Datos y Cumplimiento
Última actualización: Abril 2026
Resumen: Este documento describe cómo ZLYX cumple con las regulaciones de protección de datos aplicables, las medidas técnicas y organizativas que implementamos, y los compromisos que mantenemos con la seguridad de tu información.
1. Marco Regulatorio
ZLYX opera bajo el marco legal mexicano y cumple con:
- LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México)
- Reglamento de la LFPDPPP: Disposiciones reglamentarias aplicables
- Lineamientos del Aviso de Privacidad: Publicados por la Secretaría de Economía
Aunque no estamos obligados por el GDPR (Reglamento General de Protección de Datos de la UE), adoptamos voluntariamente sus principios de minimización de datos, transparencia y derecho al olvido como buenas prácticas.
2. Clasificación de Datos
| Categoría | Tipo de datos | Nivel de sensibilidad |
|---|---|---|
| Identificación | Email, contraseña (hash) | Alto |
| Financiero agrícola | Gastos, ventas, presupuestos, créditos | Alto |
| Operativo | Cultivos, insumos, producción | Medio |
| Técnico | IP, user agent, logs de acceso | Bajo |
| Configuración | Conceptos, presentaciones, preferencias | Bajo |
3. Medidas Técnicas de Seguridad
3.1 Cifrado
- En tránsito: TLS 1.2+ en todas las comunicaciones (HTTPS forzado via HSTS)
- En reposo: Cifrado a nivel de disco en la infraestructura del proveedor de base de datos
- Contraseñas: Almacenadas con hash criptográfico y salt, nunca en texto plano
3.2 Control de acceso
- Aislamiento de datos: Cada usuario solo puede acceder a sus propios datos, forzado a nivel de base de datos
- Autenticación: Sistema de autenticación seguro con sesiones efímeras por pestaña del navegador
- Acceso por invitación: Sin registro público, las cuentas las crea exclusivamente el administrador
- Panel admin: Acceso restringido a cuenta autorizada
3.3 Monitoreo
- Registro de eventos de acceso (login, logout, errores)
- Rate limiting en endpoints sensibles
- Controles de acceso a nivel de base de datos
4. Medidas Organizativas
- Acceso administrativo restringido al mínimo personal necesario
- Credenciales de producción no compartidas con terceros
- Revisión periódica de políticas de seguridad y acceso
- Documentación interna del esquema de datos y decisiones de arquitectura
5. Subprocesadores
Los siguientes terceros procesan datos en nombre de ZLYX:
| Subprocesador | Servicio | Ubicación de datos | Cumplimiento |
|---|---|---|---|
| Proveedor de base de datos | Base de datos y autenticación | EE.UU. | SOC 2 Type II, HIPAA |
| Proveedor de infraestructura | Hosting, CDN y DNS | Global (CDN distribuido) | SOC 2 Type II, ISO 27001 |
| Proveedor de IA | Análisis con inteligencia artificial (solo Plan Raíz) | EE.UU. | SOC 2 Type II |
6. Retención y Eliminación
| Tipo de dato | Retención | Método de eliminación |
|---|---|---|
| Datos de cultivos | Mientras la cuenta esté activa + 90 días | DELETE en base de datos |
| Datos de cuenta | Hasta solicitud de baja + 90 días | Eliminación de auth.users + datos asociados |
| Logs de acceso | 12 meses | Purga automática periódica |
| Rate limit intentos | Período corto | Limpieza automática |
| Datos de IA (Groq) | No almacenados permanentemente | Procesamiento en tiempo real sin persistencia |
7. Derechos ARCO
Conforme a la LFPDPPP, los usuarios pueden ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación, Oposición):
| Derecho | Cómo ejercerlo | Plazo de respuesta |
|---|---|---|
| Acceso | Exportación JSON desde la app o solicitud por email | 20 días hábiles |
| Rectificación | Directamente en la app o solicitud por email | 15 días hábiles |
| Cancelación | Solicitud por email a [email protected] | 20 días hábiles |
| Oposición | Solicitud por email a [email protected] | 20 días hábiles |
8. Notificación de Brechas
En caso de una brecha de seguridad que comprometa datos personales:
- Notificaremos a los usuarios afectados por correo electrónico en el menor tiempo posible tras el descubrimiento.
- La notificación incluirá: naturaleza de la brecha, datos comprometidos, medidas tomadas y recomendaciones para el usuario.
- Notificaremos a las autoridades competentes según lo requiera la legislación aplicable.
- Documentaremos internamente el incidente, su causa raíz y las acciones correctivas.
9. Transferencias Internacionales
Los datos pueden ser procesados fuera de México por los subprocesadores listados en la Sección 5. Estas transferencias se realizan bajo las siguientes garantías:
- Los proveedores cumplen con estándares de seguridad reconocidos internacionalmente (SOC 2, ISO 27001).
- Los datos se transmiten cifrados mediante TLS.
- Cada proveedor opera bajo sus propios términos de procesamiento de datos que incluyen protecciones adecuadas.
10. Auditoría y Mejora Continua
- Revisamos periódicamente las políticas de seguridad y configuración de acceso.
- Actualizamos las dependencias y servicios de terceros según las mejores prácticas.
- Mantenemos documentación actualizada del esquema de datos y las decisiones de arquitectura.
- Evaluamos nuevas amenazas y ajustamos las medidas de seguridad según sea necesario.
11. Contacto del Responsable de Datos
Para consultas sobre cumplimiento y protección de datos:
- Email: [email protected]
- Sitio web: