Addendum de Tratamiento de Datos con todas las cláusulas del GDPR Art. 28. Listo para firmar.
Arquitectura técnica que muestra cada salto que hacen tus datos — y dónde se detiene el PII.
SOC 2 Type II, ISO 27001, HIPAA-eligible — heredadas de Cloudflare.
Las cláusulas clave del DPA,
claras y directas.
Tu organización es el Responsable del Tratamiento. Privedge es el Encargado. Actuamos solo según tus instrucciones documentadas.
Anonimización de PII en tránsito únicamente. Procesamos prompts para detectar y tokenizar PII antes de que lleguen a los proveedores de LLM.
Solo metadatos de auditoría — timestamp, pii_types, latency_ms, routed_to. El contenido del prompt nunca se escribe en almacenamiento.
Cloudflare Workers (cómputo), Cloudflare R2 (logs de auditoría, solo Enterprise). Sin otros subprocesadores.
Prompts: 0 días. Metadatos de auditoría: 30 días (Pro), personalizado (Enterprise). Todo lo que supera el TTL se elimina permanentemente.
TLS 1.3 en tránsito, aislado V8 por petición, AES-256 para Edge KV (Enterprise), cero estado compartido entre peticiones.
Te notificamos en un máximo de 24 horas desde que tengamos conocimiento de una brecha de datos personales que afecte a tu cuenta.
Todos los datos de auditoría eliminados en 30 días desde la rescisión del contrato. Modo self-host: no conservamos ningún dato.
Texto legal completo con campos de firma. Enterprise: firmamos una versión personalizada.
Adónde van tus datos.
Y dónde se detienen.
Cada salto mapeado. Cada límite documentado.
Cifrado. PII presente en el prompt.
Cifrado. PII reemplazado con tokens. Limpio.
Cifrado. Tokens revertidos en el edge antes de la entrega.
Certificaciones que heredas.
Privedge funciona sobre Cloudflare Workers. Obtienes certificaciones enterprise sin necesidad de aprovisionar hardware.
| Certificación | Estado | Proveedor | Alcance |
|---|---|---|---|
| SOC 2 Type II | Activo | Cloudflare | Capa de cómputo y red |
| ISO/IEC 27001 | Activo | Cloudflare | Seguridad física del centro de datos |
| HIPAA-eligible | Activo | Cloudflare Workers | Cargas de trabajo con PHI |
| PCI DSS Level 1 | Activo | Cloudflare | Red y datos en tránsito |
| GDPR | Conforme | Cloudflare + Privedge | Tratamiento de datos UE + DPA |
| SOC 2 Type II | Roadmap | Privedge | Capa de aplicación (Fase 5, ~Q4) |
Tres argumentos.
Citables en cualquier auditoría.
Minimización de Datos
"Al enmascarar el PII en el límite de infraestructura antes de la transmisión a los proveedores de IA, el cliente cumple con el principio de minimización de datos. Solo tokens anonimizados — sin información identificable — se transfieren a los subprocesadores. Los datos personales nunca abandonan la región de procesamiento del cliente."
Eliminación del Riesgo de Terceros
"La exposición del cliente a brechas de datos de proveedores de IA queda estructuralmente eliminada. Incluso un compromiso total de los sistemas del proveedor de IA solo revelaría tokens sintéticos (p. ej., [PERSON_1], [CONDITION_1]), que no contienen información identificativa y no pueden revertirse sin el mapa de tokens por petición — el cual se destruye al completarse la petición."
Derecho de Supresión — Nativo
"Dado que los datos personales nunca se transfirieron al almacenamiento, los registros de inferencia ni la pipeline de entrenamiento de ningún proveedor de IA, la obligación del cliente bajo el Art. 17 respecto a los datos procesados por IA queda satisfecha por arquitectura. No hay datos que suprimir de los sistemas de IA de terceros porque nunca hubo datos presentes."
¿Listo para cerrar tu revisión de seguridad?
Te enviaremos el DPA firmado, las certificaciones de infraestructura y guiaremos a tu equipo de seguridad por la arquitectura.