Subprocesadores
Versión 2.0Última actualización:
Esta página lista los subprocesadores de terceros (proveedores y prestadores de servicios) que Zenovay («Zenovay», «nosotros», «nos» o «nuestro») usa para ayudar a proporcionar, mantener y mejorar nuestra plataforma de análisis y los servicios relacionados.
Seleccionamos cuidadosamente subprocesadores que mantienen altos estándares de seguridad, privacidad y protección de datos. Todos los subprocesadores están obligados a cumplir con las leyes de protección de datos aplicables y nuestros requisitos de procesamiento de datos.
Qué es un subprocesador
Un subprocesador es un procesador de datos de terceros contratado por Zenovay para ayudar a proporcionar nuestros Servicios. Estos subprocesadores pueden procesar datos de los clientes en nuestro nombre con fines como:
- Infraestructura de alojamiento y entrega de contenido
- Gestión de bases de datos y almacenamiento de datos
- Procesamiento de pagos y gestión de suscripciones
- Entrega de correo electrónico y servicios de comunicación
- Autenticación y gestión de identidades
- Servicios de análisis y monitoreo
Subprocesadores actuales
La siguiente tabla lista todos los subprocesadores activos utilizados por Zenovay a la fecha indicada anteriormente:
| Subprocesador | Propósito | Ubicación | Mecanismo de transferencia | Sitio web |
|---|---|---|---|---|
| Cloudflare, Inc. | Computación en el borde (Workers), almacenamiento clave-valor (KV), alojamiento estático (Pages), almacenamiento de objetos (R2), CDN, protección DDoS, protección contra bots (Turnstile) y AI Gateway | Estados Unidos (Red de borde global) | DPF UE-EE.UU. / DPF Suiza-EE.UU. | cloudflare.com/privacypolicy/ |
| Supabase, Inc. | Base de datos PostgreSQL, sincronización de datos en tiempo real, autenticación y almacenamiento | Unión Europea (eu-central-1, Fráncfort) - región principal de la base de datos desde el 24 de abril de 2026 | Adecuación (datos residentes en la UE); las CCE se aplican a posibles flujos de datos de soporte operativo | supabase.com/privacy |
| Stripe, Inc. | Procesamiento de pagos, facturación y gestión de suscripciones | Estados Unidos | DPF UE-EE.UU. / DPF Suiza-EE.UU. | stripe.com/privacy |
| Resend, Inc. | Entrega de correo electrónico transaccional y servicios de notificación | Estados Unidos | CCE | resend.com/legal/privacy-policy |
| Mapbox, Inc. | Servicios de geolocalización y visualización de globo 3D | Estados Unidos | CCE | mapbox.com/legal/privacy |
| Google LLC | Autenticación social OAuth (método de inicio de sesión opcional) | Estados Unidos | DPF UE-EE.UU. / DPF Suiza-EE.UU. | policies.google.com/privacy |
| GitHub (Microsoft Corp.) | Autenticación social OAuth (método de inicio de sesión opcional) | Estados Unidos | DPF UE-EE.UU. / DPF Suiza-EE.UU. | docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement |
| OpenAI, LLC | Insights de análisis impulsados por IA y procesamiento de lenguaje natural (función opcional) | Estados Unidos | CCE | openai.com/policies/privacy-policy |
| IPwho.is | Servicio de geolocalización IP alternativo | UE / Global | Adecuación / CCE | ipwho.is |
| Meta Platforms, Inc. | Seguimiento de conversiones publicitarias y remarketing a través de Meta Pixel (requiere consentimiento del usuario) | Estados Unidos | DPF UE-EE.UU. / DPF Suiza-EE.UU. | facebook.com/privacy/policy/ |
| Reddit, Inc. | Seguimiento de conversiones publicitarias y remarketing a través de Reddit Pixel (requiere consentimiento del usuario) | Estados Unidos | CCE | reddit.com/policies/privacy-policy |
| Google LLC (Analytics) | Análisis del sitio web, medición de tráfico y seguimiento de conversiones a través de Google Analytics 4 (requiere consentimiento del usuario) | Estados Unidos | DPF UE-EE.UU. / DPF Suiza-EE.UU. | policies.google.com/privacy |
| Sentry, Inc. | Monitoreo de errores, seguimiento del rendimiento de la aplicación e informes de fallos | Estados Unidos | CCE | sentry.io/privacy/ |
| LemonSqueezy (Lemon Squeezy, LLC) | Procesamiento de pagos alternativo, facturación como comerciante registrado y gestión de facturas para clientes que seleccionan LemonSqueezy en el checkout | Estados Unidos | CCE | lemonsqueezy.com/privacy |
| Polar Software, Inc. | Procesamiento de pagos alternativo, facturación de suscripciones y entrega de webhooks para clientes que seleccionan Polar en el checkout | Estados Unidos | CCE | polar.sh/legal/privacy |
| Anthropic, PBC | Clasificación y redacción de correos electrónicos asistidas por IA, enrutadas a través de Cloudflare AI Gateway. Procesa únicamente contenido de correo electrónico propiedad del cliente y análisis agregados; no se envían datos brutos de sesiones de visitantes. | Estados Unidos | DPF UE-EE.UU. / CCE | anthropic.com/privacy |
Subprocesadores opcionales
Los siguientes subprocesadores solo se contratan cuando los clientes habilitan funciones opcionales específicas:
| Subprocesador | Propósito | Función | Mecanismo de transferencia | Sitio web |
|---|---|---|---|---|
| IPinfo | Enriquecimiento de datos de terceros para inteligencia empresarial | Identificación de empresas B2B | CCE | ipinfo.io/privacy |
| Clearbit (HubSpot) | Enriquecimiento de datos de terceros para inteligencia empresarial | Identificación de empresas B2B | DPF UE-EE.UU. / CCE | hubspot.com/data-privacy/privacy |
| Amazon Web Services (AWS S3) | Almacenamiento de objetos gestionado por el cliente. Las métricas agregadas de analytics_daily se envían (PUT) a un bucket que el cliente posee y configura. Zenovay actúa únicamente como agente - credenciales, bucket, región y política de ciclo de vida están totalmente bajo control del cliente. | Exportación a Almacén (S3) - Plan Scale | Controlado por el cliente (la transferencia se realiza bajo el DPA de AWS del cliente, no el de Zenovay) | aws.amazon.com/privacy/ |
Estándares de procesamiento de datos
Todos los subprocesadores listados anteriormente están obligados a:
- Mantener medidas de seguridad técnicas y organizativas apropiadas para proteger los datos de los clientes
- Procesar datos solo de acuerdo con las instrucciones documentadas de Zenovay
- Cumplir con las leyes de protección de datos aplicables, incluidos las regulaciones de protección de datos, el CCPA y otras regulaciones relevantes
- Implementar evaluaciones de impacto sobre la protección de datos cuando la ley lo requiera
- Notificar a Zenovay con prontitud de cualquier brecha de datos, incidente de seguridad o acceso no autorizado
- Asistir con las solicitudes de los interesados, incluidas las solicitudes de acceso, eliminación y portabilidad
- Mantener las certificaciones y normas de seguridad apropiadas según corresponda a su categoría de servicio y tamaño
- Devolver o eliminar los datos de los clientes al finalizar los servicios, según las instrucciones
Transferencias internacionales de datos
La base de datos principal de Zenovay (Supabase) está alojada en la Unión Europea (eu-central-1, Fráncfort) desde el 24 de abril de 2026, y Cloudflare R2 (capturas de mapas de calor) está configurado con preferencia de localización de datos en la UE. Algunos de nuestros otros subprocesadores (p. ej. Stripe, Resend, OpenAI mediante Cloudflare AI Gateway) tienen su sede en Estados Unidos, lo que puede implicar transferencias de datos personales fuera del Espacio Económico Europeo (EEE) a países que no ofrecen el mismo nivel de protección de datos que los países del EEE.
Para las transferencias de datos personales del EEE a países sin una decisión de adecuación, garantizamos el cumplimiento a través de:
- Marco de Privacidad de Datos UE-EE.UU. (DPF) / DPF Suiza-EE.UU.: Para los subprocesadores con sede en EE.UU. que están certificados bajo el DPF UE-EE.UU. y Suiza-EE.UU., confiamos en el DPF como mecanismo de transferencia válido (Decisión de adecuación de la Comisión Europea del 10 de julio de 2023).
- Cláusulas contractuales estándar (CCE): Usamos Cláusulas contractuales estándar aprobadas por la Comisión Europea (Decisión 2021/914) con subprocesadores que no están certificados bajo el DPF o como salvaguarda adicional.
- Acuerdos de procesamiento de datos (DPA): Todos los subprocesadores están vinculados por Acuerdos de procesamiento de datos completos que incluyen salvaguardas de protección de datos apropiadas.
- Decisiones de adecuación: Cuando sea aplicable, confiamos en las decisiones de adecuación emitidas por la Comisión Europea para ciertos países.
- Medidas complementarias (Schrems II): Implementamos medidas complementarias recomendadas por el EDPB, incluido el cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), controles de acceso, Evaluaciones de impacto de transferencia y auditorías de seguridad regulares.
Actualizaciones a esta lista
Zenovay puede agregar, eliminar o reemplazar subprocesadores de vez en cuando a medida que evolucionan nuestras necesidades comerciales, cambia la tecnología o para mejorar nuestros Servicios.
Cuando realicemos cambios a nuestros subprocesadores:
- Actualizaremos esta página con la lista actual de subprocesadores
- Actualizaremos la fecha de «Última actualización» en la parte superior de esta página
- Proporcionaremos al menos 30 días de aviso anticipado a los clientes de pago antes de agregar nuevos subprocesadores
- Notificaremos a los clientes de pago por correo electrónico sobre cambios materiales en los subprocesadores
- Proporcionaremos a los clientes de pago el derecho a objetar a nuevos subprocesadores en motivos razonables de protección de datos
Recomendamos revisar esta página periódicamente para mantenerse informado sobre nuestros subprocesadores actuales. Usted también puede suscribirse a notificaciones por correo electrónico sobre actualizaciones de subprocesadores.
Sus derechos
Como cliente de Zenovay, usted tiene el derecho de:
- Solicitar información sobre nuestros subprocesadores y sus actividades de procesamiento de datos
- Objetar el uso de nuevos subprocesadores en motivos razonables de protección de datos (disponible para todos los clientes de pago)
- Recibir copias de nuestros Acuerdos de procesamiento de datos previa solicitud (sujeto a obligaciones de confidencialidad)
- Auditar nuestro cumplimiento con las obligaciones de protección de datos o designar a un auditor de terceros (sujeto a confidencialidad y aviso razonable)
- Rescindir su acuerdo si no podemos abordar sus objeciones razonables a un nuevo subprocesador
Los clientes Enterprise con requisitos específicos de procesamiento de datos pueden contactarnos para discutir acuerdos personalizados de procesamiento de datos.
Información de contacto
Si tiene preguntas sobre nuestros subprocesadores, prácticas de procesamiento de datos o desea suscribirse a notificaciones de actualización de subprocesadores, contáctenos: