Política de Privacidad

Última actualización: 27 de abril de 2026

Vertix opera bajo la Ley 172-13 de la República Dominicana sobre Protección de Datos Personales. Esta política describe qué datos recolectamos, cómo los procesamos y los derechos del titular.

1. Datos que recolectamos

1.1 Datos de cuenta (Owner/Admin/User)

  • Nombre, email, teléfono, RNC del negocio.
  • Credenciales de acceso (password almacenado como scrypt hash, nunca en texto claro).
  • Configuración de 2FA TOTP cuando habilitada.
  • Datos de Google OAuth si Cliente autentica vía Google (nombre + email + avatar URL).

1.2 Datos de operación del Cliente

  • Contactos, citas, productos, formularios, archivos almacenados por el Cliente bajo su schema aislado.
  • Vertix actúa como encargado del tratamiento respecto de estos datos. El Cliente es el responsable del tratamiento ante sus propios usuarios finales.

1.3 Datos técnicos automatizados

  • IP, user agent, timestamps en audit log.
  • Cookies de sesión (httpOnly, secure, SameSite=Lax). No usamos cookies de tracking.
  • Logs operacionales (Loki) con retención 30 días.
  • Backups encriptados (AES-256-CBC) con retención 30 días.

2. Finalidad del tratamiento

  • Proveer el Servicio (autenticación, persistencia, comunicaciones).
  • Facturación y cobranza (NCF emitidos según RNC del Cliente).
  • Soporte técnico solicitado por el Cliente.
  • Cumplimiento legal (DGII, autoridades competentes).
  • Mejora del Servicio (analytics agregados sin identificación personal).

3. Base legal (Ley 172-13)

  • Consentimiento: registro de cuenta + aceptación de Términos.
  • Ejecución contractual: provisión del Servicio acordado.
  • Obligación legal: facturación + retención fiscal DGII.
  • Interés legítimo: seguridad del Servicio (audit log, anti-fraude).

4. Comunicación a terceros

Solo compartimos datos con los siguientes subprocessors (lista actualizada):

  • Anthropic (USA) — para features IA tenant cuando el Cliente las usa. Texto enviado a Claude se procesa pero NO se usa para entrenar modelos.
  • Google Cloud / Google OAuth — solo si el Cliente autentica vía Google.
  • Resend (USA) — envío de emails transaccionales (facturas, recordatorios).
  • Cloudflare — DNS y CDN (no procesa datos personales del Cliente).
  • Hetzner (Alemania, primario) y OVH (Francia, DR) — hosting físico (data residency UE).

No vendemos, alquilamos ni cedemos datos personales a terceros con fines comerciales.

5. Transferencias internacionales

Los datos se almacenan primariamente en Hetzner (Alemania) con réplica DR en OVH (Francia) — ambos territorios UE bajo GDPR adecuado. Anthropic procesa transitoriamente queries IA en USA bajo Standard Contractual Clauses (SCC).

6. Retención

  • Cuenta activa: indefinido mientras el Cliente la mantenga.
  • Cuenta cancelada: data exportable 30 días → archivada 12 meses → eliminación permanente.
  • Audit log: 7 años (cumplimiento fiscal/legal).
  • Backups: 30 días (rotación automática).
  • Logs Loki: 30 días.

7. Derechos del titular (Ley 172-13)

Todo titular puede ejercer los siguientes derechos contactando privacy@vertix.lat:

  • Acceso: solicitar copia de sus datos personales.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación: solicitar eliminación.
  • Oposición: oponerse a tratamientos con interés legítimo cuestionado.
  • Portabilidad: recibir sus datos en formato JSON/CSV.
  • No decisión automatizada: el Servicio no toma decisiones legales automatizadas que afecten al titular.

Plazo de respuesta: 30 días. Si la solicitud es del usuario final del Cliente, será redirigida al Cliente como responsable principal.

8. Seguridad

  • TLS 1.3 en tránsito (Caddy ACME).
  • Encryption at rest (LUKS filesystem).
  • Schema-per-tenant para aislamiento absoluto entre Clientes.
  • 2FA TOTP obligatorio para Owner/Admin/Superadmin.
  • SSH solo via Tailscale VPN (port 22 cerrado a Internet).
  • Audit log inmutable de toda mutación.
  • Backups encriptados AES-256-CBC.

9. Brechas de seguridad

Si ocurre una brecha que afecte datos personales, notificaremos a los Clientes afectados y a la autoridad RD correspondiente dentro de 72 horas, conforme Ley 172-13.

10. Menores de edad

El Servicio no se dirige a menores de 18 años. No recolectamos conscientemente datos de menores. Si descubrimos lo contrario, eliminamos los datos.

11. Cambios a esta política

Cambios materiales se notifican con 30 días vía email. La fecha de última actualización al inicio del documento refleja la versión vigente.

12. Contacto

Encargado de Datos · privacy@vertix.lat · darksens96@gmail.com · Santo Domingo, República Dominicana.