Aviso de privacidad

• Cuenta y perfil: email, nombre, hash de contraseña (bcrypt cost 12), rol dentro de tu organización, idioma de interfaz, zona horaria.
• Workspace / tenant: nombre de organización, dominios verificados para SSO, invitaciones emitidas, miembros activos, conexiones SSO (SAML/OIDC) y tokens SCIM v2 cuando aplique.
• Uso del producto: señales y feedback que tú o tus integraciones envían, temas/categorías clasificados, insights generados, alertas disparadas, reports/briefs publicados, jobs ejecutados, registros de auditoría inmutables.
• Facturación: metadatos de suscripción y eventos de Stripe (plan, estado, ciclos). Stripe procesa los datos de tarjeta; FUVIHUB nunca los almacena.
• Diagnóstico / telemetría: logs estructurados de error y rendimiento enviados a un sink compatible con Sentry, así como eventos de delivery (webhooks, emails) para auditoría operativa.
• Cookies y similares: ver /cookies para el detalle por categoría.

• Operar el servicio (autenticación, autorización, ejecución de jobs, generación de briefings, delivery de alertas).
• Facturar suscripciones y cobrar uso variable a través de Stripe en modo administrado.
• Detectar abuso, fraude o degradación operativa (rate limiting, anomalías en el grafo de actividad).
• Mejorar el producto de forma agregada y anónima. Los datos de tu workspace no se usan para entrenar modelos compartidos sin consentimiento explícito.
• Cumplir obligaciones legales aplicables (tributarias, requerimientos válidos de autoridad competente).

FUVIHUB ejecuta análisis automatizados (clasificación, extracción de señales, scoring de relevancia, briefings). Cuando estas operaciones afectan resultados visibles al usuario, lo hacemos explícito en la UI y conservamos trazabilidad en el audit log. Hoy, la plataforma:

• Mantiene desactivada la activación de proveedores de IA externos (OpenAI, Anthropic, Gateway FanFusion) hasta que se complete la ADR de Gateway.
• Los modos "preview" y "mock" generan salidas deterministas sin enviar datos a terceros; el modo "live" sólo se activa por configuración explícita del operador.
• Los outputs de IA son insumos para decisiones humanas, no decisiones finales automatizadas. No tomamos decisiones que produzcan efectos jurídicos sobre individuos sin intervención humana en el flujo.

Compartimos datos estrictamente con los procesadores necesarios para operar el servicio. Lista vigente al momento de publicación (sujeta a actualización con notificación):

• • Vercel — hosting y entrega de la aplicación.
• • Neon (vía Vercel Marketplace) — base de datos Postgres.
• • Sentry — sink de errores y observabilidad.
• • Stripe — procesamiento de pagos y suscripciones.
• • Resend — entrega de email transaccional (cuando esté activo).
• • Cloudflare R2 — almacenamiento de evidencia y exports.
• • Cloudflare DNS — registro y resolución de dominios.

Subprocesadores adicionales pueden estar disponibles bajo NDA en el DPA para clientes Enterprise.

• Cifrado en tránsito (TLS 1.2+) con HSTS preload activo en todos los dominios de FUVIHUB.
• Secretos de delivery cifrados en reposo con AES-256-GCM usando una clave proporcionada por el operador.
• Hash de contraseñas con bcrypt cost 12; cookies de sesión httpOnly + SameSite=Lax + Secure en producción.
• Headers de seguridad estrictos (CSP con nonce, COOP/CORP same-origin, X-Frame-Options SAMEORIGIN, Permissions-Policy restrictivo).
• Audit log inmutable de cambios sensibles, exportable por API.

El detalle técnico completo vive en /trust y en la documentación pública del repositorio.

• Los raw payloads de señales viven dentro de la ventana de retención del plan (30 / 90 / 365 días según el tier).
• Los derivados útiles (briefs, scans, audits) se conservan hasta que el operador los elimina o cierra la cuenta.
• Backups operacionales rotan según política del plan; los datos en backup se eliminan dentro de los 90 días siguientes a una solicitud válida de borrado.
• Solicitudes de acceso, rectificación, portabilidad o borrado pueden enviarse vía /contact indicando el workspace afectado y la naturaleza del pedido.

FUVIHUB opera infraestructura en distintas regiones y procesa datos en jurisdicciones diferentes a la de algunos usuarios. Al usar la plataforma reconoces que tus datos pueden transferirse fuera de tu país. Para tratamientos con requerimientos específicos (GDPR, UK GDPR, LGPD, CCPA), un DPA firmado por separado puede ser provisto a clientes Enterprise previa solicitud.

Cuando hagamos cambios materiales actualizaremos la fecha de vigencia y notificaremos por email a los administradores del workspace al menos 14 días antes de que el cambio entre en vigor.

Para cualquier pregunta sobre este aviso, ejercer un derecho sobre tus datos o reportar un incidente de seguridad, escríbenos a través de /contact indicando el workspace afectado.