Lista de Subprocesadores

Obligaciones de Protección de Datos: Los subprocesadores deben cumplir con las leyes aplicables de protección de datos y nuestros requisitos de seguridad

Ejemplos:

Proveedores de alojamiento en la nube que almacenan datos de usuarios

Procesadores de pagos que manejan transacciones financieras

Proveedores de servicios de correo electrónico que envían emails transaccionales

Plataformas de análisis que procesan datos de uso

POR QUÉ UTILIZAMOS SUBPROCESADORES

Infraestructura Principal:

Alojamiento en la Nube: Infraestructura confiable y escalable para nuestra aplicación

Servicios de Base de Datos: Almacenamiento y gestión segura de datos de usuarios

Entrega de Contenido: Entrega rápida y global de activos de la aplicación

Procesamiento de Pagos:

Pasarela de Pago: Procesamiento seguro de pagos de suscripción y desembolsos

Integración Bancaria: Conexión a cuentas bancarias de usuarios para datos financieros

Detección de Fraude: Protección contra transacciones fraudulentas

Servicios de Comunicación:

Entrega de Email: Emails transaccionales (verificación de cuenta, notificaciones, etc.)

Servicios SMS: Autenticación de dos factores y alertas de seguridad

Notificaciones Push: Notificaciones de aplicación en tiempo real

Análisis y Mejora:

Análisis de Uso: Comprender cómo los usuarios interactúan con nuestra plataforma

Seguimiento de Errores: Identificar y corregir problemas técnicos

Monitoreo de Rendimiento: Garantizar un servicio rápido y confiable

Datos Financieros e Información de Mercado:

Datos del Mercado de Valores: Precios de acciones en tiempo real e históricos

Datos de Criptomonedas: Información y precios del mercado cripto

Noticias Financieras: Noticias y análisis del mercado

IA y Aprendizaje Automático:

Asistente de IA: Potenciando nuestras características de IA conversacional

Procesamiento de Lenguaje Natural: Comprender consultas e intención del usuario

REQUISITOS DEL RGPD

Mantener una Lista Actualizada:

Mantener una lista actualizada de todos los subprocesadores

Poner esta lista a disposición de los interesados (usuarios)

Actualizar la lista cuando se agregan o eliminan subprocesadores

Obligaciones Contractuales:

Celebrar acuerdos escritos de procesamiento de datos con todos los subprocesadores

Asegurar que los subprocesadores proporcionen garantías suficientes de cumplimiento del RGPD

Imponer las mismas obligaciones de protección de datos a los subprocesadores que se nos aplican

Requisitos de Notificación:

Informar a los usuarios sobre cambios previstos en los subprocesadores

Proporcionar oportunidad de objetar nuevos subprocesadores

Permitir a los usuarios rescindir servicios si objetan (donde sea factible)

Responsabilidad:

Seguimos siendo totalmente responsables del cumplimiento de protección de datos del subprocesador

Los usuarios pueden responsabilizarnos por violaciones del subprocesador

SALVAGUARDAS DE PROTECCIÓN DE DATOS

Protecciones Contractuales:

SALVAGUARDAS DE PROTECCIÓN DE DATOS

Acuerdos escritos que rigen las actividades de procesamiento de datos

Cumplimiento con RGPD, CCPA y leyes aplicables

Restricciones sobre uso, retención y compartición de datos

Requisitos para medidas de seguridad de datos

Requisitos para medidas de seguridad de datos

Para transferencias a países fuera de la UE/EEE

Términos contractuales aprobados por la Comisión de la UE

Mecanismo legal para transferencias internacionales de datos lícitas

Medidas Técnicas y Organizativas:

Mecanismo legal para transferencias internacionales de datos lícitas

Cifrado de datos en tránsito (TLS 1.3 o superior)

Cifrado de datos en reposo (AES-256 o equivalente)

Controles de acceso y autenticación

Auditorías de seguridad regulares y pruebas de penetración

Procedimientos de respuesta a incidentes y notificación de brechas

Procedimientos de respuesta a incidentes y notificación de brechas

Los subprocesadores solo reciben datos necesarios para su función específica

No se comparten datos excesivos o innecesarios

No se comparten datos excesivos o innecesarios

Los subprocesadores deben eliminar o devolver datos al finalizar el contrato

Cumplimiento con nuestros calendarios de retención de datos

Certificaciones de Cumplimiento:

Cumplimiento con nuestros calendarios de retención de datos

ISO 27001: Gestión de seguridad de la información

SOC 2 Type II: Controles de seguridad, disponibilidad y confidencialidad

PCI DSS: Seguridad de datos de la industria de tarjetas de pago (para procesadores de pagos)

Cumplimiento RGPD: Autocertificación o auditoría de terceros

Programas Sucesores de Privacy Shield: Para procesadores con sede en EE.UU. que manejan datos de la UE

NOTIFICACIÓN Y CONSENTIMIENTO DE SUBPROCESADORES

Cómo Notificamos a los Usuarios:

NOTIFICACIÓN Y CONSENTIMIENTO DE SUBPROCESADORES

Aviso con 30 días de antelación por correo electrónico a usuarios registrados

Aviso publicado en esta página con fecha efectiva

Descripción del subprocesador, servicios proporcionados y datos procesados

Descripción del subprocesador, servicios proporcionados y datos procesados

Esta Lista se actualiza cuando se agregan o eliminan subprocesadores

Número de versión y fecha de última actualización mostrados en la parte superior del documento

Notificación por correo electrónico para cambios materiales

Su Derecho a Objetar:

Notificación por correo electrónico para cambios materiales

Contáctenos en [email protected] dentro de los 30 días de la notificación

Explique su objeción e inquietudes

Trabajaremos con usted para abordar las inquietudes u ofrecer alternativas

Si no podemos resolver las objeciones, puede rescindir su cuenta sin penalización

Si no podemos resolver las objeciones, puede rescindir su cuenta sin penalización

Algunos subprocesadores son esenciales para la prestación del servicio principal (ej., alojamiento en la nube, procesamiento de pagos)

La objeción a subprocesadores esenciales puede requerir la terminación del servicio

Indicaremos claramente qué subprocesadores son esenciales

SUBPROCESADORES ACTIVOS

Tabla Completa de Subprocesadores

Información Detallada de Subprocesadores

7.1 STRIPE, INC.

SUBPROCESADORES ACTIVOS

Procesamiento de pagos para pagos de suscripción (planes Premium, Enterprise)

Stripe Connect para desembolsos de usuarios (comisiones de referidos, procesamiento de retiros)

Detección y prevención de fraude usando Stripe Radar

Cumplimiento tributario e informes (Formulario 1099-K, 1099-NEC)

Verificación de identidad para cumplimiento KYC/AML

Gestión del ciclo de vida de facturación de suscripciones

Gestión del ciclo de vida de facturación de suscripciones

Principal: Estados Unidos (centros de datos California)

Usuarios UE: Irlanda (eu-west-1) con garantías de residencia de datos

Backups cifrados en múltiples regiones de EE.UU. y UE

Backups cifrados en múltiples regiones de EE.UU. y UE

Nombre, dirección de correo electrónico, número de teléfono

Dirección de facturación y dirección de envío

Información de método de pago (últimos 4 dígitos de tarjeta de crédito, números de cuenta bancaria/routing)

Historial de transacciones y estado de pago

Números de identificación fiscal (SSN, EIN) para destinatarios de desembolsos

Documentos de verificación de identidad (licencia de conducir, pasaporte) para Cuentas Conectadas

Dirección IP e información de dispositivo para detección de fraude

Dirección IP e información de dispositivo para detección de fraude

Cláusulas Contractuales Estándar (SCCs) para transferencias de datos UE-EE.UU.

Certificación Data Privacy Framework UE-EE.UU.

Decisión de Adecuación para operaciones con sede en Irlanda (entidad UE)

Cifrado de extremo a extremo (TLS 1.3 en tránsito, AES-256 en reposo)

Tokenización conforme a PCI DSS para datos de pago

Tokenización conforme a PCI DSS para datos de pago

PCI DSS Nivel 1 (nivel más alto de seguridad de pagos)

SOC 2 Type II (seguridad, disponibilidad, confidencialidad)

ISO 27001 (gestión de seguridad de la información)

Cumplimiento RGPD con infraestructura dedicada UE

Cumplimiento RGPD con infraestructura dedicada UE

En tránsito: TLS 1.3 con Perfect Forward Secrecy

En reposo: Cifrado AES-256-GCM para todos los datos almacenados

Datos de tarjeta de pago: Tokenización conforme a PCI DSS (nunca almacenados en forma bruta)

Datos de tarjeta de pago: Tokenización conforme a PCI DSS (nunca almacenados en forma bruta)

Métodos de pago activos: Duración de la relación con el cliente + 7 años (requisitos tributarios/legales)

Registros de transacciones: 7 años (regulaciones financieras)

Documentos de verificación de identidad: Según lo requerido por ley

Detalles completos: Stripe Data Retention

Detalles completos: Stripe Data Retention

7.2 PLAID, INC.

Detalles completos: Stripe Data Retention

Vinculación de cuentas bancarias de usuarios a XPlus Finance

Recuperación de historial de transacciones y saldos de cuenta

Verificación de cuenta bancaria para desembolsos

Verificación de ingresos y empleo (si se utiliza)

Verificación de ingresos y empleo (si se utiliza)

Credenciales de cuenta bancaria (cifradas, no accesibles para XPlus Finance)

Números de cuenta y números de ruta

Historial de transacciones

Saldos de cuenta

Nombres de titulares de cuenta

Nombres de titulares de cuenta

Certificado SOC 2 Type II

Certificado ISO 27001

Cifrado de 256 bits de nivel bancario

Cumplimiento con RGPD

Cláusulas Contractuales Estándar para transferencias de datos de la UE

Cláusulas Contractuales Estándar para transferencias de datos de la UE

7.3 OPENAI, L.L.C.

Cláusulas Contractuales Estándar para transferencias de datos de la UE

Asistente financiero basado en ChatGPT

Comprensión y generación de lenguaje natural

Orientación financiera y contenido educativo

Interpretación de consultas y generación de respuestas

Interpretación de consultas y generación de respuestas

Consultas de usuarios e historial de conversación

Preferencias y configuraciones de usuario

Patrones de uso anonimizados

Sin credenciales financieras o datos financieros sensibles

Sin credenciales financieras o datos financieros sensibles

Certificado SOC 2 Type II

Cifrado de datos en tránsito y en reposo

Cumplimiento con RGPD

Retención de datos limitada a 30 días (datos de API)

Opción de retención cero de datos disponible

Opción de retención cero de datos disponible

CÓMO OBJETAR UN SUBPROCESADOR

Proceso de Objeción

CÓMO OBJETAR UN SUBPROCESADOR

Email: [email protected]

Línea de Asunto: "Objeción de Subprocesador - [Nombre del Subprocesador]"

Plazo: Tiene 30 días desde la fecha de notificación para objetar

Plazo: Tiene 30 días desde la fecha de notificación para objetar

Su nombre completo y dirección de correo electrónico de la cuenta

El subprocesador específico al que objeta

Razón detallada de su objeción (ej., inquietudes de protección de datos, inquietudes jurisdiccionales, inquietudes de seguridad)

Cualquier documentación o evidencia de apoyo

Soluciones alternativas preferidas (si aplica)

Soluciones alternativas preferidas (si aplica)

Acuse de Recibo: Acusaremos recibo de su objeción dentro de 3 días hábiles

Investigación: Realizaremos una revisión exhaustiva de sus inquietudes

Evaluación: Evaluaremos si podemos acomodar su objeción mediante:

Eliminación del subprocesador

Implementación de salvaguardas adicionales

Ofrecimiento de opciones de servicio alternativas

Restricción de datos compartidos con el subprocesador

Restricción de datos compartidos con el subprocesador

Cronología: Responderemos dentro de 15 días hábiles con nuestra decisión

Resultados:

Objeción Aceptada: Eliminaremos o reemplazaremos el subprocesador, o implementaremos salvaguardas adicionales

Alternativa Ofrecida: Podemos ofrecer una configuración de servicio alternativa

Objeción No Factible: Si no podemos acomodar su objeción (ej., subprocesador esencial para servicio principal), explicaremos por qué y le ofreceremos el derecho a terminar su cuenta sin penalización

Objeción No Factible: Si no podemos acomodar su objeción (ej., subprocesador esencial para servicio principal), explicaremos por qué y le ofreceremos el derecho a terminar su cuenta sin penalización

Tiene derecho a terminar su cuenta sin penalización

Recibirá un reembolso completo por cualquier período de suscripción no utilizado

Sus datos se eliminarán de acuerdo con nuestra Política de Retención de Datos

Exporte sus datos antes de la terminación a través de la Herramienta de Exportación de Datos

Pre-Notificación para Nuevos Subprocesadores

Exporte sus datos antes de la terminación a través de la Herramienta de Exportación de Datos

Notificación por email a su dirección de correo electrónico registrada 30 días antes de agregar un nuevo subprocesador

Banner en la aplicación mostrado durante 30 días

Actualización de esta Lista de Subprocesadores con los detalles del nuevo subprocesador y fecha efectiva

Actualización de esta Lista de Subprocesadores con los detalles del nuevo subprocesador y fecha efectiva

Nombre y entidad legal del nuevo subprocesador

Servicios que proporcionará el subprocesador

Categorías de datos que se procesarán

Ubicación de datos y salvaguardas aplicables

Fecha efectiva de contratación

Su derecho a objetar y el plazo de objeción

Su derecho a objetar y el plazo de objeción

Primario: Email a su dirección de correo electrónico de cuenta

Secundario: Notificación push (si está habilitada)

Terciario: Banner en la aplicación en el dashboard

Permanente: Actualización de esta página con historial de versiones

Subprocesadores Esenciales vs. No Esenciales

Permanente: Actualización de esta página con historial de versiones

Stripe (procesamiento de pagos - requerido para suscripciones y desembolsos)

Plaid (conexión de cuenta bancaria - requerido para agregación de datos financieros)

AWS (alojamiento en la nube - requerido para infraestructura de plataforma)

Mailgun/Twilio (comunicaciones transaccionales - requerido para seguridad de cuenta)

Mailgun/Twilio (comunicaciones transaccionales - requerido para seguridad de cuenta)

OpenAI (asistente IA - característica opcional)

OneSignal (notificaciones push - característica opcional)

Proveedores de datos de mercado (opcional para seguimiento de cartera)

Proveedores de datos de mercado (opcional para seguimiento de cartera)

Contacto para Objeciones

Proveedores de datos de mercado (opcional para seguimiento de cartera)

Email: [email protected]

Asunto: "Objeción de Subprocesador - [Nombre]"

Asunto: "Objeción de Subprocesador - [Nombre]"

Email: [email protected]

Tiempo de Respuesta: 3 días hábiles para acuse de recibo, 15 días hábiles para resolución

ALINEACIÓN CON LA POLÍTICA DE SEGURIDAD

Controles de Seguridad Requeridos

ALINEACIÓN CON LA POLÍTICA DE SEGURIDAD

En Tránsito: TLS 1.2 o superior (TLS 1.3 preferido)

En Reposo: Cifrado AES-256 o equivalente

Gestión de Claves: Almacenamiento seguro de claves usando HSMs o equivalente

Gestión de Claves: Almacenamiento seguro de claves usando HSMs o equivalente

Autenticación: Autenticación multifactor (MFA) para acceso administrativo

Autorización: Control de acceso basado en roles (RBAC) con principio de mínimo privilegio

Registro de Auditoría: Registro completo de todos los accesos a datos y acciones administrativas

Registro de Auditoría: Registro completo de todos los accesos a datos y acciones administrativas

SOC 2 Type II (seguridad, disponibilidad, confidencialidad)

ISO 27001 (gestión de seguridad de la información)

PCI DSS Nivel 1 (para procesadores de pago)

Otras certificaciones equivalentes reconocidas por la industria

Otras certificaciones equivalentes reconocidas por la industria

Procedimientos documentados de respuesta a incidentes

Notificación de brechas a XPlus Finance dentro de 24 horas

Notificación a usuarios dentro de 72 horas (cumplimiento RGPD)

Forense post-incidente y remediación

Forense post-incidente y remediación

DPA escrito vigente para todos los subprocesadores

Cumplimiento del Artículo 28 del RGPD

Cláusulas Contractuales Estándar (SCCs) para transferencias internacionales

Disposiciones de responsabilidad e indemnización

Proceso de Verificación de Seguridad

Disposiciones de responsabilidad e indemnización

Cuestionario de Seguridad: Evaluación completa de la postura de seguridad

Revisión de Certificación: Verificación de SOC 2, ISO 27001 o equivalente

Negociación de Contrato: DPA con obligaciones de seguridad

Evaluación de Riesgo: Evaluación de riesgos de procesamiento de datos

Evaluación de Riesgo: Evaluación de riesgos de procesamiento de datos

Auditorías Anuales: Revisión de certificaciones de seguridad y estado de cumplimiento

Revisiones Trimestrales: Actualizaciones de seguridad y revisiones de incidentes

Monitoreo Continuo: Alertas automatizadas para incidentes de seguridad

Pruebas de Penetración: Pruebas anuales de terceros (para subprocesadores críticos)

Pruebas de Penetración: Pruebas anuales de terceros (para subprocesadores críticos)

Notificación Inmediata: El subprocesador debe notificarnos dentro de 24 horas de cualquier incidente de seguridad

Investigación Conjunta: Investigación colaborativa y forense

Notificación a Usuarios: Notificamos a usuarios afectados dentro de 72 horas (requisito RGPD)

Remediación: Plan de remediación requerido con cronología

Derechos de Terminación: Nos reservamos el derecho de terminar subprocesadores que no cumplan con estándares de seguridad

Referencia Cruzada: Secciones de Política de Seguridad

Derechos de Terminación: Nos reservamos el derecho de terminar subprocesadores que no cumplan con estándares de seguridad

Sección 8: Seguridad de Terceros - Requisitos de seguridad de subprocesadores

Sección 3: Cifrado y Protección de Datos - Estándares de cifrado

Sección 10: Monitoreo de Seguridad y Respuesta a Incidentes - Procedimientos de incidentes

Sección 13: Cumplimiento y Certificaciones - Certificaciones requeridas

Tabla de Verificación de Seguridad de Subprocesadores

Sección 13: Cumplimiento y Certificaciones - Certificaciones requeridas

Todos los subprocesadores activos tienen DPAs ejecutados

Todas las transferencias internacionales cubiertas por SCCs

Todos los subprocesadores cumplen con estándares mínimos de cifrado

Auditorías de seguridad actualizadas dentro de los últimos 6 meses

INFORMACIÓN DE CONTACTO

Email: [email protected]

Línea de Asunto: "Consulta sobre Subprocesador"

Línea de Asunto: "Consulta sobre Subprocesador"

Email: [email protected]

Línea de Asunto: "Objeción de Subprocesador - [Nombre del Subprocesador]"

Incluir: Correo electrónico de su cuenta, objeción específica e inquietudes

Plazo: 30 días desde la notificación

Plazo: 30 días desde la notificación

Email: [email protected]

Consulte nuestra Política de Privacidad para información completa de protección de datos

Consulte nuestra Política de Privacidad para información completa de protección de datos

Email: [email protected]

Para preguntas relacionadas con seguridad sobre subprocesadores

Para preguntas relacionadas con seguridad sobre subprocesadores

ACTUALIZACIONES Y CAMBIOS

Cada vez que se agrega un nuevo subprocesador

Cuando se elimina un subprocesador

Cuando los servicios del subprocesador o las actividades de procesamiento de datos cambian significativamente

Al menos anualmente para verificación de precisión

Al menos anualmente para verificación de precisión

Versión 1.0 (15 de noviembre de 2025): Publicación inicial

Versión 1.0 (15 de noviembre de 2025): Publicación inicial

Suscríbase a notificaciones por correo electrónico para cambios de subprocesadores (opción de adhesión en Configuración de Cuenta)

Consulte esta página periódicamente para actualizaciones

El número de versión y la fecha de última actualización siempre se muestran en la parte superior

El número de versión y la fecha de última actualización siempre se muestran en la parte superior

Política de Privacidad

Política de Retención de Datos

Política de Seguridad

Términos de Servicio

Términos de Servicio

Lista de Subprocesadores

📋 Índice

INTRODUCCIÓN

¿QUÉ ES UN SUBPROCESADOR?

Definición:

Características Clave:

Ejemplos:

POR QUÉ UTILIZAMOS SUBPROCESADORES

Infraestructura Principal:

Procesamiento de Pagos:

Servicios de Comunicación:

Análisis y Mejora:

Datos Financieros e Información de Mercado:

IA y Aprendizaje Automático:

REQUISITOS DEL RGPD

Mantener una Lista Actualizada:

Obligaciones Contractuales:

Requisitos de Notificación:

Responsabilidad:

SALVAGUARDAS DE PROTECCIÓN DE DATOS

Protecciones Contractuales:

Medidas Técnicas y Organizativas:

Certificaciones de Cumplimiento:

NOTIFICACIÓN Y CONSENTIMIENTO DE SUBPROCESADORES

Cómo Notificamos a los Usuarios:

Su Derecho a Objetar:

SUBPROCESADORES ACTIVOS

Tabla Completa de Subprocesadores

Información Detallada de Subprocesadores

7.1 STRIPE, INC.

7.2 PLAID, INC.

7.3 OPENAI, L.L.C.

CÓMO OBJETAR UN SUBPROCESADOR

Proceso de Objeción

Pre-Notificación para Nuevos Subprocesadores

Subprocesadores Esenciales vs. No Esenciales

Contacto para Objeciones

ALINEACIÓN CON LA POLÍTICA DE SEGURIDAD

Controles de Seguridad Requeridos

Proceso de Verificación de Seguridad

Referencia Cruzada: Secciones de Política de Seguridad

Tabla de Verificación de Seguridad de Subprocesadores

INFORMACIÓN DE CONTACTO

ACTUALIZACIONES Y CAMBIOS