Seguridad y Privacidad

Esta página es el resumen en lenguaje sencillo de cómo Zenovay maneja sus datos. Está pensada para ser honesta antes que tranquilizadora: enumeramos lo que hacemos, lo que no hacemos y lo que aún no tenemos derecho a afirmar.

Si algo en esta página contradice nuestra Política de Privacidad, el DPA o la lista de subprocesadores, prevalece el documento jurídicamente vinculante. Tratamos cualquier divergencia entre esta página y esos documentos como un error - por favor, repórtenoslo.

Dónde residen sus datos

La base de datos principal de Zenovay (Supabase PostgreSQL) está actualmente alojada en la Unión Europea (Fráncfort, región eu-central-1). Cloudflare Workers se ejecuta en la red de borde global; Cloudflare R2 (capturas de mapas de calor) está configurado con preferencia de localización de datos en la UE. La configuración de residencia de datos podrá evolucionar a medida que cambie nuestra infraestructura; actualizaremos esta divulgación cuando se produzcan cambios sustanciales.

Un pequeño número de subprocesadores tiene su sede en Estados Unidos (Stripe, Resend, OpenAI mediante Cloudflare AI Gateway). Las transferencias se basan en el EU-US Data Privacy Framework cuando el destinatario está certificado DPF, además de las Cláusulas Contractuales Estándar de 2021 (Módulo 2) con medidas técnicas complementarias. Ver la lista completa de subprocesadores.

Qué recopilamos (y qué no)

En sitios que utilizan el Modo Sin Cookies opcional de Zenovay, el rastreador no almacena cookies ni localStorage. Los identificadores de visitante y sesión se calculan en memoria a partir de un hash SHA-256 con sal diaria del subred IP, el agente de usuario y una sal rotatoria del lado del servidor - estos identificadores desaparecen al descargar la página.

Cuando el operador del sitio no activa el Modo Sin Cookies, el rastreador puede establecer cookies de origen propio (zenovay_visitor_id durante 30 días, zenovay_session_id durante 30 minutos). Nunca recopilamos nombres, direcciones de correo electrónico, datos de pago o coordenadas GPS precisas de los visitantes. No vendemos información personal ni la compartimos para publicidad conductual entre contextos; respetamos la señal Global Privacy Control (GPC).

Para los detalles jurídicos de cada categoría, finalidad y base legal, consulte la Política de Privacidad.

Cuánto tiempo los conservamos

Los eventos analíticos en bruto se purgan tras el período de conservación definido por el plan del cliente:

• Free: 1 año (365 días)
• Pro: 2 años (730 días)
• Scale: 4 años (1.460 días)
• Enterprise: configurable, 4 años por defecto

Los registros de auditoría administrativa (acciones de usuario, eventos de facturación, cambios de configuración) se conservan durante 24 meses. No contienen IP en texto plano - solo hashes SHA-256 unidireccionales - y se purgan automáticamente cada día a las 03:00 UTC.

Cómo los protegemos

• TLS 1.2+ se aplica en cada endpoint mediante Cloudflare. El tráfico interno Worker-Supabase utiliza TLS 1.3.
• Todos los datos en reposo en Supabase están cifrados (AES-256). Los objetos de Cloudflare R2 están cifrados en reposo. Las copias de seguridad de Supabase están cifradas.
• Las direcciones IP se almacenan únicamente como hashes SHA-256 con sal diaria - nunca en texto plano. Esto incluye la tabla de visitantes, los registros de auditoría y los registros de auditoría de equipos. La columna en texto plano se eliminó completamente del esquema el 26 de abril de 2026.
• Las políticas Row Level Security de Postgres se aplican en cada tabla con datos de clientes. El acceso con rol de servicio está limitado al worker de API; no se expone acceso directo a la base de datos.
• Todas las acciones administrativas se registran de forma inmutable. La tabla de registros de auditoría tiene RLS solo de INSERT - no existen políticas UPDATE ni DELETE, por lo que las entradas históricas no pueden reescribirse en silencio.
• Las sesiones bloqueadas o revocadas se propagan al borde en segundos mediante Cloudflare KV; los tokens de actualización en curso se invalidan en el servidor.

Sus derechos

Puede ejercer en cualquier momento sus derechos de acceso (Art. 15 RGPD), rectificación (Art. 16), supresión (Art. 17), portabilidad (Art. 20) y oposición (Art. 21). La exportación gratuita «Descargar mis datos personales» y el flujo «Eliminar cuenta» están disponibles en su Perfil.

Los residentes de California tienen los derechos CCPA/CPRA de conocer, eliminar, corregir y oponerse a la venta o el intercambio. Respetamos automáticamente la señal Global Privacy Control del navegador - si su navegador envía Sec-GPC: 1, lo tratamos como una opción de exclusión válida sin más trámite.

Para solicitudes escritas o derechos específicos de su jurisdicción, consulte la Política de Privacidad.

Lo que no afirmamos

Zenovay no está actualmente certificada SOC 2. Nuestros proveedores de infraestructura mantienen certificaciones estándar del sector: Cloudflare (SOC 2 Tipo II, ISO 27001, ISO 27018), Supabase (SOC 2 Tipo II). Actualizaremos esta página cuando obtengamos nuestra propia auditoría.

No declaramos certificaciones ISO 27001, HIPAA ni PCI DSS. Los pagos se procesan a través de Stripe (certificado PCI DSS Nivel 1) - Zenovay nunca toca los datos brutos de tarjetas. Cada lunes se ejecutan escaneos de seguridad automatizados semanales (npm audit, Semgrep, gitleaks, OWASP ZAP, Lighthouse, Supabase Advisors) contra cada servicio de producción; los hallazgos se envían a una cola de revisión centralizada.

Notificar un problema de seguridad

Si descubre un problema de seguridad, contáctenos en [email protected].

Nos comprometemos a acusar recibo de los informes en un plazo de 48 horas. Aún no operamos un programa de recompensas por errores remunerado; acreditaremos a los notificantes responsables por su nombre (o pseudónimo) en esta página cuando lo soliciten.