Este documento resume cómo tratamos datos al estilo de un registro de actividades de tratamiento. Es un complemento operativo de la Política de Privacidad (que prevalece en caso de discrepancia) y de la Política de Cookies.
1. Responsable del tratamiento
- Entidad responsable: FANFUSION HUB, LLC (Wyoming, Estados Unidos).
- Marca comercial: Drokio.
- Contacto de privacidad: soporte@drokio.com.
2. Finalidades y bases de licitud
| Finalidad | Datos | Base de licitud |
|---|---|---|
| Prestar el servicio y activar licencias | Email, URL del sitio, license key | Ejecución del contrato |
| Procesar pagos | Datos de pago (los maneja Stripe; no los vemos) | Ejecución del contrato / obligación legal |
| Soporte y comunicaciones transaccionales | Email, contenido de la consulta | Ejecución del contrato / interés legítimo |
| Seguridad de la plataforma y protección colectiva | Telemetría anonimizada (hashes), IOCs anonimizados | Interés legítimo en la seguridad |
| Cookies opcionales (si existieran) | Preferencia de consentimiento | Consentimiento (opt-in explícito) |
3. Categorías de datos y minimización
Aplicamos minimización agresiva. La mayoría de los datos que genera el plugin Drako nunca salen del servidor del cliente. Lo que sí viaja a nuestra infraestructura está diseñado para no contener datos personales:
- Identificadores como hash SHA-256 — la URL del sitio y la API-key viajan hasheadas, nunca en claro.
- IOCs anonimizados (hashes de archivos maliciosos, IPs atacantes, patrones de request) enriquecidos solo con categoría de industria y país, sin identificar al cliente.
- Contenido analizado en memoria y descartado — cuando el motor de IA analiza un archivo sospechoso, el contenido no se persiste ni se usa para entrenar modelos.
4. Privacidad por construcción (invariantes must-be-false)
La telemetría de plataforma impone, a nivel de base de datos y de la capa de persistencia, un modelo de privacidad por construcción. Un registro de telemetría tiene garantizado en false que contenga cualquiera de estos elementos — y la escritura se rechaza si alguno no es false:
- Datos personales (PII).
- Contenido de archivos.
- Secretos o credenciales.
- Direcciones IP en claro.
- Payloads crudos de la request.
Un redactor descarta cualquier campo fuera de la lista permitida antes de escribir. El mismo modelo de consentimiento garantiza que ninguna categoría no-esencial se active sin tu opt-in explícito.
5. Sub-encargados (sub-processors)
Nos apoyamos en los siguientes proveedores, cada uno tratando datos estrictamente para la función indicada:
| Proveedor | Función | Ubicación |
|---|---|---|
| Stripe | Procesamiento de pagos (PCI-DSS) | EE.UU. / UE |
| Vercel | Hosting del sitio público | EE.UU. |
| Cloudflare | CDN, Tunnel, mitigación DDoS | Global (anycast) |
| Resend | Emails transaccionales | EE.UU. |
| Groq | Inferencia del asistente de chat de soporte (opcional), con redacción de PII previa | EE.UU. |
| DeepSeek | Inferencia del asistente de chat de soporte (opcional), con redacción de PII previa | China |
Análisis de seguridad del sitio: el contenido/código que el plugin envía para análisis de malware NO viaja a OpenAI, Anthropic ni Google — corre con scoring heurístico y motor auto-hosteado en infraestructura propia en Soacha, Colombia, y se descarta tras el análisis.
Asistente de chat de soporte: función opcional (desactivable). Cuando está activa, tu mensaje —con PII redactada antes de salir— se envía a los proveedores de inferencia DeepSeek y/o Groq (ver tabla). No usa OpenAI, Anthropic ni Google. Si preferís no usarlo, escribinos directo a soporte@drokio.com.
6. Transferencias internacionales
Algunos datos se procesan en Estados Unidos (donde opera FANFUSION HUB, LLC y proveedores como Stripe, Vercel, Cloudflare, Resend y Groq) y en otras ubicaciones de nuestros proveedores. En particular, si usás el asistente de chat de soporte, tu mensaje (con PII redactada) puede procesarse en infraestructura de DeepSeek en China. Aplicamos medidas equivalentes de protección: cifrado en tránsito y en reposo, redacción de PII antes de la inferencia, y compromisos contractuales con cada proveedor.
7. Retención
- Telemetría de plataforma: 90 días, luego eliminación automática.
- Eventos operativos: 90 días rolling; después se agregan y se eliminan los registros individuales.
- Cuenta y licencia: mientras la suscripción esté activa (+90 días de retención legal por facturación al cancelar).
- Logs de acceso al sitio: máximo 12 meses para auditoría de seguridad.
- Registro de solicitudes DSAR (sección 8): 365 días desde la recepción, para dejar trazabilidad auditable de cada solicitud y su resolución. El registro guarda únicamente metadatos del ciclo de vida y un hash del titular — nunca tu email, nombre ni el cuerpo de la solicitud.
El detalle completo de retención está en la Política de Privacidad, sección 5.
8. Tus derechos y cómo ejercerlos
Como titular tenés derecho a conocer, actualizar, rectificar, suprimir/eliminar, portar tus datos y a revocar el consentimiento u oponerte al tratamiento, conforme a la Ley 1581 de 2012 (Colombia), la LGPD (Brasil), el RGPD y legislación equivalente.
- Canal principal: escribí a soporte@drokio.com. Respondemos en máximo 15 días hábiles.
- Canal estructurado (DSAR):
POST /api/v1/privacy/dsarcon el tipo de pedido (access, rectification, erasure, portability, objection, withdraw_consent) y un email de contacto. Registra la solicitud con un identificador de referencia y un plazo legal de respuesta (15 días hábiles) y la deriva a una persona del equipo. Cada solicitud se sigue por su ciclo de vida — recibida → reconocida → en curso → cumplida/rechazada — avanzado siempre por un humano: nunca ejecuta borrados o exportaciones de forma automática ni devuelve datos de ningún otro titular.
9. Lo que NO afirmamos (honestidad)
Este resumen describe nuestra postura y preparación reales. No declaramos cumplimiento certificado de ninguna norma ni la existencia de auditorías o sellos que no tengamos. Documentos que requieren revisión legal humana —un Acuerdo de Tratamiento de Datos (DPA) firmado, sub-acuerdos con cada proveedor, o un dictamen por jurisdicción específica— se proveen bajo solicitud y están sujetos a esa revisión; no se presumen implícitos por esta página.
Para clientes que necesiten un DPA, escribí a soporte@drokio.com indicando tu jurisdicción y caso de uso.
10. Contacto
- Email: soporte@drokio.com
- Entidad responsable: FANFUSION HUB, LLC.