Enterprise
Pensado para superar los requisitos de compras.
Zenovay se diseñó desde el primer día para estar listo para el RGPD. El paquete de confianza siguiente contiene cada documento que tus equipos de seguridad y legal suelen solicitar — sin necesidad de una llamada comercial.
Paquete de confianza
Cada documento que tus equipos de compras, seguridad y legal suelen solicitar — público y descargable.
Acuerdo de Tratamiento de Datos (DPA)
Contrato según el artículo 28 del RGPD que cubre alcance, duración, subtratamiento, transferencias y derechos de auditoría.
Leer el DPALista de subprocesadores
Subprocesadores actuales y opcionales, con ubicación, mecanismo de transferencia (DPF / SCC) y finalidad principal.
Ver subprocesadoresPolítica de privacidad
Cómo se recogen, usan, conservan y eliminan los datos de los visitantes — incluido el modelo del tracker sin cookies.
Leer la política de privacidadResumen de seguridad
Cifrado, control de acceso, registros de auditoría con IPs en hash, notificación de incidentes y certificaciones de nuestros subprocesadores.
Leer el resumen de seguridadPolítica de uso aceptable
Lo que puedes y no puedes ejecutar en Zenovay — útil para tu revisión de seguridad y evaluación de riesgos.
Leer la política de uso aceptablePágina de estado en vivo
Disponibilidad en tiempo real, historial de incidentes y estado de los componentes de cada servicio de Zenovay.
Abrir status.zenovay.comCómo está construido Zenovay
Una visión breve de la arquitectura para tus revisores de seguridad e ingeniería.
Zenovay funciona globalmente sobre Cloudflare Workers, con la base de datos PostgreSQL principal alojada en Supabase en eu-central-1 (Fráncfort). Todos los eventos de analytics pasan por endpoints de borde con latencia inferior a 100 ms.
Stripe gestiona todo el procesamiento de pagos — los datos de PAN nunca tocan la infraestructura de Zenovay. Las obligaciones PCI DSS Nivel 1 corresponden a Stripe.
Los correos transaccionales y operativos se envían a través de Resend. Las funciones con IA (insights, analytics en lenguaje natural) llaman a OpenAI a través de Cloudflare AI Gateway, exclusivamente para funciones opt-in.
El tracker sin cookies utiliza identificadores de visitante en memoria con alcance de ventana, más hashes SHA-256 con sal diaria para la deduplicación. Sin cookies, sin localStorage, sin fingerprinting. Los registros de auditoría almacenan solo hashes de IP con sal — las IPs en texto plano nunca se persisten.
Las transferencias internacionales a subprocesadores con sede en EE. UU. (Stripe, Resend, OpenAI) se rigen por el Marco de Privacidad de Datos UE-EE. UU. cuando el destinatario está certificado en el DPF, además de las Cláusulas Contractuales Tipo de 2021 (Módulo 2) cuando corresponden las CCT. El mecanismo completo está documentado en nuestro DPA.
Retención de datos por plan
La retención depende del plan. Los registros de auditoría (rastro administrativo) se conservan 24 meses en todos los planes y se purgan diariamente.
| Plan | Retención de analytics | Registros de auditoría |
|---|---|---|
| Free | 1 año | 24 meses |
| Pro | 2 años | 24 meses |
| Scale | 4 años | 24 meses |
| Enterprise | Personalizada (4 años por defecto) | 24 meses |
Certificaciones de los subprocesadores
Zenovay está diseñado para el cumplimiento del RGPD y trabaja con proveedores de infraestructura certificados en seguridad. Abajo se listan las certificaciones que poseen los subprocesadores que tratan datos de clientes de Zenovay — no son certificaciones propias de Zenovay.
Cloudflare
Cómputo de borde, KV, R2, CDN, Pages, AI Gateway
SOC 2 Tipo II, ISO 27001, ISO 27018
Supabase
Base de datos PostgreSQL principal (eu-central-1, Fráncfort)
SOC 2 Tipo II
Stripe
Procesamiento de pagos, facturación, suscripciones
PCI DSS Nivel 1 (los datos PAN nunca tocan Zenovay)
Transferencias transfronterizas
Subprocesadores con sede en EE. UU. (Stripe, Resend, OpenAI)
DPF UE-EE. UU. + Cláusulas Contractuales Tipo 2021 (Módulo 2)
Zenovay en sí mismo no está certificado en SOC 2 / ISO 27001 / HIPAA / PCI DSS. Nos apoyamos en la postura auditada de los subprocesadores anteriores y operamos bajo nuestros propios controles internos descritos en el DPA y el resumen de seguridad.
FAQ para compradores
Las preguntas que los compradores enterprise nos hacen con más frecuencia. Si la tuya no aparece, habla con ventas.
La base de datos principal es Supabase PostgreSQL en eu-central-1 (Fráncfort) desde el 24 de abril de 2026. Cloudflare R2 (capturas de heatmap) está configurado con preferencia de localización de datos en la UE. Cloudflare Workers se ejecuta en la red de borde global con latencia inferior a 100 ms.
Los datos de analytics de los clientes residen en la UE. Un pequeño número de subprocesadores tiene sede en EE. UU. (Stripe, Resend, OpenAI a través de Cloudflare AI Gateway); las transferencias hacia esas partes se rigen por el DPF UE-EE. UU. cuando el destinatario está certificado en el DPF, además de las Cláusulas Contractuales Tipo de 2021 (Módulo 2) cuando corresponden las CCT. Detalles completos en el DPA.
Cascada del artículo 17 del RGPD: la eliminación de la cuenta limpia Supabase (tablas de analytics y registros de autenticación), cancela el cliente y la suscripción de Stripe, vacía Cloudflare KV (sesiones, claves de seguridad, contadores de rate limit, cuota de MCP), elimina los objetos de Cloudflare R2 (capturas de heatmap de los sitios propios) y envía un correo de confirmación localizado a través de Resend.
Sí. El endpoint de exportación de datos personales conforme al artículo 20 del RGPD (/api/account/data-export) está disponible en todos los planes, incluido Free. Devuelve perfil, metadatos de sitios, pertenencias a equipos y la propia pista de auditoría en formato legible por máquina.
GPC se respeta de extremo a extremo. El cliente comprueba navigator.globalPrivacyControl al cargar y cambia el banner de consentimiento a solo esenciales. El servidor lee Sec-GPC: 1 en las solicitudes entrantes; cuando está presente, se omite el enriquecimiento conductual (identificación B2B, perfilado) y la fila del visitante se marca con gpc_opted_out.
Cuando data-cookieless está activo, el tracker usa identificadores de visitante en memoria con alcance de ventana, que desaparecen al descargar la página. Para la deduplicación, el servidor calcula un hash SHA-256 con sal diaria a partir de (subred IP + User-Agent). Sin cookies, sin localStorage, sin fingerprinting. Los registros de auditoría almacenan solo el hash de IP con sal — las IPs en texto plano nunca se persisten.
Los registros de auditoría (rastro administrativo en todos los clientes) se conservan 24 meses y se purgan diariamente mediante un trabajo programado. Los eventos de analytics siguen la retención por plan que aparece en la tabla anterior (Free 1 año, Pro 2 años, Scale 4 años, Enterprise personalizada).
En Enterprise, sí. Por defecto son 4 años y podemos configurar ventanas más cortas o más largas a petición, sujeto a obligaciones legales y de cumplimiento. Free, Pro y Scale usan los valores por defecto publicados.
Sí. Single sign-on está disponible en los planes Scale y Enterprise. Las conexiones SAML Enterprise admiten provisioning de usuarios al estilo SCIM y sincronización de pertenencias a equipos.
Los clientes Enterprise reciben un SLA personalizado que cubre disponibilidad, tiempo de respuesta y comunicación de incidentes. La página de estado pública (status.zenovay.com) muestra disponibilidad en tiempo real e historial de incidentes para todos los planes.
¿Listo para informar a tu equipo de seguridad?
Habla con ventas para SSO, retención personalizada, un DPA firmado y un paquete de seguridad listo para compras.