Drokio is a product of FANFUSION HUB, LLC. FANFUSION HUB, LLC ("nosotros", "Drokio") es el responsable del tratamiento de datos personales recolectados a través de los productos Drokio. Esta política explica qué datos recolectamos, qué hacemos con ellos, y qué derechos tenés como titular. Lenguaje directo, sin trampas.
1. Quiénes somos
Entidad responsable: FANFUSION HUB, LLC
Marca comercial: Drokio
Contacto para privacidad: soporte@drokio.com
2. Qué datos recolectamos de vos como cliente
Al suscribirte:
- Email — para enviarte la licencia y responder consultas de soporte.
- Información de pago — la procesa Stripe directamente. Nosotros no vemos ni almacenamos información de tarjetas de crédito.
- URL del sitio donde instalás Drako — para activar tu licencia a ese sitio específico.
Eso es todo lo que pedimos directamente.
3. Qué datos recolecta el plugin Drako en tu sitio
Drako se instala en tu WordPress. La mayoría de los datos que recolecta nunca salen de tu servidor.
3.1 Datos que Drako guarda localmente en tu WordPress
- Hashes SHA-256 de archivos críticos de tu instalación.
- Intentos de login fallidos (IP, nombre de usuario, timestamp) — se eliminan automáticamente a las 24 horas.
- Eventos de seguridad detectados (descripción, severidad, acción tomada).
- Configuración del plugin (email de alertas, número de WhatsApp, reglas activas).
Estos datos viven en la base de datos de tu sitio (tablas prefijadas con drokio_). No viajan a FANFUSION HUB, LLC.
3.2 Datos que Drako envía a nuestros servidores de licencias
Una vez cada 24 horas, Drako verifica tu licencia contra drokio.com enviando:
- Tu license_key.
- La URL del sitio donde está instalado.
Eso es todo. No enviamos telemetría. No enviamos logs. No enviamos contenido de tus archivos a nuestros servidores de licencias.
3.3 Datos que Drako envía al motor de análisis con IA
Cuando Drako detecta un archivo modificado que considera potencialmente sospechoso, envía el contenido de ese archivo (máximo 50KB) al motor de IA de Drokio. El motor lo analiza en tiempo real y devuelve un veredicto.
El contenido del archivo NO se guarda. Se analiza en memoria y se descarta inmediatamente. No se usa para entrenar modelos ni se comparte con terceros.
Importante: si tenés secretos en archivos monitoreados (por ejemplo, API keys en wp-config.php), esos secretos pueden viajar temporalmente al motor de análisis durante el análisis. Si eso te preocupa, podés desactivar el módulo de IA desde el dashboard del plugin.
3.4 Defensa colectiva (la red Colmena) — incluido el plan GRATIS
Todos los planes que protegen tu sitio — incluido el plan gratis — participan de la red federada de defensa colectiva Colmena. Este es el trato, y te lo decimos de frente: tu sitio aporta señales anónimas de los ataques que detiene, y a cambio toda la red (incluido vos) queda mejor protegida. Cuando se detecta un ataque, se comparten con la red — de forma anónima y corroborada entre varios sitios — hashes irreversibles de archivos maliciosos, patrones de request, firmas de payload, el tipo y la severidad del ataque, y el país de origen.
Nunca se comparten: el nombre del cliente, la URL del sitio afectado, los datos de tus clientes finales, el contenido de tus archivos legítimos, credenciales ni configuraciones. Y un punto clave: la IP del atacante (no la de tus visitantes), cuando se registra para una lista de bloqueo temporal y defensiva, vive en una tabla aislada, nunca se comparte con otros clientes y nunca se une al cerebro colectivo (que es anónimo por construcción).
Es opcional: podés desactivar la participación en la defensa colectiva desde el dashboard del plugin. Al desactivar, seguís protegido pero recibís menos contexto preventivo y dejás de contribuir a la red.
3.5 Telemetría de plataforma (anonimizada, sin PII)
Algunos productos de la plataforma reportan señales técnicas de postura (latido de actividad, conteos de eventos, versiones de software, módulos activos) a nuestros servidores. Estas señales están diseñadas para no contener datos personales: los identificadores se almacenan como hash SHA-256 (por ejemplo, el hash de la URL del sitio y el hash de la API-key), nunca la URL ni la clave en claro.
A nivel de base de datos, las tablas de telemetría imponen un modelo de privacidad por construcción: columnas marcadas obligatoriamente en false garantizan que un registro de telemetría nunca incluye PII, contenido de archivos, secretos, direcciones IP ni payloads crudos. Un redactor en la capa de persistencia descarta cualquier campo fuera de la lista permitida antes de escribir, y la propia base de datos rechaza la escritura si alguno de esos indicadores no es false. La telemetría se retiene 90 días y luego se elimina automáticamente.
3.6 Datos que NO recolectamos
- Datos personales de tus clientes finales.
- Contenido de productos, órdenes o transacciones de WooCommerce.
- Tus contraseñas o credenciales.
- Código ajeno a los archivos monitoreados por Drako.
- URLs, API-keys, IPs o secretos en claro dentro de la telemetría de plataforma — solo viajan como hash, nunca el valor original.
4. Dónde se guardan tus datos
| Tipo de dato | Dónde vive |
|---|---|
| Sitio drokio.com (marketing + docs) | Vercel (EE.UU.) detrás de Cloudflare |
| Licencias, cuentas, dashboard cliente | Servidor Drokio en Soacha, Colombia — detrás de Cloudflare Tunnel |
| Pagos | Stripe (EE.UU., UE — certificado PCI-DSS) |
| Datos del plugin | Tu propia base de datos (no salen de tu servidor) |
| Brain IA auto-hosteado (scoring heurístico + analista propio; cadena multi-motor por tier, roadmap) + memoria vectorial (pgvector) | Servidor Drokio en Soacha, Colombia — contenido analizado y descartado |
| IOCs de Colmena (anonimizados) | Servidor Drokio en Soacha, Colombia — sin nombre de cliente |
5. Retención
- Datos de cuenta y licencia: mientras tu suscripción esté activa. Se eliminan al cancelar la cuenta (+ 90 días de retención legal por facturación).
- Eventos operativos (alertas, logs): 90 días rolling en el dashboard. Después se agregan a métricas y se eliminan los registros individuales.
- Evidencia forense (casos activos): permanente mientras el caso esté abierto, para cadena de custodia y soporte legal. Se archiva cifrado al cierre.
- IOCs anonimizados en Colmena: permanentes mientras sean útiles para protección colectiva. Son indicadores técnicos sin datos personales.
- Logs de acceso a drokio.com: máximo 12 meses para auditoría de seguridad del propio servicio.
- Registro de solicitudes de derechos (DSAR): 365 días desde la recepción, para trazabilidad auditable de cada solicitud y su resolución. Solo guarda metadatos del ciclo de vida y un hash del titular — nunca tu email, nombre ni el cuerpo de la solicitud (ver sección 7).
- Registro del plan gratis (formulario /gratis): al pedir una clave gratuita guardamos tu email, el dominio, un identificador de la instalación del plugin, tu consentimiento (fecha y versión del texto que aceptaste) y un hash SHA-256 del user-agent — nunca tu IP ni el user-agent en claro (la propia base de datos rechaza un registro que los incluyera). Este registro es el libro anti-abuso que sostiene el límite de una clave gratis por dominio: por eso no tiene caducidad automática — la limpieza nocturna de retención no barre esta tabla, por diseño — y se conserva mientras el plan gratis exista. Podés pedir su eliminación en cualquier momento por soporte@drokio.com o por el canal DSAR (sección 7); como este registro es la base anti-abuso del plan gratis, eliminarlo implica dar de baja la clave gratuita asociada.
- Datos del plugin en tu WP: vos los controlás. Al desinstalar Drako, se eliminan de tu base de datos según tu elección (opción al momento del desinstalar).
6. Terceros que usamos
- Stripe — procesamiento de pagos (stripe.com/privacy).
- Vercel — hosting del sitio público drokio.com (vercel.com/legal/privacy-policy).
- Cloudflare — CDN, Cloudflare Tunnel hacia nuestra infra en Soacha y mitigación DDoS (cloudflare.com/privacypolicy).
- Resend — transporte de emails transaccionales (bienvenida, alertas, facturación).
Importante: NO usamos OpenAI, Anthropic ni Google para el análisis de seguridad del contenido del cliente. Ese análisis corre auto-hosteado en servidores propios en Soacha, Colombia (scoring heurístico hoy; la cadena multi-motor Huella/Colmillo/Muralla/Veredicto/Leviatán se habilita por tier — roadmap). El asistente de chat de soporte (opcional) es la excepción: usa los proveedores de inferencia DeepSeek y/o Groq con redacción de PII previa — ver el resumen de tratamiento de datos.
7. Tus derechos
Como titular de datos personales, tenés derecho a los siguientes ejercicios (garantizados por leyes como Ley 1581 de 2012 en Colombia, LFPDPPP en México, Ley 25.326 en Argentina, LGPD en Brasil, y legislación equivalente en otros países):
- Conocer qué datos personales tenemos sobre vos.
- Actualizar o corregir datos inexactos.
- Eliminar tus datos cuando canceles tu suscripción.
- Exportar tus datos en formato estándar.
- Revocar autorización de tratamiento en cualquier momento.
Canal principal: para ejercer cualquier derecho, escribinos a soporte@drokio.com. Respondemos en máximo 15 días hábiles.
Canal alternativo (DSAR): también podés enviar una solicitud estructurada por POST /api/v1/privacy/dsar indicando el tipo de pedido (access, rectification, erasure, portability, objection, withdraw_consent) y un email de contacto. El endpoint registra tu solicitud con un plazo legal de respuesta (15 días hábiles) y la reenvía a una persona del equipo, que la hace avanzar manualmente por su ciclo de vida (recibida → reconocida → en curso → cumplida/rechazada) — nunca ejecuta borrados ni exportaciones de forma automática ni devuelve datos de ningún titular. Recibís un identificador de referencia para hacer seguimiento.
8. Cookies y consentimiento
drokio.com usa únicamente cookies estrictamente necesarias — las que el sitio necesita para funcionar:
- Sesión de usuario (cookie
drokio_auth, solo si te logueás al dashboard). - Preferencia de idioma.
- Tu propia elección de cookies (cookie
drokio_consent_v1), que guarda qué categorías permitiste. No contiene datos personales, solo tus preferencias.
Hoy NO cargamos cookies de analítica ni de marketing/publicidad, ni rastreadores de terceros. Tampoco vendemos datos a terceros. Mostramos un aviso de cookies en tu primera visita: las categorías opcionales (analítica, marketing) vienen desactivadas por defecto y solo se activarían si vos las habilitás explícitamente. Podés cambiar tu elección en cualquier momento desde el control "Cookies" abajo a la izquierda. Si en el futuro incorporamos alguna herramienta opcional, no se cargará hasta que des tu consentimiento para esa categoría.
Para el detalle cookie-por-cookie, consultá la Política de Cookies. Para el resumen de finalidades, sub-encargados y bases de licitud, el Resumen de Tratamiento de Datos.
9. Menores de edad
No ofrecemos servicios a menores de 18 años. Si sos menor, necesitás consentimiento de tus padres o tutores legales para usar cualquier producto Drokio.
10. Seguridad
Aplicamos nuestras propias prácticas de seguridad en drokio.com (dogfooding: Drokio está instalado protegiendo nuestro propio sitio). Sin embargo, ningún sistema es 100% seguro. En caso de brecha de datos que te afecte, notificaremos por email dentro de las 72 horas, conforme a mejores prácticas internacionales.
11. Transferencias internacionales
Tus datos pueden ser procesados en Estados Unidos (donde opera FANFUSION HUB, LLC, entidad responsable de Drokio, y servicios como Stripe y Cloudflare) y en otros países donde nuestros proveedores tengan infraestructura. Aplicamos medidas equivalentes de protección (cifrado en tránsito y reposo, acuerdos contractuales con proveedores).
12. Cambios a esta política
Si modificamos esta política de forma que afecte tus derechos, te notificaremos por email con al menos 30 días de anticipación. Si no aceptás los cambios, podés cancelar tu suscripción.
13. Contacto
- Email: soporte@drokio.com
- Entidad responsable: FANFUSION HUB, LLC.
- Horario de atención: lunes a viernes, 9:00 a 18:00 (Colombia, GMT-5).