En DEMIOPS, concebimos la información como el activo estratégico más crítico de la era moderna. Esta Política de Privacidad y Seguridad de Datos (en adelante, la "Política") describe de manera exhaustiva, profunda y transparente las metodologías, principios arquitectónicos, bases legales y protocolos operativos bajo los cuales Demiops Inc. y sus subsidiarias a nivel mundial recaban, almacenan, encriptan, procesan, transfieren y purgan la información corporativa, los datos de telemetría y los datos personales vinculados a nuestros Clientes, usuarios autorizados y visitantes web.
Esta Política está estructurada para exceder las exigencias de los marcos normativos más estrictos a nivel global y regional, incluyendo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley de Privacidad del Consumidor de California (CCPA) y los múltiples ordenamientos de Protección de Datos Personales de las naciones soberanas de América Latina (tales como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares en México, la Ley Estatutaria 1581 en Colombia o la Ley 19.628 en Chile).
Para evitar ambigüedades legales, DEMIOPS establece claramente los roles dentro de la cadena de procesamiento de datos:
1.1. El Cliente como Responsable del Tratamiento (Data Controller): Cuando el Cliente utiliza Demiops Core o Demiops Data para cargar bases de datos de sus propios clientes, empleados o usuarios, el Cliente actúa como el "Responsable". Es obligación legal y exclusiva del Cliente obtener los consentimientos informados de los titulares originales, brindarles sus propios avisos de privacidad y garantizar que la recopilación de dicha información haya sido lícita.
1.2. DEMIOPS como Encargado del Tratamiento (Data Processor): Respecto a las bases de datos masivas y cargas de trabajo alojadas en nuestra infraestructura, DEMIOPS actúa estrictamente como "Encargado". Únicamente procesaremos dichos datos según las instrucciones técnicas documentadas y emitidas por el Cliente a través de nuestra interfaz. DEMIOPS nunca utilizará estos datos para beneficio propio, comercialización externa ni monetización cruzada.
Recolectamos información desde múltiples vectores operativos para garantizar la prestación fluida del servicio:
2.1. Información Corporativa de Contacto (Datos Directos): Al registrar una cuenta de administrador, solicitar demostraciones técnicas o firmar un contrato, DEMIOPS recopila el nombre completo del administrador, dirección de correo electrónico corporativo, número de teléfono directo, nombre de la empresa, tamaño de la organización, cargo corporativo y el país de las operaciones principales.
2.2. Datos de Facturación y Cumplimiento Financiero: Para procesar los pagos transfronterizos y cumplir con las leyes tributarias y de prevención de lavado de dinero, requerimos identificadores fiscales (RFC, RUT, NIT, CUIT), direcciones fiscales de facturación, detalles bancarios, tokens de pasarelas de pago (no almacenamos números de tarjetas de crédito sin encriptar, utilizamos proveedores nivel 1 PCI-DSS) y el historial de transacciones.
2.3. Telemetría de Infraestructura y Metadatos de Sistema: Como plataforma de nube, los componentes de Demiops Core generan continuamente petabytes de datos técnicos para el mantenimiento operativo. Esto incluye Direcciones IP, resoluciones de DNS, topologías de red privada virtual (VPN), identificadores de dispositivos únicos (UUID), registros de hipervisores, utilización de memoria RAM/CPU, y marcas de tiempo (timestamps) de solicitudes a la API. Esta información es crucial para el equilibrio dinámico de cargas y el monitoreo de SLAs.
2.4. Interacciones con Modelos de Inteligencia Artificial: Cuando un Cliente utiliza Demiops Intelligence para el entrenamiento de modelos predictivos o generación de texto/código, nuestro sistema registra la estructura de las "llamadas" (prompts) y los metadatos de las tareas para facturación (ej. cantidad de tokens procesados). Aclaración Crítica: Los datos propietarios introducidos en los modelos aislados del Cliente NO se utilizan para entrenar los modelos base públicos de DEMIOPS. Se mantienen en instancias "tenant-isolated" o de inquilino único.
2.5. Cookies, Balizas Web y Tecnologías de Rastreo: Nuestras interfaces web públicas y consolas SaaS emplean cookies persistentes y de sesión. Las cookies estrictamente necesarias aseguran el mantenimiento de las sesiones encriptadas y la autenticación multifactor. Las cookies analíticas de terceros nos ayudan a evaluar mapas de calor y tasas de rebote en los sitios públicos, ayudándonos en el rediseño de las plataformas.
El tratamiento de datos dentro de DEMIOPS se rige por finalidades específicas, acotadas y legítimas, fundamentadas en las siguientes bases legales:
3.1. Ejecución Contractual (Finalidad Primaria): Procesamos la información para configurar la infraestructura, aprovisionar servidores virtuales, habilitar los paneles de control, brindar soporte de ingeniería en nivel 2/nivel 3, procesar facturas mensuales, gestionar la cobranza y garantizar la comunicación técnica necesaria para el cumplimiento del Acuerdo de Servicio.
3.2. Interés Legítimo: Utilizamos metadatos anonimizados y telemetría de sistemas para asegurar la integridad de la red contra amenazas, detectar fraudes, mitigar ataques de denegación de servicio (DDoS), optimizar las rutas de latencia global y planificar la expansión de capacidad de nuestros centros de datos.3.3. Cumplimiento Legal (Obligación Jurídica): Retenemos información financiera, comprobantes fiscales y registros de conectividad perimetral durante plazos determinados (generalmente de 5 a 10 años) para cumplir con auditorías gubernamentales, requerimientos de tribunales competentes y normativas tributarias internacionales.
3.4. Consentimiento Expreso (Fines Promocionales): Solo con la autorización previa y explícita del Cliente, utilizaremos sus datos de contacto para enviar material de marketing B2B, boletines de ciberseguridad, invitaciones a seminarios web (webinars) sobre innovación de datos y lanzamientos de nuevas características de Demiops Data. El Usuario puede revocar este consentimiento en cualquier momento utilizando el enlace "Desuscribirse" en los correos o gestionando sus preferencias en la consola.
DEMIOPS no confía en los esquemas de seguridad perimetral tradicionales. Nuestra postura de seguridad y privacidad está incrustada en el código mismo de nuestra arquitectura:
4.1. Encriptación de Grado Militar (En Reposo y en Tránsito): Todo dato transmitido entre los dispositivos del Cliente y los centros de datos de DEMIOPS viaja obligatoriamente sobre túneles TLS 1.3 con secreto hacia adelante perfecto (Perfect Forward Secrecy). Al aterrizar en nuestros servidores, la información es fragmentada y almacenada en arreglos de discos con cifrado AES-256 a nivel de bloque. Las claves maestras son custodiadas en Módulos de Seguridad de Hardware (HSM) dedicados que impiden la extracción física o lógica de las llaves.
4.2. Filosofía de Confianza Cero (Zero Trust): Dentro de nuestra propia red interna corporativa, el acceso a los datos de los clientes está estrictamente bloqueado para el 99% de nuestro personal. Cualquier acceso administrativo requerido por un Ingeniero de Confiabilidad de Sistemas (SRE) de DEMIOPS para resolver un ticket de soporte crítico del Cliente requiere: (a) una solicitud aprobada por el Cliente, (b) un token temporal de un solo uso de corta duración, y (c) la grabación automatizada en video y registros inmutables de cada comando de terminal ejecutado durante la intervención.
4.3. Resiliencia y Soberanía Geográfica: Los Clientes tienen la potestad de seleccionar la región geográfica específica (ej. "Norteamérica-Este", "Sudamérica-Pacífico", "Europa-Central") donde residirán físicamente sus datos. DEMIOPS bloquea computacionalmente la replicación de datos fuera de las fronteras soberanas seleccionadas por el Cliente, asegurando el cumplimiento de las normativas de residencia de datos exigidas en industrias reguladas como la banca y la salud.
5.1. Uso de Subprocesadores Autorizados: Para proveer infraestructura de clase mundial, DEMIOPS contrata a subprocesadores externos (proveedores de alojamiento en "colocation", servicios de envío masivo de correos transaccionales o pasarelas de seguridad de borde). Estos subprocesadores atraviesan un riguroso proceso de auditoría de seguridad y están vinculados por Acuerdos de Procesamiento de Datos (DPA) restrictivos que les prohíben utilizar la información para fines distintos a los instruidos. DEMIOPS publica una lista actualizada de sus subprocesadores en su portal de transparencia.
5.2. Transferencias Transfronterizas: Cuando los datos deben cruzar fronteras internacionales, DEMIOPS asegura un nivel de protección adecuado utilizando las "Cláusulas Contractuales Tipo" aprobadas por las autoridades de protección de datos correspondientes o mecanismos legales equivalentes en América Latina para asegurar que el tratamiento en el país destino alcance los estándares de privacidad originales.
5.3. Requerimientos Gubernamentales y Aplicación de la Ley: DEMIOPS mantiene una estricta política de protección frente a solicitudes gubernamentales. Si una agencia policial o gubernamental emite una citación, orden de allanamiento u orden judicial solicitando acceso a los datos de un Cliente, la política de DEMIOPS es rechazar peticiones informales. De recibir una orden legalmente vinculante, siempre que la ley no nos prohíba hacerlo, notificaremos de inmediato al Cliente para que pueda presentar recursos de amparo o mociones para anular dicha orden antes de que nosotros entreguemos cualquier información.
5.4. Transacciones Corporativas: En el evento de que DEMIOPS participe en una fusión, adquisición, reestructuración o venta de activos, la información corporativa de los Clientes será transferida al ente adquirente, sujeto a que dicho ente acepte mantener políticas de privacidad con compromisos idénticos o superiores a los documentados en el presente instrumento.
En concordancia con los marcos normativos de privacidad en América Latina, el Cliente o sus administradores registrados tienen derecho a ejercer de forma inalienable los siguientes derechos sobre sus Datos Personales (identificables en la sección de contacto/facturación):
6.1. Acceso y Transparencia: Conocer exactamente qué datos poseemos, cómo los utilizamos y a quién se los hemos transferido. La consola de DEMIOPS permite exportar informes de cumplimiento en formato estructurado de lectura mecánica (.JSON o .CSV).
6.2. Rectificación y Actualización: Solicitar la corrección, modificación o actualización de los datos de registro que se encuentren inexactos, desfasados o incompletos, la cual puede realizarse de forma autónoma desde el panel de perfil.
6.3. Cancelación o "Derecho al Olvido": Exigir la eliminación de sus datos personales de nuestros sistemas. DEMIOPS procederá con la eliminación, a menos que exista una base legal legítima preponderante para retenerlos (por ejemplo, la obligación de retener facturas fiscales para auditorías del Ministerio de Hacienda por plazos de hasta 5 años).
6.4. Oposición y Limitación: Negarse a que procesemos su información para fines no esenciales, tales como perfilamiento para análisis de mercado o recepción de campañas promocionales.
Para ejercer estos derechos, el administrador de la cuenta debe enviar una solicitud formal, acompañada de acreditación de identidad corporativa, al Oficial de Protección de Datos (DPO) de DEMIOPS a la dirección de correo: privacy-latam@demiops.com. Las solicitudes serán respondidas, sustanciadas y ejecutadas en un plazo no mayor a veinte (20) días hábiles.
7.1. Periodos de Retención: DEMIOPS almacenará los datos operativos del Cliente únicamente mientras la cuenta se mantenga activa y la suscripción esté vigente.
7.2. Procedimiento de Desmantelamiento y Purga: Al confirmarse la cancelación del servicio o la terminación del contrato, el Cliente dispone de una ventana de exportación temporal. Pasado este plazo, los mecanismos automatizados de infraestructura de DEMIOPS iniciarán el "Protocolo de Purga Segura". Este protocolo elimina los índices de las bases de datos, revoca las llaves maestras de cifrado (Haciendo "Cripto-Shredding" que vuelve inútiles los datos residuales) y sobreescribe los sectores de almacenamiento con ruido aleatorio para evitar cualquier intento de recuperación forense, cumpliendo con la norma DoD 5220.22-M del Departamento de Defensa.
El panorama de las amenazas digitales y el marco legislativo de protección de datos es dinámico. En consecuencia, DEMIOPS se reserva el derecho de revisar y actualizar esta Política periódicamente. Identificaremos la fecha de la última revisión en el encabezado de este documento. Si la actualización altera sustancialmente las reglas de cómo compartimos o aseguramos la información, publicaremos un aviso destacado en nuestra interfaz de inicio de sesión o enviaremos un comunicado formal a los responsables de tecnología (CTOs) de las empresas de nuestros clientes, garantizando siempre la transparencia operativa que nos caracteriza.