Subprocesadores
CRA Evidence utiliza los siguientes subprocesadores externos para prestar nuestros servicios. Esta lista se mantiene de acuerdo con el artículo 28 del RGPD y nuestro Acuerdo de Procesamiento de Datos.
Notificación de Cambios
Notificaremos a los clientes con al menos 30 días de antelación antes de agregar o reemplazar un subprocesador. Puede suscribirse a las actualizaciones contactando a privacy@craevidence.com.
Si tiene objeciones sobre un nuevo subprocesador, puede presentarlas dentro de los 30 días posteriores a la recepción del aviso contactando a privacy@craevidence.com.
Subprocesadores de Infraestructura
| Subprocesador | Propósito | Datos Procesados | Ubicación |
|---|---|---|---|
| Amazon Web Services (AWS) | Alojamiento en la nube, cómputo y almacenamiento | Todos los datos de clientes | eu-west-1 (Dublín, Irlanda) |
| Amazon RDS | Base de datos PostgreSQL gestionada | Todos los datos estructurados (cuentas, productos, vulnerabilidades) | eu-west-1 (Dublín, Irlanda) |
| Amazon S3 | Almacenamiento de objetos | SBOMs, documentos técnicos, imágenes de firmware | eu-west-1 (Dublín, Irlanda) |
| Amazon CloudFront | Entrega de contenido y seguridad perimetral | Activos estáticos, enrutamiento de solicitudes | Ubicaciones de borde en la UE |
| Amazon SES | Envío de correo electrónico transaccional | Direcciones de correo, contenido de notificaciones | eu-west-1 (Dublín, Irlanda) |
Subprocesadores de Aplicación
| Subprocesador | Propósito | Datos Procesados | Ubicación |
|---|---|---|---|
| Google Workspace | Retransmisión SMTP para envío de correos | Direcciones de correo, contenido de correos | Infraestructura global de Google (SCCs de la UE incluidas) |
| Stripe | Procesamiento de pagos | Nombre de facturación, correo, método de pago | Estados Unidos (SCCs de la UE / DPF) |
| Cloudflare Turnstile | Protección contra bots en registro e inicio de sesión | Dirección IP, huella digital del navegador | Procesamiento en el borde (sin PII almacenado) |
| Tailscale | VPN de confianza cero para acceso administrativo a infraestructura | Metadatos de dispositivos de empleados, registros de acceso a la red (sin contenido de clientes) | Servidor de coordinación: Canadá/EE.UU.; tráfico de datos: WireGuard peer-to-peer dentro de AWS UE |
| PostHog | Análisis de producto (modo sin cookies en páginas públicas, análisis completo para usuarios autenticados con consentimiento) | Visitas a páginas, uso de funciones, datos de interacción anonimizados | UE (eu.posthog.com, Frankfurt, Alemania) |
Componentes Autoalojados
| Componente | Propósito | Datos Procesados | Ubicación |
|---|---|---|---|
| Trivy (Aqua Security) | Escaneo de vulnerabilidades de SBOMs | Contenido de SBOM, metadatos de paquetes | Autoalojado en nuestra infraestructura AWS (eu-west-1) |
Notas
- Todos los datos de clientes se almacenan exclusivamente en la UE (AWS eu-west-1, Dublín, Irlanda).
- Stripe procesa datos de pago en Estados Unidos bajo Cláusulas Contractuales Tipo (SCCs) y el Marco de Privacidad de Datos UE-EE.UU. (DPF).
- Google Workspace está cubierto por el Addendum de Procesamiento de Datos en la Nube (CDPA), que incluye Cláusulas Contractuales Tipo para transferencias internacionales.
- Cloudflare Turnstile procesa datos en el borde solo para protección contra bots. No se almacenan datos personales.
- Trivy se ejecuta completamente dentro de nuestra propia infraestructura y no envía datos a servicios externos.
- El servidor de coordinación de Tailscale gestiona únicamente la identidad de dispositivos y el intercambio de claves. Todo el tráfico de datos fluye peer-to-peer utilizando cifrado WireGuard dentro de nuestra infraestructura AWS. Ningún dato de cliente pasa por los servidores de Tailscale.
- PostHog opera en modo sin cookies en las páginas públicas, recopilando solo datos anonimizados de visitas a páginas sin establecer cookies ni utilizar almacenamiento local. Para los usuarios autenticados que consienten el análisis, PostHog proporciona información sobre el uso de funciones. Todos los datos se procesan en la UE (Frankfurt, Alemania).
Contacto
Para preguntas sobre nuestros subprocesadores, contacte a privacy@craevidence.com.
Última actualización: Febrero 2026.