Privacidad - v1.0 - Última actualización: 4 de mayo de 2026

Política de privacidad

La presente Política de privacidad explica cómo SecurSSH recopila, trata y protege los datos personales en virtud del Reglamento (UE) 2016/679 (el «RGPD»). Se aplica a todos los usuarios del Servicio SecurSSH, con independencia de su plan.

1. Identidad del responsable del tratamiento

El responsable del tratamiento es [POR COMPLETAR: razón social completa], inscrito con el número [POR COMPLETAR: SIREN / Steuernummer / KvK / número de registro], con domicilio social en [POR COMPLETAR: dirección postal completa]. Para cualquier consulta relativa a la protección de datos, póngase en contacto con nuestro Delegado de Protección de Datos en dpo@securssh.com.

2. Datos recopilados

  • Datos de la cuenta - dirección de correo electrónico, verificador de la contraseña maestra con hash (PBKDF2 100 000 iteraciones), pertenencia a equipos.
  • Contenido de la bóveda - credenciales, fichas de hosts, snippets, cifrados íntegramente en el lado del cliente. El servidor solo almacena texto cifrado y no puede acceder al contenido en claro de las bóvedas.
  • Registro de auditoría - metadatos de conexión: marca temporal, actor, identificador de host y tipo de acción. La retención es de 24 meses en los planes Team e ilimitada en los contratos Enterprise.
  • Facturación - gestionada por Stripe. Nunca almacenamos los números completos de tarjeta bancaria (PAN); solo conservamos por nuestra parte los identificadores de facturación, los metadatos de factura y la referencia de cliente.
  • Analítica de uso - Google Tag Manager (contenedor GTM-P7PRZ37K) y Google Analytics 4. Los eventos se anonimizan por defecto (truncamiento de IP, sin funciones publicitarias activadas).

3. Bases jurídicas del tratamiento (artículo 6 del RGPD)

  • Ejecución del contrato (artículo 6.1.b) - gestión de la cuenta, sincronización de las bóvedas, facturación.
  • Interés legítimo (artículo 6.1.f) - registro de auditoría de seguridad, prevención del fraude, detección de abusos.
  • Consentimiento (artículo 6.1.a) - cookies analíticas y demás cookies no esenciales.
  • Obligación legal (artículo 6.1.c) - registros fiscales, contabilidad, auditorías reglamentarias o de cumplimiento.

4. Plazo de conservación

  • Cuenta activa - los datos se conservan mientras exista la cuenta.
  • Tras la supresión - período de gracia de 30 días que cubre la rotación de las copias de seguridad, transcurrido el cual los sistemas de producción y de respaldo se purgan de forma definitiva.
  • Registro de auditoría - retención según el plan: 24 meses (Team), ilimitada (Enterprise) o conforme al contrato.
  • Datos de facturación - 10 años, de conformidad con las obligaciones contables y fiscales europeas.

5. Sus derechos en virtud del RGPD (artículos 15 a 22)

  • Derecho de acceso (artículo 15) - exportación completa de los datos disponible bajo solicitud.
  • Derecho de rectificación (artículo 16) - accesible directamente desde el panel de configuración de la cuenta.
  • Derecho de supresión (artículo 17) - integrado en el producto en forma de eliminación de cuenta con un solo clic. Es una funcionalidad entregada, no un procedimiento manual.
  • Derecho a la portabilidad (artículo 20) - exportación JSON cifrada de la bóveda y de los datos de la cuenta.
  • Derecho de oposición / a la limitación del tratamiento (artículo 21).
  • Derecho a presentar una reclamación ante una autoridad de control - por ejemplo, la AEPD (España), la CNIL (Francia), el Datatilsynet (Dinamarca), el BfDI (Alemania), la AP (Países Bajos), o la autoridad de control de su Estado miembro de residencia.

Para ejercer cualquiera de estos derechos, póngase en contacto con privacy@securssh.com.

6. Localización de los datos y transferencias internacionales

Los datos personales se almacenan y tratan exclusivamente dentro de la Unión Europea. Las cargas de producción se ejecutan desde regiones de centros de datos europeos (Fráncfort, Ámsterdam) sobre infraestructuras con sede en la UE.

SecurSSH no transfiere datos personales a Estados Unidos para su almacenamiento. A raíz de la sentencia Schrems II, esto descarta la incertidumbre jurídica asociada a las transferencias fuera del EEE.

Los encargados del tratamiento se enumeran en la sección 8 a continuación. Cualquier cambio futuro de encargado que pueda afectar a la localización de los datos se anunciará con al menos 30 días de antelación.

7. Cookies

  • Estrictamente necesarias - cookie de sesión, token CSRF, preferencia de idioma. Son imprescindibles para el funcionamiento del Servicio y no requieren consentimiento.
  • Analíticas - Google Tag Manager y Google Analytics 4. Se cargan únicamente tras obtener el consentimiento.
  • Ninguna cookie de marketing de terceros se despliega en el sitio web ni en el producto SecurSSH.

8. Lista de encargados del tratamiento

  • Stripe Payments Europe Ltd. (Irlanda) - procesamiento de pagos.
  • Google Ireland Ltd. (Irlanda - representante en la UE de Google) - analítica mediante Google Tag Manager y Google Analytics 4.
  • [POR COMPLETAR: proveedor de hosting UE] - alojamiento de producción y copias de seguridad.
  • [POR COMPLETAR: correo transaccional UE] - distribución de correos electrónicos transaccionales.

9. Acuerdo de Tratamiento de Datos (DPA)

Se encuentra disponible bajo solicitud un Acuerdo de Tratamiento de Datos (DPA) para los Clientes en los planes Team y Enterprise. El DPA incluye las Cláusulas Contractuales Tipo (CCT) cuando resulten aplicables, la lista actualizada de encargados, los plazos de conservación y las medidas de seguridad alineadas con el artículo 28 del RGPD.

Para solicitar el DPA, escriba a dpa@securssh.com.

10. Medidas de seguridad (artículo 32 del RGPD)

  • Cifrado de extremo a extremo AES-GCM del contenido de las bóvedas, ejecutado en el lado del cliente.
  • PBKDF2 con 100 000 iteraciones para la derivación de clave a partir de la contraseña maestra.
  • Cifrado en tránsito mediante TLS 1.3 en todos los puntos de acceso de SecurSSH.
  • Registro de auditoría inalterable; cualquier modificación no autorizada rompe la cadena y resulta detectable.
  • Revisiones de seguridad internas periódicas y controles de acceso de mínimo privilegio para los operadores de SecurSSH.
  • Hoja de ruta: auditoría SOC 2 Tipo II prevista para el S2 de 2026 (actualmente no certificada - no se reivindica como adquirida).

11. Menores

El Servicio está destinado a un uso profesional y no está dirigido a usuarios menores de 16 años. SecurSSH no recopila a sabiendas datos personales de menores de 16 años. Si considera que un menor ha facilitado datos personales, póngase en contacto con nosotros para que podamos suprimir los registros correspondientes.

12. Actualizaciones de esta política

Las modificaciones sustanciales de esta Política de privacidad se notificarán con al menos 30 días de antelación a su entrada en vigor, por correo electrónico a los Clientes activos y mediante un banner integrado en el producto. Las modificaciones menores (erratas, aclaraciones) se publican con una fecha de revisión actualizada.

13. Contacto

Consultas generales sobre protección de datos: privacy@securssh.com.

Delegado de Protección de Datos: dpo@securssh.com.

Versión 1.0 - última actualización el 4 de mayo de 2026.