Data Processing Agreement (DPA)

Este Acuerdo de Procesamiento de Datos (en adelante, "DPA") forma parte integral del contrato de suscripción de Furx (Team / Enterprise / Compliance Pack) celebrado entre el Cliente (en calidad de Controller) y Inverso HUB S.R.L. (en calidad de Processor), conforme al Art. 28 del Reglamento (UE) 2016/679 (GDPR).

Para Free y Pro individual no aplica DPA — Furx no procesa datos personales del Usuario en nombre del Cliente (el Usuario es el propio sujeto de los datos de cuenta). El DPA aplica cuando el Cliente (organización) suscribe planes Team o superiores.

1. Definiciones

• Datos personales: tal como se define en el GDPR Art. 4(1).
• Tratamiento: tal como se define en GDPR Art. 4(2).
• Sub-procesador: tercero contratado por el Processor para procesar Datos personales del Cliente.
• Brecha: incidente de seguridad que afecte la confidencialidad, integridad o disponibilidad de Datos personales.

2. Naturaleza, finalidad y duración del tratamiento

• Finalidad: prestar el servicio Furx (orquestación local, audit log sync opt-in, gestión de seats Team, dashboard de cliente).
• Naturaleza: almacenamiento, transmisión, acceso lógico.
• Categorías de sujetos: empleados / contratistas del Cliente que utilizan Furx.
• Categorías de datos: email, nombre, IP de acceso, metadata de audit log (timestamps, tipos de evento, nombres de modelo LLM — nunca prompt/response body), datos de uso (logins, dispositivos enlazados).
• Duración: vigencia del contrato + 30 días de gracia + retención legal según política.

3. Obligaciones del Processor

Inverso HUB se obliga a:

• Procesar Datos personales únicamente conforme a instrucciones documentadas del Controller (Art. 28(3)(a)).
• Garantizar la confidencialidad del personal autorizado (Art. 28(3)(b)).
• Implementar medidas técnicas y organizativas apropiadas (Art. 32) — detalle en sección 6.
• Asistir al Controller en el cumplimiento de los derechos de los titulares (Art. 28(3)(e)).
• Asistir al Controller en notificación de brechas y DPIA cuando aplique (Art. 28(3)(f), Art. 33/34/35).
• Devolver o eliminar todos los Datos personales al término del contrato (Art. 28(3)(g)), salvo retención legal.
• Poner a disposición la información necesaria para demostrar cumplimiento y permitir auditorías (Art. 28(3)(h)).

4. Sub-procesadores

El Cliente autoriza el uso de sub-procesadores conforme a la lista publicada en /subprocessors. Inverso HUB notificará por email + RSS al Cliente con al menos 30 días de anticipación antes de añadir o reemplazar un sub-procesador, permitiendo objetar fundadamente.

5. Transferencias internacionales

Inverso HUB aplica las Cláusulas Contractuales Tipo (SCC) 2021/914 Módulo 2 para transferencias desde el EEE a sus sub-procesadores. El Cliente se adhiere a dichas cláusulas como exportador, e Inverso HUB las firma con cada sub-procesador como importador.

6. Medidas técnicas y organizativas (Anexo II SCC)

Pseudonimización / cifrado

• TLS 1.3 en todas las comunicaciones en tránsito.
• AES-256 en cifrado en reposo (PostgreSQL, backups).
• HMAC-SHA256 en webhooks Paddle.
• Tokens de licencia y magic-links: JWT firmados con Ed25519, expiración corta.

Confidencialidad, integridad, disponibilidad, resiliencia

• Append-only audit log con triggers DDL que bloquean UPDATE/DELETE.
• Backups encrypted diarios a Cloudflare R2 (Frankfurt), retenidos 30 días.
• Replicación PostgreSQL streaming a standby Hetzner EU.
• Monitoring 24/7 (Better Stack), alertas a oncall.

Restauración tras incidente

• RPO: 1 hora (backups + WAL streaming).
• RTO: 4 horas (failover manual a standby).
• Test de restore mensual.

Pruebas y evaluación regulares

• SAST con Bandit + Ruff + Semgrep + Gitleaks en cada commit.
• DAST con OWASP ZAP semanal.
• Pen-test externo anual.
• Renovate weekly + osv-scanner CI.

Identificación y autenticación

• Magic-link passwordless (default).
• TOTP 2FA opt-in (Pro+), mandatorio para admins Team+.
• Single-use tokens, 10 min expiry.
• Rate-limit 3/min/IP.

Control de acceso

• Principio de menor privilegio en infra Inverso (admin operativo ≤ 2 personas).
• Audit log inmutable de todas las acciones admin.

Gestión de proveedores

• Due diligence GDPR antes de onboarding (CF, Paddle, GitHub, Sentry).
• DPA / SCC firmadas con cada uno.
• Review anual.

7. Notificación de brechas

Inverso HUB notificará al Cliente de cualquier brecha de seguridad que afecte sus Datos personales dentro de las 72 horas desde la detección, incluyendo:

• Naturaleza de la brecha + categorías y volumen aproximado de sujetos / datos afectados.
• Consecuencias probables.
• Medidas adoptadas y propuestas.
• Contacto del DPO.

8. Auditoría

El Cliente podrá solicitar auditoría documental (revisión de SOC2 evidence pack, pen-test report más reciente, lista de subprocesadores). Auditorías in situ están sujetas a 60 días de notificación, costos a cargo del Cliente, y NDA mutuo.

9. Terminación y devolución

Tras la terminación del contrato, Inverso HUB:

• Exporta los Datos personales del Cliente en formato JSON estructurado.
• Elimina copias activas dentro de 30 días, salvo retención legal.
• Backups encrypted se purgan automáticamente a los 30 días desde la generación.

10. Responsabilidad

Las limitaciones de responsabilidad del contrato principal aplican a este DPA, sin perjuicio de obligaciones inderogables bajo GDPR.

11. Descarga PDF firmado

Para Team/Enterprise: PDF firmado disponible bajo solicitud a legal@furx.cloud (entrega dentro de 48h business).

12. Contacto DPO

dpo@furx.cloud