Política de Seguridad y Privacidad de Datos
Última actualización: 5 de abril de 2026
1. Introducción e Identificación del Responsable
GuardyScan (en adelante, "GuardyScan", "nosotros" o "la Empresa") opera desde la República de Chile y actúa como responsable del tratamiento de los datos personales recabados a través de su plataforma de ciberseguridad.
Esta Política de Seguridad y Privacidad de Datos (en adelante, "la Política") describe de manera transparente cómo recopilamos, utilizamos, almacenamos, protegemos y transferimos la información personal y empresarial de nuestros usuarios. Está redactada en cumplimiento de la Ley N° 19.628 sobre Protección de la Vida Privada de Chile, la Ley N° 21.663 y, en la medida aplicable, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
- Oficial de Protección de Datos (DPO): dpo@guardyscan.com
- Contacto de privacidad: privacy@guardyscan.com
- Dirección: Santiago, Chile
2. Información que Recopilamos
2.1 Datos de Cuenta e Identificación
- Nombre completo y dirección de correo electrónico
- Contraseña (almacenada en formato hash bcrypt, nunca en texto plano)
- Imagen de perfil (opcional)
- Datos de la empresa: nombre, sitio web, industria y tamaño
- Información de facturación (gestionada directamente por Stripe)
2.2 Datos Técnicos de Uso y Escaneo
- Dominios, URLs y direcciones IP de activos escaneados (ingresados por el Usuario)
- Resultados de análisis de vulnerabilidades, SSL/TLS, encabezados de seguridad, DNS, tecnologías detectadas y puertos abiertos
- Registros de actividad en la plataforma (logs de sesión, acciones realizadas)
- Información del navegador y dispositivo (user agent, idioma, resolución)
- Dirección IP de acceso del Usuario
2.3 Datos de Seguridad y Cumplimiento
- Incidentes de seguridad registrados por el Usuario
- Evaluaciones de riesgo y análisis de impacto de negocio
- Evidencias y controles de cumplimiento normativo
- Datos de eventos SIEM (patrones de comportamiento de usuarios del sistema)
- Información de miembros de comités y sesiones
- Planes de continuidad de negocio y recuperación
- Evaluaciones de riesgo de terceros
2.4 Datos de Pago y Suscripción
Los datos de pago (número de tarjeta, CVV, etc.) son procesados y almacenados directamente por Stripe, nuestro procesador de pagos certificado PCI-DSS Nivel 1. GuardyScan únicamente almacena identificadores de suscripción, el plan activo, el estado de la suscripción y el historial de compras de reportes PDF.
2.5 Datos de Inteligencia Artificial
Cuando el Usuario utiliza funcionalidades de diagnóstico asistido por IA, cierta información contextual (datos de vulnerabilidades, configuraciones detectadas, métricas de riesgo) puede ser transmitida a los servidores de Anthropic (Claude AI) para generar recomendaciones. Dichas transmisiones se realizan bajo los términos de uso y política de privacidad de Anthropic. GuardyScan almacena los resultados de los diagnósticos de IA en su base de datos. No se transmite información de identificación personal (nombres, emails) a los modelos de IA.
3. Finalidad y Base Legal del Tratamiento
Tratamos sus datos con las siguientes finalidades y bases legales:
| Finalidad | Base Legal |
|---|---|
| Prestación del servicio contratado | Ejecución de contrato |
| Procesamiento de pagos y gestión de suscripciones | Ejecución de contrato |
| Envío de alertas de seguridad y notificaciones | Ejecución de contrato / interés legítimo |
| Generación de reportes y análisis | Ejecución de contrato |
| Soporte técnico al Usuario | Ejecución de contrato / interés legítimo |
| Cumplimiento de obligaciones legales y regulatorias | Obligación legal |
| Mejora de la plataforma (datos anonimizados) | Interés legítimo |
| Detección y prevención de fraude y abusos | Interés legítimo / obligación legal |
| Comunicaciones de marketing (solo con consentimiento) | Consentimiento |
4. Seguridad Técnica y Organizativa de los Datos
GuardyScan implementa medidas de seguridad técnicas y organizativas conforme a los estándares de la industria:
4.1 Medidas Técnicas
- Cifrado en tránsito: TLS 1.2/1.3 en todas las comunicaciones
- Cifrado en reposo: Datos almacenados cifrados mediante AES-256 en la infraestructura de Neon (PostgreSQL)
- Contraseñas: Almacenadas exclusivamente en formato hash bcrypt con salt (10 rondas)
- Autenticación: JWT seguro con expiración, sesiones gestionadas por NextAuth.js
- Control de acceso: Basado en roles (OWNER, ADMIN, MEMBER, VIEWER) con principio de mínimo privilegio
- Infraestructura: Alojada en Vercel (edge network con alta disponibilidad) y Neon (PostgreSQL cloud)
- Tokens de recuperación: Expiración automática de tokens de restablecimiento de contraseña
4.2 Medidas Organizativas
- Acceso a datos de producción restringido al personal autorizado bajo necesidad estricta
- Revisiones periódicas de seguridad y auditorías de acceso
- Procedimiento documentado de respuesta ante brechas de seguridad
- Formación continua del equipo en materia de seguridad y privacidad
- Acuerdos de confidencialidad con todos los empleados y contratistas
4.3 Notificación de Brechas de Seguridad
En caso de producirse una brecha de seguridad que afecte a datos personales, GuardyScan notificará a los Usuarios afectados y, cuando sea requerido por ley, a las autoridades competentes, en los plazos establecidos por la normativa aplicable (máximo 72 horas para notificación a autoridades bajo GDPR). Para reportar incidentes de seguridad, contacte a: security@guardyscan.com.
5. Procesadores de Datos y Transferencias a Terceros
GuardyScan no vende, alquila ni comparte datos personales con terceros con fines comerciales propios de dichos terceros. Compartimos datos únicamente con los siguientes procesadores de datos bajo acuerdos contractuales adecuados:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Stripe | Procesamiento de pagos y suscripciones (PCI-DSS Nivel 1) | EE.UU. / Global |
| Vercel | Infraestructura de hosting y despliegue serverless | EE.UU. / Global (edge) |
| Neon | Base de datos PostgreSQL cloud | EE.UU. |
| Anthropic (Claude AI) | Diagnósticos de seguridad asistidos por IA | EE.UU. |
También podemos divulgar datos cuando sea requerido por ley, orden judicial, autoridad competente, o cuando sea necesario para proteger los derechos, propiedad o seguridad de GuardyScan, sus usuarios o el público en general.
6. Transferencias Internacionales de Datos
Dado que nuestros proveedores de infraestructura (Vercel, Neon, Stripe, Anthropic) operan principalmente desde Estados Unidos, sus datos pueden ser transferidos y procesados fuera de Chile. GuardyScan garantiza que dichas transferencias se realizan bajo mecanismos de protección adecuados, incluyendo:
- Contratos de procesamiento de datos con cláusulas de protección equivalente
- Elección de proveedores con certificaciones internacionales reconocidas (SOC 2, ISO 27001)
- Cláusulas contractuales tipo cuando aplica la normativa europea
7. Retención y Eliminación de Datos
Conservamos los datos personales durante el tiempo necesario para cumplir las finalidades descritas y las obligaciones legales aplicables:
| Tipo de dato | Período de retención |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa |
| Datos de cuenta tras cancelación | 90 días (exportables a solicitud) |
| Registros de escaneo y vulnerabilidades | Según plan: hasta 15 días (Professional), indefinido (Enterprise) |
| Registros de facturación y pagos | 6 años (obligación tributaria chilena) |
| Logs de actividad y seguridad | 12 meses |
| Tokens de recuperación de contraseña | 24 horas (expiración automática) |
8. Sus Derechos como Titular de Datos
De conformidad con la Ley N° 19.628 de Chile y, en la medida aplicable, el GDPR, el Usuario tiene los siguientes derechos:
- Acceso: Solicitar información sobre qué datos personales suyos tratamos y obtener una copia
- Rectificación: Corregir datos inexactos, incompletos o desactualizados
- Supresión / Eliminación: Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento
- Portabilidad: Recibir sus datos en formato estructurado, legible por máquina (JSON/CSV)
- Oposición: Oponerse al tratamiento de sus datos para finalidades basadas en interés legítimo
- Limitación del tratamiento: Solicitar la restricción del procesamiento en determinados casos
- Retirada del consentimiento: Retirar el consentimiento prestado en cualquier momento, sin afectar la licitud del tratamiento previo
Para ejercer sus derechos, contacte a privacy@guardyscan.com o dpo@guardyscan.com, indicando el derecho que desea ejercer e incluyendo información que permita verificar su identidad. Responderemos en un plazo máximo de 30 días hábiles.
Limitaciones: Algunos derechos pueden estar sujetos a limitaciones cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales, la defensa de reclamaciones o la prestación del servicio contratado.
9. Datos de Menores de Edad
GuardyScan es un servicio dirigido exclusivamente a empresas y profesionales mayores de 18 años. No recopilamos intencionadamente datos personales de menores de 18 años. Si tenemos conocimiento de que hemos recopilado datos de un menor, los eliminaremos de inmediato. Si usted tiene conocimiento de ello, notifíquenos en privacy@guardyscan.com.
10. Uso de Cookies y Tecnologías de Seguimiento
GuardyScan utiliza cookies y tecnologías similares para garantizar el funcionamiento de la plataforma, autenticar sesiones de usuario y mejorar la experiencia de uso. Para información detallada sobre los tipos de cookies que usamos, sus finalidades y cómo gestionarlas, consulte nuestra Política de Cookies.
11. Exención de Responsabilidad en Materia de Datos
El Usuario es el responsable exclusivo de los datos que ingresa en la plataforma, incluyendo datos personales de terceros (empleados, clientes, proveedores, miembros de comités, etc.). Al introducir datos de terceros, el Usuario declara y garantiza que:
- Cuenta con la base legal adecuada para tratar dichos datos (consentimiento, contrato, obligación legal, etc.)
- Ha informado a los terceros afectados sobre el tratamiento de sus datos
- El tratamiento cumple con la normativa de protección de datos aplicable en su jurisdicción
GuardyScan actúa como encargado del tratamiento respecto a los datos de terceros ingresados por el Usuario, y como responsable del tratamiento respecto a los datos del propio Usuario. GuardyScan no será responsable por el incumplimiento del Usuario de sus obligaciones como responsable del tratamiento de datos de terceros.
12. Cambios a esta Política
GuardyScan se reserva el derecho de actualizar esta Política en cualquier momento. Ante cambios sustanciales, notificaremos al Usuario mediante correo electrónico o aviso destacado en la plataforma con al menos 15 días de anticipación a la entrada en vigor. El uso continuado del servicio tras la fecha de vigencia de la nueva Política implicará su aceptación.
13. Reclamaciones ante Autoridad de Control
Si el Usuario considera que el tratamiento de sus datos personales infringe la normativa aplicable, tiene derecho a presentar una reclamación ante la autoridad de protección de datos competente en Chile u otras autoridades aplicables. Le animamos a contactarnos primero en dpo@guardyscan.com para intentar resolver cualquier inquietud de forma directa.
14. Contacto
Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de sus datos personales:
- Privacidad general: privacy@guardyscan.com
- Oficial de Protección de Datos (DPO): dpo@guardyscan.com
- Seguridad e incidentes: security@guardyscan.com
- Dirección: Santiago, Chile