Seguridad y protección de datos
Residencia de datos
Todos los datos de los clientes se almacenan en Google Cloud, región europe-west1 (Bélgica). Esto incluye las páginas, documentos, archivos multimedia y registros de acceso de tu sitio. No existen copias secundarias en otras regiones. Los servidores que ejecutan la plataforma y sirven tu sitio publicado operan exclusivamente en esta región.
Cumplimiento del RGPD
Transformento S.L. es el responsable del tratamiento de los datos. Somos una empresa española, registrada en Málaga, y estamos sujetos al RGPD como entidad de la UE.
Base legal para el tratamiento de tus datos:
- Contenido y documentos de tu sitio: ejecución de nuestro contrato contigo
- Consultas de visitantes enviadas a través de tu sitio: interés legítimo
- Mensajería de WhatsApp Business donde hayas dado tu consentimiento: consentimiento
Acuerdo de Procesamiento de Datos (DPA): Disponible bajo petición. Envíanos un correo a support@comstack.ai y te enviaremos un DPA para firmar antes de que tu proyecto se publique.
Subprocesadores: Utilizamos los siguientes servicios de terceros para operar la plataforma. Cada uno recibe solo los datos necesarios para su función. No vendemos ni compartimos tus datos con fines comerciales.
| Servicio | Rol | Datos procesados | Ubicación |
|---|---|---|---|
| Google Cloud (Google LLC) | Base de datos, almacenamiento y hosting | Tu contenido, páginas y archivos multimedia | Bélgica (europe-west1) |
| Google Sign-In (Google LLC) | Autenticación de equipo | Correo electrónico y nombre de usuario de tu equipo | UE |
| Cloudinary Ltd | Hosting de archivos multimedia | Imágenes que publicas en tu sitio | UE |
| Anthropic PBC | Integración de asistente IA | Contenido e instrucciones durante sesiones de IA | EE. UU. |
| Meta Platforms / WhatsApp | Mensajería empresarial | Número de teléfono y contenido del mensaje | UE/EE. UU. |
Qué datos generan las interacciones de voz de tus visitantes
Cuando un visitante utiliza la interfaz de voz en tu sitio, su pregunta se procesa en tiempo real y se responde utilizando el propio contenido de tu sitio. Las consultas de voz no se almacenan en los servidores de ComStack más allá de la duración de la conversación.
No utilizamos las consultas de los visitantes para entrenar ningún modelo de IA. Las conversaciones de tus visitantes no son revisadas por el personal de ComStack a menos que solicites explícitamente asistencia para un problema específico.
Si un visitante proporciona información personal durante una conversación de voz (por ejemplo, su nombre o datos de contacto), esa información pasa a formar parte de los datos de interacción de tu sitio. Como operador del sitio, eres el responsable del tratamiento de los datos personales de tus visitantes, y se aplican tus propias políticas de privacidad y obligaciones del RGPD.
Qué datos generan tu contenido y tu sitio
Tu contenido publicado (páginas, documentos y archivos multimedia) se almacena en Google Cloud (Bélgica). ComStack no utiliza tu contenido para ningún otro propósito que no sea servir tu sitio a los visitantes y generar las traducciones automáticas que hayas habilitado.
No realizamos análisis de visitantes en tu nombre y no añadimos scripts de seguimiento de terceros a tu sitio. La plataforma ComStack no instala cookies en tus visitantes.
Arquitectura de seguridad
Cifrado: Todos los datos se cifran en tránsito mediante TLS. Los datos en reposo están cifrados por la infraestructura de almacenamiento de Google Cloud.
Control de acceso: El acceso a tu proyecto se basa en roles. Solo los miembros del equipo que invites (como gestores o editores) pueden cambiar el contenido de tu sitio. El acceso administrativo a la infraestructura subyacente está limitado al personal de ComStack con una necesidad documentada. Cada acción de gestión en tu proyecto se registra en un historial inmutable, por lo que podemos reconstruir exactamente qué sucedió y cuándo.
Cómo se protege la interfaz de gestión: Cuando un asistente de IA se conecta para gestionar tu sitio, se autentica mediante un token de tiempo limitado; nunca recibe tu contraseña ni tus credenciales. Los tokens de acceso caducan tras 1 hora; los tokens de sesión caducan tras 30 días. Si un token se reutiliza de una forma que sugiera que ha sido comprometido, la sesión completa se revoca inmediatamente.
Publicar contenido en tu sitio requiere un proceso de dos pasos: el sistema presenta primero una lista de lo que cambiará exactamente y se requiere una confirmación por separado antes de que nada se publique. Esto evita publicaciones accidentales o no autorizadas. Si un cambio publicado resulta ser incorrecto, puede revertirse: la plataforma toma una instantánea antes de cada publicación y una simple llamada restaura tu sitio al estado anterior en menos de una hora desde la publicación.
Respuesta ante incidentes: Si un incidente de seguridad afecta a los datos de tu proyecto, te notificaremos en un plazo de 72 horas tras tener conocimiento. La notificación describirá lo sucedido, qué datos estuvieron involucrados y los pasos que estamos tomando. Esto cumple con el requisito de notificación de brechas del RGPD (Art. 33).
Quién creó esto y quién lo opera
ComStack es desarrollado y operado por Transformento S.L., una empresa registrada en España:
Transformento S.L. Calle Graham Bell, 6 – 1, Oficina 12 29590 Málaga, España Correo electrónico: support@comstack.ai Teléfono: +34 919 935 235
Somos un equipo pequeño con sede en el sur de España. Si tienes alguna pregunta sobre seguridad o cumplimiento que esta página no responda, escríbenos directamente. Respondemos a las consultas serias sobre seguridad y RGPD en el plazo de un día laborable.
Para consultar nuestra política de privacidad completa, visita la Política de Privacidad.
Preguntas frecuentes
¿Puedo firmar un Acuerdo de Procesamiento de Datos?
Sí. Envía un correo a support@comstack.ai con el nombre de tu empresa y su dirección registrada. Te enviaremos un DPA para firmar antes de que tu proyecto se publique. El DPA cubre todos los subprocesadores enumerados en la sección de RGPD anterior.
¿Dónde se almacena exactamente mi contenido?
Tu contenido (páginas, documentos y archivos multimedia) se almacena en Google Cloud, región europe-west1, Bélgica. No se replican datos en regiones fuera de la UE.
¿Quién tiene acceso a los datos de mi sitio?
Los miembros del equipo que hayas invitado a tu proyecto. El personal de ComStack puede acceder a tu proyecto con fines de soporte técnico, y todo acceso queda registrado. No concedemos a terceros acceso a tu contenido, excepto a través de los subprocesadores enumerados anteriormente y para los fines descritos.
¿Se utiliza mi contenido para entrenar IA?
No. Tu contenido se utiliza únicamente para servir tu sitio a los visitantes y generar las traducciones que hayas habilitado. No se comparte con ningún proveedor de IA con fines de entrenamiento.
¿Qué sucede con mis datos si cancelo el servicio?
Tu sitio publicado permanece activo hasta que solicites su eliminación. Bajo petición, eliminamos el contenido de tu proyecto, archivos multimedia y registros de acceso almacenados. Confirmamos la eliminación por escrito. Los registros necesarios para el cumplimiento legal (como registros fiscales o de auditoría) se conservan durante el periodo mínimo exigido por la ley aplicable.
¿Qué sucede si hay una brecha de seguridad?
Te notificaremos en un plazo de 72 horas tras tener conocimiento de cualquier brecha que afecte a tus datos personales. Cada acción de gestión en tu proyecto queda registrada, lo que significa que podemos proporcionarte un relato preciso de lo ocurrido y qué datos estuvieron involucrados.