seguridad: diarias, cifradas, retención 30 días y desincronización geográfica.
- Aislamiento de pagos: cumplimiento PCI-DSS SAQ A — Hard2bit nunca tiene acceso a datos de tarjeta bancaria.
- Cookies de sesión: marcadas con flags
HttpOnly,SecureySameSite=Laxpara mitigar XSS y CSRF. - Cabeceras HTTP de seguridad:
Cache-Control: no-storeen respuestas autenticadas;Strict-Transport-Securityen producción. - Monitorización: alertas automáticas ante anomalías de acceso o procesamiento.
Hard2bit se compromete a notificar a la AEPD y a los usuarios afectados, en los plazos previstos por el RGPD (Art. 33 y 34), cualquier violación de seguridad de los datos personales que entrañe riesgo para los derechos y libertades de los interesados.
7. Conservación, bloqueo y supresión de los datos
Los datos personales se conservan durante los plazos indicados en el cuadro de la sección 3.
Cuando un usuario solicita la supresión de su cuenta, Hard2bit aplica un tratamiento granular según la naturaleza del dato:
- Datos identificativos operativos (correo, nombre, preferencias, sesiones): se anonimizan o eliminan de forma irreversible en un plazo máximo de 30 días naturales desde la solicitud. El correo electrónico se sustituye por un identificador irrecuperable.
- Datos sujetos a obligación legal de conservación (facturas, asientos contables, justificantes de pago): no se eliminan, sino que se bloquean durante los plazos legalmente exigibles (con carácter general 6 años conforme al Código de Comercio y normativa contable y fiscal). Durante el bloqueo, el acceso queda restringido a finalidades estrictamente necesarias (auditorías, requerimientos legales, defensa frente a reclamaciones) y no se utilizan para finalidades operativas, comerciales ni de marketing.
- Resultados de escaneos asociados al usuario: se anonimizan o eliminan salvo que exista necesidad contractual, técnica o legal de su conservación.
- Logs de actividad y de seguridad: se rotan automáticamente conforme a los plazos de retención técnica indicados en la sección 3.
- Backups cifrados: la propagación de la supresión a copias de seguridad se realiza conforme al ciclo de rotación de las mismas, asegurando en todo caso que ningún backup mantenga datos personales más allá de los plazos legalmente justificados.
- Cancelación de la suscripción en Stripe: se realiza automáticamente al iniciar el proceso de supresión.
En caso de que la supresión técnica completa no sea posible por motivos legales o técnicos, Hard2bit informará al usuario y procederá a la pseudonimización con el máximo nivel de minimización compatible con la obligación de conservación.
8. Menores de edad
El servicio Hard2bit Scanner está dirigido exclusivamente a profesionales y entidades. No se ofrece a menores de 14 años. El registro en el servicio implica que el usuario manifiesta tener la edad legal mínima para contratar servicios en línea conforme a la legislación española (Art. 7 LOPDGDD).
9. Datos personales de terceros en los dominios analizados
El usuario reconoce expresamente que los dominios que solicita analizar pueden contener o revelar, en fuentes públicamente accesibles, datos personales de terceros (titulares de dominio en registros WHOIS, direcciones de correo, nombres de responsables técnicos, información de empleados o contactos publicada en el sitio, metadatos de certificados, etc.).
El usuario garantiza disponer de legitimación suficiente para solicitar el análisis del dominio introducido. Esta legitimación puede derivar de ser titular del dominio, contar con autorización expresa del titular, participar en un programa público de bug bounty con scope cubriente, o cualquier otra base legítima conforme a la normativa aplicable. Esta obligación corresponde exclusivamente al usuario y no a Hard2bit.
El usuario se compromete a no utilizar los resultados del análisis para finalidades ilícitas, ofensivas, de acoso, spam, phishing, doxing, vigilancia no autorizada, explotación de vulnerabilidades en infraestructura ajena o cualquier otra vulneración de derechos de terceros.
Hard2bit, en cuanto responsable del tratamiento, aplica medidas de minimización: no enriquece los datos personales de terceros que pudieran aparecer en los resultados, no crea perfiles de terceros, no comercializa estos datos ni los emplea para finalidades distintas de la prestación del servicio. En caso de que un tercero solicite el ejercicio de sus derechos sobre datos suyos aparecidos en un análisis, Hard2bit colaborará en su atención conforme a la normativa aplicable.
10. Toma de decisiones automatizadas
Hard2bit Scanner ejecuta análisis automatizados de la postura de seguridad de los dominios proporcionados por el usuario. Estos análisis no producen efectos jurídicos sobre el usuario ni le afectan significativamente de modo similar. El resultado es informativo y no sustituye una auditoría de seguridad profesional.
11. Modificaciones de la política
Hard2bit podrá modificar esta política para adaptarla a cambios legislativos, técnicos o comerciales. Cualquier modificación sustancial se notificará a los usuarios con al menos 15 días naturales de antelación a través del correo electrónico de la cuenta, y se requerirá la re-aceptación expresa cuando el cambio afecte a los derechos del usuario o a las bases legales del tratamiento.
La versión vigente de esta política se encuentra siempre disponible en https://scan.hard2bit.com/privacy.
12. Contacto
Para cualquier consulta relativa a la presente política o al tratamiento de sus datos personales:
- Correo general y contacto en materia de privacidad: info@hard2bit.com
- Dirección postal: Hard2bit S.L., Calle Filipo 41, 28232 Las Rozas de Madrid, España
Documento generado conforme a las directrices de la Agencia Española de Protección de Datos (AEPD) y a las recomendaciones del European Data Protection Board (EDPB).
Ver también: Términos y Condiciones · Política de Cookies · Aviso Legal.