Acuerdo de Procesamiento de Datos

Fecha de Vigencia: 13 de febrero de 2026
Última Actualización: 13 de febrero de 2026
Versión: 1.0

Este Acuerdo de Procesamiento de Datos (“APD”) forma parte del acuerdo entre el cliente (“Responsable del Tratamiento”) e ISO Mate (“Encargado del Tratamiento”) para la prestación de la plataforma ISO Mate. Este APD establece los términos bajo los cuales el Encargado del Tratamiento procesa datos personales en nombre del Responsable del Tratamiento en relación con los servicios.

1. Definiciones

  • Responsable del Tratamiento: El cliente que determina los fines y medios del procesamiento de datos personales mediante el uso de la plataforma ISO Mate.
  • Encargado del Tratamiento: ISO Mate, que procesa datos personales en nombre del Responsable del Tratamiento para proporcionar los servicios de la plataforma.
  • Interesado: Una persona física identificada o identificable cuyos datos personales se procesan a través de la plataforma.
  • Datos Personales: Cualquier información relativa a un Interesado que se procesa a través de la plataforma en nombre del Responsable del Tratamiento.
  • Subencargado: Un tercero contratado por el Encargado del Tratamiento para asistir en el procesamiento de datos personales en nombre del Responsable del Tratamiento.

2. Alcance y Propósito

El Encargado del Tratamiento procesa datos personales únicamente con el fin de proporcionar los servicios de la plataforma ISO Mate al Responsable del Tratamiento. Esto incluye alojar, almacenar y gestionar los datos que el Responsable del Tratamiento y sus usuarios autorizados crean, cargan o envían a la plataforma. El Encargado del Tratamiento no procesa datos personales para ningún otro fin que no sea la prestación de los servicios acordados, salvo que lo exija la legislación aplicable.

3. Categorías de Datos Personales

Las siguientes categorías de datos personales pueden procesarse a través de la plataforma, dependiendo de cómo el Responsable del Tratamiento y sus usuarios utilicen los servicios:

  • Datos de perfil de usuario: Nombre, dirección de correo electrónico, número de teléfono, zona horaria y preferencias de idioma.
  • Datos de cuenta y organización: Nombre de la organización, configuración de la cuenta, asignaciones de roles y membresías de grupos de usuarios.
  • Contenido creado dentro de la plataforma: Incidencias, tareas, casos de prueba, notas, diagramas, mensajes de chat, correos electrónicos, eventos de calendario, entradas de objetos personalizados, historias de usuario, sprints, versiones, registros de cumplimiento y cualquier otro dato ingresado por los usuarios.
  • Cargas de archivos: Documentos, imágenes y otros archivos cargados en la plataforma por los usuarios.
  • Registros de actividad: Intentos de inicio de sesión, registros de auditoría, registros de consentimiento y otros datos de actividad generados por el sistema.
  • Datos de facturación: Identificadores de clientes de Stripe, estado de suscripción y metadatos relacionados con pagos. Los datos completos de tarjetas de pago son procesados y almacenados exclusivamente por Stripe y nunca se almacenan en la infraestructura de ISO Mate.
  • Tokens OAuth: Tokens de autenticación y actualización para integraciones de terceros, incluyendo Google (Gmail, Google Calendar, Google Meet) y Xero.

4. Obligaciones del Encargado del Tratamiento

El Encargado del Tratamiento deberá:

  • Procesar datos personales solo según las instrucciones documentadas del Responsable del Tratamiento, salvo que la legislación aplicable lo requiera.
  • Garantizar que las personas autorizadas para procesar datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada.
  • Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del procesamiento.
  • Asistir al Responsable del Tratamiento en la respuesta a solicitudes de los Interesados que ejerzan sus derechos según la legislación de protección de datos aplicable.
  • Asistir al Responsable del Tratamiento en el cumplimiento de las obligaciones relativas a la seguridad del procesamiento, notificación de violaciones de datos, evaluaciones de impacto de protección de datos y consultas previas con las autoridades de supervisión, cuando corresponda.
  • A elección del Responsable del Tratamiento, eliminar o devolver todos los datos personales al Responsable del Tratamiento tras la finalización de la prestación de servicios, y eliminar las copias existentes salvo que la legislación aplicable requiera su almacenamiento.
  • Poner a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este APD.

5. Subencargados

El Encargado del Tratamiento utiliza los siguientes subencargados para prestar los servicios de la plataforma. El Responsable del Tratamiento autoriza el uso de estos subencargados:

  • Amazon Web Services (AWS): Servicios de alojamiento de infraestructura, computación, base de datos, almacenamiento y distribución de contenido. Región principal: ap-southeast-2 (Sídney, Australia).
  • Stripe: Procesamiento de pagos y gestión de suscripciones. Stripe procesa datos de facturación, incluidos los datos de tarjetas de pago, en su propia infraestructura.
  • Google: Autenticación OAuth (Iniciar sesión con Google), integración con Gmail, sincronización con Google Calendar e integración con Google Meet.
  • Xero: Integración contable para registrar suscripciones de Stripe.
  • Mailgun: Entrega de correo electrónico transaccional para notificaciones del sistema, restablecimiento de contraseñas y otros correos generados por la plataforma.

El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto en los subencargados, dando al Responsable del Tratamiento la oportunidad de oponerse a dichos cambios.

6. Medidas Técnicas y Organizativas

El Encargado del Tratamiento implementa las siguientes medidas para proteger los datos personales:

Cifrado en Reposo

Todas las bases de datos (Aurora Serverless v2, DocumentDB) y todos los servicios de almacenamiento (Amazon S3, Amazon EFS) están cifrados en reposo usando claves de cifrado gestionadas por AWS.

Cifrado en Tránsito

Todos los datos transmitidos entre los usuarios y la plataforma, y entre los servicios internos, están cifrados usando SSL/TLS. SSL/TLS se aplica en todos los buckets de S3 y endpoints de servicios.

Controles de Acceso

La plataforma aplica control de acceso basado en roles (RBAC) con permisos granulares. La autenticación se gestiona a través de la autenticación basada en tokens de Laravel Sanctum. La autenticación de dos factores (TOTP con códigos de recuperación) está disponible para todas las cuentas de usuario.

Registro de Auditoría

Las acciones de los usuarios, los intentos de inicio de sesión y los cambios de consentimiento se registran en logs de auditoría. Estos registros apoyan la responsabilidad y permiten al Responsable del Tratamiento monitorear el acceso a sus datos.

Gestión de Secretos

Todas las credenciales, claves de API y valores de configuración sensibles se almacenan en AWS Secrets Manager. No se almacenan secretos en el código de la aplicación ni en archivos de configuración.

7. Transferencias de Datos

La infraestructura principal de la plataforma está alojada en la región AWS ap-southeast-2 (Sídney, Australia). Los datos personales se almacenan y procesan en esta región a menos que un subencargado opere en una jurisdicción diferente. Los siguientes subencargados pueden procesar datos fuera de la región principal:

  • Stripe: Procesa datos de pago de acuerdo con los términos de procesamiento de datos de Stripe y puede transferir datos internacionalmente.
  • Google: Procesa datos de autenticación e integración de acuerdo con los términos de procesamiento de datos de Google.
  • Xero: Procesa datos de integración contable de acuerdo con los términos de procesamiento de datos de Xero.
  • Mailgun: Procesa datos de correo electrónico transaccional de acuerdo con los términos de procesamiento de datos de Mailgun.

Cuando los datos personales se transfieren fuera de la región de alojamiento principal, el Encargado del Tratamiento garantiza que se implementen las salvaguardas apropiadas de acuerdo con la legislación de protección de datos aplicable.

8. Retención de Datos

El Encargado del Tratamiento retiene los datos personales de acuerdo con las siguientes prácticas de retención:

  • Logs de acceso del Application Load Balancer (ALB): Se retienen durante 30 días y luego se eliminan automáticamente.
  • Artefactos de pipeline CI/CD: Se retienen durante 30 días y luego se eliminan automáticamente.
  • Almacenamiento de archivos EFS: Los archivos no accedidos durante 30 días se transfieren al almacenamiento de acceso infrecuente mediante política de ciclo de vida.
  • Cargas de archivos S3: El versionado está habilitado para proteger contra la eliminación o sobrescritura accidental. Las versiones anteriores se retienen de acuerdo con la configuración de versionado de la plataforma.
  • Logs de auditoría: Se retienen indefinidamente con fines de cumplimiento y responsabilidad.
  • Registros de consentimiento: Se retienen indefinidamente para demostrar el cumplimiento de las obligaciones de protección de datos.
  • Contenido creado por usuarios: Se retiene durante la duración de la suscripción del Responsable del Tratamiento y se elimina a solicitud o al finalizar la cuenta, sujeto a cualquier requisito legal de retención aplicable.

9. Derechos de los Interesados

El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los Interesados, incluyendo:

  • Derecho de acceso: Los Interesados pueden solicitar una copia de sus datos personales almacenados en la plataforma.
  • Derecho de rectificación: Los Interesados pueden solicitar la corrección de datos personales inexactos o incompletos.
  • Derecho de supresión: Los Interesados pueden solicitar la eliminación de sus datos personales, sujeto a cualquier obligación legal que requiera su retención.
  • Derecho a la portabilidad de datos: Los Interesados pueden solicitar sus datos personales en un formato estructurado, de uso común y legible por máquina.
  • Derecho a la limitación del tratamiento: Los Interesados pueden solicitar que se restrinja el procesamiento de sus datos personales en determinadas circunstancias.

El Responsable del Tratamiento es responsable de verificar la identidad de los Interesados y determinar la validez de las solicitudes. El Encargado del Tratamiento proporcionará asistencia razonable al Responsable del Tratamiento para responder a dichas solicitudes.

10. Notificación de Violación de Datos

En caso de una violación de datos personales, el Encargado del Tratamiento notificará al Responsable del Tratamiento sin demora indebida tras tener conocimiento de la violación. La notificación incluirá:

  • Una descripción de la naturaleza de la violación, incluyendo las categorías y el número aproximado de Interesados y registros de datos personales afectados.
  • El nombre y los datos de contacto del punto de contacto del Encargado del Tratamiento para obtener más información.
  • Una descripción de las consecuencias probables de la violación.
  • Una descripción de las medidas tomadas o propuestas para abordar la violación, incluyendo medidas para mitigar sus posibles efectos adversos.

El Encargado del Tratamiento cooperará con el Responsable del Tratamiento y tomará medidas razonables para asistir en la investigación, mitigación y remediación de la violación.

11. Derechos de Auditoría

El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este APD. El Encargado del Tratamiento permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Responsable del Tratamiento o un auditor designado por el Responsable del Tratamiento, sujeto a un aviso razonable y obligaciones de confidencialidad.

12. Vigencia y Terminación

Este APD permanecerá vigente durante la duración del uso de la plataforma ISO Mate por parte del Responsable del Tratamiento. Tras la terminación de los servicios, el Encargado del Tratamiento, a elección del Responsable del Tratamiento, eliminará o devolverá todos los datos personales procesados en nombre del Responsable del Tratamiento, salvo que la legislación aplicable requiera su almacenamiento continuado. El Encargado del Tratamiento confirmará la eliminación por escrito a solicitud.

13. Contacto

Para preguntas o solicitudes relacionadas con este Acuerdo de Procesamiento de Datos, contáctenos en: privacy@isomate.io