1. Aviso Legal (LSSI-CE)

Última actualización: 14 de mayo de 2026

Datos del titular del sitio, en cumplimiento de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE):

• Titular: Alex Pagola Guerrero
• NIF / CIF: 78779872L
• Domicilio: Avda. Iparralde 18, 2ºB 48160, Derio (Bizkaia)
• Email de contacto:scannerwebsaas@gmail.com
• Dominio: intguard.co
• Actividad: Prestación de servicios SaaS de análisis de seguridad y detección de vulnerabilidades en dominios web.
• Registro Mercantil: no aplicable — el titular es persona física no obligada a inscripción mercantil (art. 19 Código de Comercio).

El presente aviso legal se encuentra permanentemente accesible, de forma directa y gratuita, a través del enlace «Legal» presente en todas las páginas del sitio.

2. Política de Privacidad (RGPD)

2.1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es el titular indicado en la sección 1 (Aviso Legal). Puedes dirigirte al email de contacto para cualquier consulta relativa a tus datos.

IntGuard no está obligada a designar un Delegado de Protección de Datos (DPO) en virtud del art. 37 RGPD y arts. 34-37 LOPDGDD, dado que su tratamiento no encaja en los supuestos obligatorios (no es entidad financiera, sanitaria, educativa, ni realiza tratamiento a gran escala de datos sensibles). No obstante, el responsable indicado en la sección 1 atiende personalmente las consultas relativas a protección de datos.

2.2. Datos que recogemos y finalidad

• Email y nombre de usuario: para el registro, autenticación, envío de alertas de seguridad e informes. Base jurídica: ejecución del contrato (art. 6.1.b RGPD).
• Contraseña: cifrada con bcrypt (hash con salt); nunca almacenada ni transmitida en texto plano.
• Dominios y resultados de escaneo: para prestar el servicio (análisis SSL, puertos, CVEs, fingerprinting). Base jurídica: ejecución del contrato.
• Dirección IP: para rate-limiting, detección de abuso y cumplimiento LSSI. Base jurídica: interés legítimo (art. 6.1.f RGPD).
• Datos de pago: procesados directamente por Stripe. NO almacenamos números de tarjeta en nuestros sistemas.

2.3. Destinatarios y transferencias

Para prestar el servicio recurrimos a los siguientes encargados de tratamiento (sub-procesadores), todos con acuerdo DPA y garantías adecuadas:

• Railway — hosting de la aplicación y base de datos (UE).
• Stripe — procesamiento de pagos (EE. UU., acogido a SCCs).
• Sentry — monitorización de errores (EE. UU., acogido a Data Privacy Framework UE-EE. UU. y Standard Contractual Clauses (SCCs); scrubbing automático de PII; contraseñas, tokens y cabeceras sensibles nunca se envían).
• BetterStack — logs estructurados y uptime.
• Umami Analytics — analítica web privacy-first, SIN cookies ni datos personales identificables.
• NVD (NIST) y OSV (Google) — consulta de bases públicas de CVEs. Sólo enviamos el identificador CPE de la tecnología detectada; no se comparten datos del usuario.

2.4. Conservación

Los datos se conservan mientras la cuenta esté activa. Al eliminar la cuenta (manualmente o por inactividad) los datos personales se borran de forma síncrona; los logs operacionales se anonimizan. Conservamos por obligación legal los registros de facturación (6 años, art. 30 Código de Comercio).

Cuentas inactivas: si pasas 24 meses sin iniciar sesión, eliminaremos automáticamente tu cuenta y datos personales (RGPD art. 5.1.e — limitación de la conservación). Recibirás un email de aviso 30 días antes para que puedas iniciar sesión y conservar la cuenta. Esta purga no se aplica a la cuenta administradora ni a cuentas demo.

2.5. Tus derechos (RGPD y LOPDGDD)

• Acceso, rectificación y supresión (arts. 15-17 RGPD).
• Portabilidad (art. 20 RGPD): puedes solicitar una exportación de tus datos personales en formato JSON estructurado y de uso común, recibida por email en un plazo máximo de 30 días naturales. Incluye: perfil de usuario, dominios verificados, historial de escaneos, hallazgos detectados y configuración de claves API/webhooks (sin secretos en claro).
• Limitación y oposición (arts. 18, 21 RGPD).
• Retirada del consentimiento en cualquier momento (art. 7.3 RGPD).
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos (art. 22 RGPD). IntGuard no toma decisiones automatizadas sobre el usuario; el análisis de IA es informativo.
• Presentar reclamación ante la AEPD si consideras que tus derechos no han sido atendidos.

Para ejercer estos derechos escribe al email de contacto de la sección 1 con copia de documento de identidad. Plazo de respuesta máximo: 30 días naturales (art. 12.3 RGPD), prorrogables a 2 meses si la solicitud es compleja.

2.6. Empresas (DPA)

Los clientes empresa que traten datos de terceros a través de IntGuard pueden solicitar la firma de un Acuerdo de Encargado de Tratamiento (DPA) escribiendo al email de contacto.

3. Términos y Condiciones

Última actualización: 14 de mayo de 2026

3.1. Aceptación

Al registrarse en IntGuard el usuario acepta íntegramente estos términos, la Política de Privacidad y la Política de Cookies. Si no está de acuerdo debe abstenerse de usar el Servicio.

3.2. Descripción del servicio

IntGuard es un SaaS que analiza la seguridad de dominios web: certificados SSL/TLS, subdominios expuestos, puertos abiertos, cabeceras HTTP, fingerprinting tecnológico y vulnerabilidades conocidas (CVEs) consultadas en las bases públicas NVD (NIST) y OSV (Google).

3.3. Autorización del usuario — Uso autorizado

• Queda TERMINANTEMENTE prohibido utilizar IntGuard para escanear, analizar o interactuar con dominios ajenos sin autorización explícita del titular.
• El uso no autorizado puede constituir infracción del art. 197 bis (acceso ilícito a sistemas informáticos) y del art. 264 (daños informáticos) del Código Penal español, con penas de hasta 3 años de prisión, además de responsabilidad civil.
• Para dominios verificados: IntGuard implementa un sistema obligatorio de verificación de propiedad mediante archivo TXT alojado en el dominio antes de permitir cualquier escaneo.
• El titular de IntGuard no se responsabiliza del uso indebido realizado por el usuario en contra de estos términos. El usuario indemnizará al titular de cualquier reclamación de terceros derivada de dicho incumplimiento.

3.4. Cuenta de usuario y seguridad

El usuario es responsable de la custodia de sus credenciales. Debe notificar inmediatamente cualquier uso no autorizado de la cuenta al email de contacto.

Doble factor de autenticación (2FA): IntGuard ofrece autenticación 2FA basada en TOTP (RFC 6238) compatible con Google Authenticator, Authy, 1Password y similares. Recomendamos encarecidamente su activación para cuentas Pro y Business desde «Mi suscripción» → «Seguridad».

Edad mínima (art. 7 LOPDGDD): IntGuard está dirigido a profesionales mayores de edad o, en cualquier caso, a mayores de 14 años. Si tienes menos de 14 años necesitas el consentimiento expreso de tus padres o tutores legales. Al crear la cuenta debes marcar la casilla de declaración de edad. Si detectamos una cuenta titularidad de un menor de 14 años sin autorización tutelar acreditada, será suspendida inmediatamente y los datos eliminados conforme al apartado 5.4.

Procedimiento para padres / tutores: si eres padre, madre o tutor legal y detectas que un menor a tu cargo ha creado una cuenta sin tu autorización, escribe al email de contacto indicando el email de la cuenta y un documento que acredite tu vínculo. Suspenderemos y eliminaremos la cuenta en un plazo máximo de 7 días naturales.

3.5. Modificaciones

IntGuard se reserva el derecho a modificar estos términos. Los cambios serán notificados por email con al menos 15 días de antelación. El uso continuado del Servicio tras la entrada en vigor implica aceptación.

3.6. Legislación aplicable y jurisdicción

Estos términos se rigen por la legislación española. Para consumidores, la jurisdicción es la de su domicilio (art. 18 Reglamento 1215/2012). Para relaciones profesionales, los juzgados de España.

4. Política de Cookies

4.1. Qué usamos

IntGuard NO utiliza cookies de analítica ni de publicidad. No compartimos datos con redes sociales ni terceros con fines comerciales.

4.2. Almacenamiento técnicamente necesario

Para el funcionamiento del Servicio usamos exclusivamente almacenamiento local del navegador (localStorage), exento del requisito de consentimiento del art. 22.2 LSSI por ser estrictamente necesario:

• token / sessionStorage.token — JWT de sesión (expira en 8 horas). Imprescindible para autenticarte.
• intguard_lang — preferencia de idioma (es/en). No identifica personalmente.
• intguard_theme — preferencia de tema claro/oscuro.

4.3. Analítica sin cookies

Usamos Umami Analytics, que mide visitas AGREGADAS sin cookies ni huellas digitales identificativas. Nunca se crea un perfil del usuario.

4.4. Cookies técnicas de terceros

Si realizas un pago, Stripe puede depositar cookies necesarias para la prevención del fraude durante el proceso de checkout. Estas cookies son imprescindibles para la operación de pago y están sujetas a la política de Stripe.

5. Cancelación y Reembolsos

5.1. Cancelar la suscripción

Puedes cancelar la suscripción en cualquier momento desde «Mi suscripción». La cancelación es SOFT: tu plan sigue activo hasta el final del período ya pagado y, al llegar la fecha de renovación, baja automáticamente a Gratuito. Puedes revertir la cancelación desde la misma pantalla mientras el período siga vigente.

5.2. Derecho de desistimiento (14 días)

Según la Directiva 2011/83/UE (transpuesta en España por la Ley General para la Defensa de los Consumidores y Usuarios), dispones de 14 días naturales desde la contratación para desistir sin necesidad de justificación.

Excepción: si has solicitado expresamente que el Servicio comience antes de que termine ese plazo y has reconocido perder el derecho de desistimiento tras el cumplimiento íntegro del servicio, no podrás ejercer este derecho sobre los escaneos ya realizados (art. 103.m LGDCU).

5.3. Reembolsos

• Si ejerces el derecho de desistimiento en plazo y no has usado el Servicio, reembolso íntegro en 14 días.
• Si el Servicio ha fallado por causa imputable a IntGuard (caída prolongada, facturación duplicada, error técnico no resuelto): reembolso íntegro o prorrateado, según el caso.
• No procede reembolso por períodos ya iniciados cuando el Servicio ha estado disponible normalmente.

Para solicitar un reembolso escribe al email de contacto con el asunto «Reembolso» indicando email de cuenta y motivo. Respondemos en un plazo máximo de 5 días laborables.

5.4. Eliminar la cuenta (derecho de supresión — RGPD art. 17)

Puedes ejercer el derecho de supresión («derecho al olvido») borrando tu cuenta directamente desde «Mi suscripción» → «Zona de peligro» → «Eliminar mi cuenta». La acción es inmediata y permanente.

Qué se borra: tus dominios verificados, escaneos, informes, hallazgos, claves API, webhooks configurados y la propia cuenta de usuario.

Qué se anonimiza: los logs operacionales (consumo de IA, ejecuciones de Nuclei, requests al API público) se mantienen sin tu identificador para auditoría interna, contabilidad fiscal y prevención de abuso. Cumple el principio de minimización del RGPD (art. 5.1.c).

Si tienes una suscripción de pago activa al borrar la cuenta, se cancela inmediatamente en Stripe; no se cobrará el siguiente período. No hay reembolso del período en curso, en línea con el apartado 5.3.

Plazo de respuesta: el borrado es síncrono en BD. Si por algún motivo técnico necesitas confirmación escrita o quieres ejercer el derecho desde el email de contacto, respondemos en un máximo de 30 días naturales según art. 12.3 RGPD.

Excepciones: las cuentas administradoras y las cuentas demo del producto no pueden borrarse desde la interfaz por motivos operativos; si necesitas eliminarlas, escribe al email de contacto.

Qué incluye cada plan

• Todos los dominios deben verificarse antes de escanearse.
• Escaneos automáticos a las 3:00 AM según frecuencia del plan.
• Soporte exclusivamente por email: scannerwebsaas@gmail.com

7. Limitación de Responsabilidad

7.1. Naturaleza orientativa de los resultados

Los resultados de IntGuard son AUTOMÁTICOS y ORIENTATIVOS. No constituyen una auditoría de seguridad profesional (pentest) ni un informe pericial. El motor detecta vulnerabilidades conocidas (CVEs) consultando bases públicas, pero no puede garantizar ausencia de vulnerabilidades cero-day, errores de configuración específicos ni fallos lógicos de aplicación.

7.2. Falsos positivos y negativos

Aunque aplicamos matching estricto de versión contra NVD (campos versionStartIncluding/versionEndExcluding) para minimizar falsos positivos, ningún sistema automatizado es perfecto. Los CVEs marcados como «sin verificar versión» indican que la base de datos no aporta rango estricto; el usuario debe validar manualmente si aplican.

7.3. Impacto del escaneo sobre el dominio

Los escaneos son NO invasivos: consultas HTTP normales, DNS y comprobación de puertos TCP estándar. No explotamos vulnerabilidades, no realizamos fuerza bruta ni generamos tráfico masivo. Aun así, si tu servidor tiene configuraciones inusuales, IntGuard no garantiza ausencia total de impacto operativo.

7.4. Exoneración

En la máxima medida permitida por la legislación aplicable, IntGuard y su titular NO se responsabilizan de: (a) daños indirectos, lucro cesante o pérdida de datos derivados del uso del Servicio; (b) decisiones del usuario basadas exclusivamente en los resultados sin validación profesional; (c) vulnerabilidades no detectadas ni reportadas por las bases NVD/OSV en el momento del escaneo; (d) uso no autorizado del Servicio contra dominios de terceros, que queda bajo responsabilidad exclusiva del usuario (sección 3.3).

Esta limitación NO afecta a los derechos imperativos reconocidos a consumidores por la legislación española y europea.

7.5. Normativa de referencia

Nuestro servicio se alinea con las buenas prácticas del ENS (Esquema Nacional de Seguridad, RD 311/2022) y con las recomendaciones del CCN-CERT e INCIBE. La Directiva (UE) 2022/2555 (NIS2) fue transpuesta al ordenamiento español por el Real Decreto-ley 7/2025, de 25 de marzo, de medidas de ciberseguridad. IntGuard no es entidad esencial ni importante en los términos del Anexo I/II de NIS2 dado su tamaño y sector, pero adopta voluntariamente las medidas técnicas y organizativas equivalentes.

Cyber Resilience Act (Reglamento (UE) 2024/2847 — CRA): seguimos como práctica voluntaria sus principios — security by design, security by default, ciclo de vida de actualizaciones de seguridad, y notificación de vulnerabilidades activamente explotadas. Cuando el CRA aplique de forma plena (finales de 2027 según el reglamento), adaptaremos estos términos a los requisitos formales.

DORA (Reglamento (UE) 2022/2554 — Digital Operational Resilience Act): aplicable a entidades financieras desde enero 2025. IntGuard, como proveedor TIC tercero potencial para clientes B2B financieros, aplica voluntariamente sus principios de resiliencia operativa, monitorización continua de incidentes y reporte estandarizado.

7.6. Contacto legal

Email: scannerwebsaas@gmail.com

8. Medidas técnicas de seguridad

En cumplimiento del art. 32 RGPD («seguridad del tratamiento») y como práctica de transparencia hacia el usuario, listamos las medidas técnicas y organizativas (TOMs) que aplicamos. Esta lista se actualiza cuando incorporamos nuevas medidas.

8.1. Autenticación y gestión de sesiones

• bcrypt 12 rounds — hashing de contraseñas con factor de coste 12 (~250 ms por verificación). Resistente a ataques offline con hardware moderno.
• 2FA TOTP (RFC 6238) — autenticación de doble factor opcional; almacenamos solo el secreto cifrado, nunca códigos en claro.
• JWT + blacklist server-side — tokens con expiración de 8h. El logout añade el JTI a una blacklist en BD para que el token quede revocado de inmediato (no esperamos a la expiración). Limpieza diaria de tokens caducados a las 04:05 UTC.
• Dummy hash anti-enumeración — el endpoint de login ejecuta bcrypt incluso cuando el email no existe, para que un atacante no pueda inferir cuentas válidas por tiempo de respuesta.
• Rate-limiting por IP — endpoints sensibles (login, registro, escaneo) están protegidos contra fuerza bruta y abuso.

8.2. Transporte y datos en reposo

• TLS 1.2+ — todo el tráfico HTTP usa HTTPS con TLS moderno; HTTP plano redirige a HTTPS. Certificado gestionado por Cloudflare con HSTS habilitado.
• Cifrado en reposo — PostgreSQL en Railway con cifrado AES-256 a nivel de disco. Los backups también están cifrados.
• Secretos en variables de entorno — claves API, secretos de Stripe y de la BD nunca están en el código fuente; se inyectan desde el panel de Railway.

8.3. Integridad de pagos y webhooks

• Webhooks Stripe firmados (HMAC-SHA256) — verificamos la firma de cada webhook con stripe-signature y la clave STRIPE_WEBHOOK_SECRET antes de procesar ningún cambio de plan o cobro. Rechazamos eventos no firmados.
• No almacenamos datos de tarjetas — Stripe Checkout maneja la PAN íntegramente en su entorno PCI-DSS. IntGuard solo recibe IDs de Stripe (Customer ID, Subscription ID).

8.4. Defensa de la cadena de suministro (supply-chain)

• SRI (Subresource Integrity) — todos los scripts cargados desde CDN llevan hash sha384 obligatorio. Si el CDN sirve un archivo modificado (ataque tipo polyfill.io / tanstack), el navegador rechaza la ejecución.
• pip-audit — auditoría automática semanal de dependencias contra OSV.dev y GitHub Advisory Database. Si aparece un CVE en una dependencia pineada, el CI lo reporta.
• Bandit — análisis estático de seguridad (SAST) de todo el código Python en cada push a main. Las supresiones #nosec están todas justificadas con comentarios.
• Dependencias pineadas con versión exacta — requirements.txt no usa rangos (>=, ~=); cada dependencia tiene versión exacta para que un release malicioso no entre automáticamente.

8.5. Cabeceras de seguridad y CSP

La aplicación envía las siguientes cabeceras de seguridad HTTP en cada respuesta: Strict-Transport-Security (HSTS), X-Content-Type-Options: nosniff, X-Frame-Options: DENY, Referrer-Policy: strict-origin-when-cross-origin, y Content-Security-Policy restrictiva. Mitigan XSS reflejado, clickjacking y MIME-sniffing.

8.6. Sub-procesadores certificados

Solo trabajamos con sub-procesadores con certificaciones reconocidas: Railway (SOC 2 Type II), Stripe (PCI-DSS Level 1), Sentry (SOC 2 / ISO 27001), Cloudflare (SOC 2 / ISO 27001). Verificamos las certificaciones anualmente.

9. Notificación de brechas de seguridad (RGPD art. 33-34)

En caso de violación de la seguridad de los datos personales que entrañe un riesgo para los derechos y libertades de las personas físicas, IntGuard cumplirá las siguientes obligaciones:

• Notificación a la AEPD en 72 horas — (art. 33 RGPD), salvo que sea improbable que la violación constituya un riesgo. Si no se cumple el plazo, se justificará la dilación.
• Comunicación al usuario afectado sin dilación indebida — (art. 34 RGPD) cuando la violación entrañe un alto riesgo para sus derechos y libertades. La comunicación describirá la naturaleza de la brecha, sus consecuencias probables y las medidas que el usuario puede adoptar para mitigarlas.
• Registro interno de incidentes — documentamos todas las brechas (con riesgo o sin él) para permitir auditorías por parte de la AEPD (art. 33.5 RGPD).

Canal directo: ante sospecha de brecha que afecte a tus datos, escribe al email de contacto con asunto «Brecha de seguridad — RGPD art. 33». Activaremos el protocolo de respuesta en menos de 24h.

10. Política de divulgación responsable de vulnerabilidades

IntGuard sigue el estándar ISO/IEC 29147:2018 («Vulnerability disclosure») y los principios del Cyber Resilience Act (art. 11 CRA — coordinated vulnerability disclosure). Agradecemos el reporte responsable de fallos de seguridad por parte de la comunidad.

10.1. Cómo reportar

• Email: scannerwebsaas@gmail.com con asunto «Security report».
• Información mínima requerida: descripción técnica del fallo, pasos para reproducir, impacto estimado y, si es posible, prueba de concepto (PoC) controlada.
• También aceptamos reportes vía /.well-known/security.txt (RFC 9116).

10.2. Compromisos de IntGuard

• Acuse de recibo en 48h.
• Evaluación inicial y comunicación del plan de respuesta en 7 días naturales.
• Resolución según severidad: crítica/alta ≤ 15 días, media ≤ 30 días, baja ≤ 90 días (alineado con CVSS v3.1).
• No emprendemos acciones legales contra investigadores que actúen de buena fe dentro de esta política (safe harbor).
• Reconocimiento público (opcional) en una hall of fame si el reportante lo desea.

10.3. Conductas prohibidas

La protección de safe harbor NO cubre: extracción o modificación de datos de otros usuarios, ataques de denegación de servicio (DoS) sostenidos, ingeniería social al personal o usuarios, ni divulgación pública del fallo antes de su resolución coordinada.

11. Accesibilidad (WCAG 2.1 AA / EAA)

IntGuard se compromete a hacer su servicio accesible a todas las personas, incluidas aquellas con discapacidades visuales, auditivas, motoras o cognitivas, conforme a los siguientes marcos normativos:

• Directiva (UE) 2019/882 — European Accessibility Act (EAA) — aplicable desde el 28 de junio de 2025 a servicios digitales B2C. Transpuesta en España por el Real Decreto 193/2023, de 21 de marzo, sobre las condiciones básicas de accesibilidad.
• WCAG 2.1 nivel AA (W3C Recommendation) — referencia técnica universal para accesibilidad web. IntGuard aplica los 4 principios POUR (Perceivable, Operable, Understandable, Robust).
• Ley General de Derechos de las Personas con Discapacidad (RDL 1/2013) — principios de diseño universal aplicables a los servicios prestados al público.

11.1. Estado de cumplimiento

La aplicación web (intguard.co) se considera PARCIALMENTE CONFORME con WCAG 2.1 nivel AA en su versión actual. Los criterios cumplidos incluyen, entre otros:

• Contraste mínimo 4.5:1 en texto normal y 3:1 en texto grande, tanto en modo claro como en modo oscuro (criterio 1.4.3 Contrast Minimum).
• Navegación por teclado en todos los elementos interactivos (criterio 2.1.1 Keyboard) con indicadores de foco visibles (2.4.7 Focus Visible).
• Etiquetas accesibles (aria-label / aria-labelledby) en botones, formularios y elementos icónicos (criterio 4.1.2 Name, Role, Value).
• Skip link «Saltar al contenido» en cada página (criterio 2.4.1 Bypass Blocks).
• Soporte de prefers-reduced-motion para usuarios sensibles a animaciones.
• Idiomas declarados con <html lang> y alternancia ES/EN sin recargar la página.

11.2. Limitaciones conocidas

Algunas visualizaciones gráficas (gauge del score, gráficos de evolución histórica) ofrecen una alternativa textual equivalente, pero su lectura con lectores de pantalla puede ser mejorable. Trabajamos en la integración de descripciones alt extendidas para gráficos complejos.

11.3. Reportar un problema de accesibilidad

Si encuentras una barrera de accesibilidad o no puedes acceder a alguna funcionalidad, escríbenos a scannerwebsaas@gmail.com con asunto «Accesibilidad». Responderemos en 5 días laborables como máximo y propondremos una alternativa accesible mientras corregimos el problema.

Última revisión de conformidad: 14 de mayo de 2026