Acuerdo de Procesamiento de Datos

1. Definiciones

Los siguientes términos tienen los significados establecidos a continuación, consistentes con la Ley de Protección de Privacidad de Israel, 1981 y la Enmienda 13:

• Datos Personales (מידע אישי): Cualquier información relativa a una persona física identificada o identificable.
• Propietario de la Base de Datos (בעל מאגר מידע): La entidad que determina los fines y medios del procesamiento de Datos Personales. Bajo este DPA, el Cliente es el Propietario de la Base de Datos.
• Titular/Procesador de Datos (מעבד מידע): La entidad que procesa Datos Personales en nombre del Propietario de la Base de Datos. Bajo este DPA, FRENZY.BOT es el Titular de los Datos.
• Sujeto de Datos (נושא המידע): Una persona física identificada o identificable cuyos Datos Personales son procesados.
• Nivel de Seguridad Básico (רמת אבטחה בסיסית): El nivel de seguridad predeterminado según las Regulaciones de Protección de Privacidad (Seguridad de Datos), 5777-2017.

2. Alcance

Este DPA se aplica siempre que FRENZY.BOT procese Datos Personales en nombre del Cliente en relación con el Servicio.

El procesamiento se rige por la Ley de Protección de Privacidad de Israel, 1981 y las Regulaciones de Protección de Privacidad (Seguridad de Datos), 5777-2017 (Enmienda 13).

El nivel de seguridad predeterminado aplicado a todas las cuentas de Cliente es Básico. Niveles de seguridad superiores (Medio o Alto) requieren un acuerdo escrito separado y pueden implicar costos adicionales.

3. Roles y Responsabilidades

Cliente (Propietario de la Base de Datos)

El Cliente es el Propietario de la Base de Datos y es responsable de:

• Registrar la base de datos ante la Autoridad de Protección de Privacidad de Israel, si lo requiere la ley
• Proporcionar avisos de privacidad apropiados a los usuarios finales
• Obtener todos los consentimientos necesarios de los Sujetos de Datos
• Configurar los ajustes de seguridad apropiados para la sensibilidad de los datos procesados
• Garantizar el cumplimiento de las leyes de privacidad aplicables en la jurisdicción del Cliente

FRENZY.BOT (Titular/Procesador de Datos)

FRENZY.BOT procesa Datos Personales únicamente según sea necesario para prestar el Servicio, de acuerdo con las instrucciones del Cliente y este DPA. FRENZY.BOT no procesará Datos Personales para ningún otro fin.

4. Medidas de Seguridad

FRENZY.BOT implementa las siguientes medidas de seguridad para proteger los Datos Personales:

• Cifrado SSL/TLS en tránsito para todo el tráfico de widget y panel de control
• Cifrado simétrico Fernet para configuraciones sensibles (claves API, tokens OAuth, secretos TOTP)
• Hash de contraseñas bcrypt con sales únicas por usuario
• Controles de acceso basados en roles (RBAC) con permisos de membresía por bot
• Opciones de restricción de IP para acceso al panel de control
• Copias de seguridad cifradas (AES-256-CBC o archivos protegidos con contraseña)
• Endurecimiento de servidores: aleatorización de puerto SSH, firewall UFW, ajuste de kernel, aislamiento Docker

El Cliente puede configurar ajustes de seguridad adicionales a través del panel de gestión para cumplir con sus requisitos específicos.

5. Subprocesadores

El Cliente autoriza a FRENZY.BOT a utilizar los siguientes subprocesadores en relación con el Servicio:

• OpenRouter, Inc. — Enrutamiento e inferencia de modelos de IA
• Graphiti (Zep Inc.) — Grafo de conocimiento temporal y memoria de agentes (autoalojado)
• Google LLC — Proveedor de identidad (Google OAuth para el inicio de sesión en frenzy.bot)
• BunnyCDN (Bunny.net) — Almacenamiento de lanzamientos y distribución CDN con autenticación por token
• Qdrant Solutions GmbH — Base de datos vectorial (autoalojada en el servidor del Cliente)
• WAHA (autoalojado) — Puerta de enlace HTTP de la API de WhatsApp
• Hetzner Online GmbH — Alojamiento VPS predeterminado (servidores del Cliente)
• Cloudflare, Inc. — DNS, CDN y protección DDoS

Una lista actualizada de subprocesadores está disponible previa solicitud por escrito. Los componentes autoalojados (stack de registros Loki/Grafana, Caddy + Coraza WAF y correo Postfix) se ejecutan íntegramente en la infraestructura de FRENZY.BOT y por ello no se listan como subprocesadores independientes.

6. Acceso Administrativo a la Infraestructura

FRENZY.BOT opera un modelo de alojamiento gestionado en el que todos los servidores privados virtuales (VPS) de los clientes se aprovisionan dentro de un proyecto centralizado de Hetzner Cloud propiedad y administrado por FRENZY.BOT. Esta arquitectura es consistente con el modelo operativo estándar utilizado por proveedores de alojamiento gestionado y plataforma como servicio en todo el mundo (por ejemplo, WP Engine, Cloudways, Heroku, Render).

Como parte de este modelo, FRENZY.BOT mantiene las siguientes capacidades de acceso administrativo sobre la infraestructura del cliente:

• Consola de Gestión en la Nube: Gestión completa del servidor incluyendo control de energía, acceso a consola, redimensionamiento, eliminación, instantáneas y configuración de red
• API en la Nube: Acceso programático a todas las funciones de gestión de servidores mediante una clave API centralizada
• Consola VNC: Acceso shell root a cualquier VPS del cliente a través de la consola remota del proveedor de alojamiento
• Claves SSH: Acceso SSH root directo a los servidores del cliente para aprovisionamiento, mantenimiento y soporte
• Gestión de Firewall: Capacidad para ver y modificar reglas de firewall para cualquier servidor del cliente
• Instantáneas de Servidor: Capacidad para crear instantáneas completas de disco de cualquier servidor del cliente
• Ciclo de Vida del Servidor: Capacidad para crear, suspender o eliminar permanentemente cualquier VPS del cliente y todos los datos asociados

Este acceso administrativo no puede ser revocado de forma independiente por el Cliente y es inherente al modelo de servicio gestionado. El Cliente reconoce y consiente este acceso como condición para el uso del Servicio.

Principio de Mínimo Privilegio

FRENZY.BOT aplica el principio de mínimo privilegio a todo el acceso administrativo:

• Acceso Justificado: El acceso administrativo se ejerce únicamente para fines comerciales legítimos, incluyendo aprovisionamiento, mantenimiento, parches de seguridad y soporte solicitado por el cliente
• Acceso Limitado: Solo el personal autorizado de FRENZY.BOT tiene acceso a la clave API de Hetzner Cloud, la consola web y las credenciales SSH
• Acceso Auditado: Todo uso de acceso privilegiado se registra y es auditable (ver Sección 7)
• Acceso Proporcional: FRENZY.BOT no accede a los datos, aplicaciones o bases de datos del cliente a menos que sea necesario para cumplir una solicitud de soporte específica u obligación de seguridad

Base Legal y Salvaguardas del Cliente

Bajo un modelo de alojamiento gestionado, el Proveedor de Servicios requiere acceso administrativo continuo a la infraestructura del cliente para fines operativos legítimos que incluyen:

• Aprovisionamiento de nuevos servidores y escalado de recursos
• Aplicación de parches de sistema operativo y seguridad
• Respuesta a incidentes de infraestructura e interrupciones
• Gestión de facturación y asignación de recursos del proveedor de alojamiento

Este modelo de acceso cumple con las Regulaciones de Protección de Privacidad de Israel (Enmienda 13) y el Artículo 28 del RGPD, siempre que: (a) este DPA divulgue y gobierne explícitamente dicho acceso; (b) todo acceso privilegiado sea auditado (ver Sección 7); (c) el Cliente sea informado del alcance del acceso; y (d) el Cliente conserve el derecho de terminar el Servicio y exportar todos los datos en cualquier momento.

El Cliente puede terminar el Servicio de acuerdo con los Términos de Servicio. Tras la terminación, el Cliente puede exportar todos los datos a través del panel de gestión antes del cierre de la cuenta (ver Sección 9).

Copias de Seguridad Automatizadas y Recuperación ante Desastres

FRENZY.BOT crea instantáneas diarias automatizadas de cada VPS del cliente con fines de recuperación ante desastres. Las instantáneas son imágenes completas de disco y pueden contener todos los datos almacenados en el servidor, incluyendo bases de datos, archivos subidos, archivos de configuración y registros de aplicación.

Las siguientes salvaguardas se aplican a todas las copias de seguridad automatizadas:

• Período de Retención: Las instantáneas se conservan durante 7 días. Las instantáneas más antiguas se eliminan automáticamente — no se acumulan datos más allá de la ventana de retención
• Cifrado en Reposo: Las instantáneas se almacenan en la infraestructura de almacenamiento cifrado de Hetzner
• Residencia de Datos: Las instantáneas permanecen en la misma región del centro de datos de Hetzner que el VPS de origen
• Registro de Auditoría: Todas las operaciones de creación y eliminación de instantáneas se registran (ver Sección 7)
• Eliminación al Terminar: Cuando el Servicio se termina para un cliente, todas las instantáneas asociadas al VPS de ese cliente se eliminan permanentemente como parte del procedimiento de desmantelamiento (ver Sección 9)

Si un Cliente ejerce su derecho a la supresión de datos, las instantáneas de respaldo automatizadas que contengan datos suprimidos pueden persistir hasta 7 días hasta que el ciclo normal de retención las purgue. Durante este período, los datos suprimidos no se restaurarán activamente desde ninguna copia de seguridad. Este enfoque es consistente con las prácticas estándar de retención de copias de seguridad de la industria (ISO 27001 A.8.10) y se documenta aquí según lo requerido por la Enmienda 13 y el Artículo 17(3)(e) del RGPD.

7. Registro de Auditoría y Responsabilidad

FRENZY.BOT mantiene registros de auditoría para las acciones administrativas realizadas en la infraestructura del cliente. Las siguientes acciones se registran:

• Aprovisionamiento y Eliminación de VPS: Registrado por la pista de auditoría de Hetzner Cloud
• Acceso a Consola VNC: Registrado por la pista de auditoría de Hetzner Cloud y centralmente por FRENZY.BOT
• Acciones de Energía del Servidor: Eventos de inicio, parada y reinicio registrados por la pista de auditoría de Hetzner Cloud
• Cambios de Firewall: Todas las modificaciones de reglas registradas por la pista de auditoría de Hetzner Cloud
• Operaciones de Instantáneas: Creación de copias de seguridad diarias automatizadas, instantáneas manuales, eliminación y restauración registradas por la pista de auditoría de Hetzner Cloud y centralmente por FRENZY.BOT
• Uso de API: Todas las llamadas API de Hetzner Cloud registradas por el sistema de auditoría del proveedor
• Conexiones SSH: Todas las conexiones SSH a servidores del cliente se registran centralmente por FRENZY.BOT

Los registros de auditoría se conservan durante un mínimo de 12 meses. El Cliente puede solicitar acceso a los registros de auditoría relacionados con su infraestructura mediante solicitud por escrito.

Los registros se agregan a un servidor de registro dedicado y centralizado que está separado de la infraestructura del cliente. El transporte de registros está cifrado mediante TLS, y el acceso a la plataforma de registro está restringido por lista de IPs permitidas únicamente al personal autorizado de FRENZY.BOT. Esta arquitectura garantiza el almacenamiento de registros a prueba de manipulaciones, de conformidad con los controles ISO 27001 A.8.15 (Registro de Eventos) y A.8.16 (Protección de la Información de Registros).

8. Derechos de los Sujetos de Datos

El Cliente es responsable de gestionar las solicitudes de los Sujetos de Datos (acceso, corrección, eliminación) de acuerdo con la ley aplicable.

FRENZY.BOT asistirá al Cliente en el cumplimiento de las solicitudes de los Sujetos de Datos cuando sea técnicamente viable, previa solicitud por escrito. El panel de gestión proporciona herramientas para que el Cliente visualice, exporte y elimine datos de usuarios finales.

9. Retención y Eliminación de Datos

El Cliente controla la retención de datos a través de su servidor y la configuración del panel de control.

Tras la terminación del Servicio:

• El Cliente puede exportar sus datos a través del panel de control antes del cierre de la cuenta
• FRENZY.BOT eliminará o anonimizará los datos del Cliente dentro de los 30 días posteriores a la terminación, a menos que la retención sea requerida por ley
• Todas las instantáneas de respaldo automatizadas del VPS del Cliente se eliminarán permanentemente
• Todas las claves SSH y credenciales de acceso asociadas al servidor del Cliente serán revocadas y eliminadas
• Todas las acciones de eliminación se registran en la pista de auditoría

Dado que FRENZY.BOT utiliza un modelo autoalojado, el Cliente mantiene el control físico y lógico sobre sus datos en todo momento.

Supresión de Datos y Retención de Copias de Seguridad: Si el Cliente solicita la eliminación de datos específicos conforme a la legislación de protección de datos aplicable, dichos datos se eliminarán del servidor activo de inmediato. Las instantáneas de respaldo automatizadas que contengan los datos eliminados pueden persistir hasta 7 días hasta que el ciclo normal de retención las purgue. Durante esta ventana de retención, los datos eliminados no se restaurarán activamente desde ninguna copia de seguridad.

10. Notificación de Violación de Datos

En caso de un incidente de seguridad que involucre Datos Personales, FRENZY.BOT:

• Notificará al Cliente sin demora indebida al tener conocimiento de la violación
• Proporcionará los detalles disponibles sobre la naturaleza y el alcance de la violación
• Cooperará con el Cliente en la investigación y remediación del incidente

FRENZY.BOT se reserva el derecho de notificar directamente a la Autoridad de Protección de Privacidad de Israel si la ley así lo requiere.

11. Responsabilidad

La responsabilidad bajo este DPA se rige por las disposiciones de responsabilidad de los Términos de Servicio principales.

El Cliente acepta indemnizar a FRENZY.BOT por cualquier reclamación, daño o penalización que surja del incumplimiento del Cliente de sus obligaciones como Propietario de la Base de Datos, incluyendo la falta de registro de su base de datos, la falta de proporcionar los avisos requeridos o la falta de obtener los consentimientos necesarios.

12. Ley Aplicable

Este DPA se rige por las leyes del Estado de Israel. Cualquier disputa que surja de este DPA estará sujeta a la jurisdicción exclusiva de los tribunales competentes en Tel Aviv, Israel.

En caso de conflicto entre este DPA y los Términos de Servicio en materia de protección de datos, prevalecerán las disposiciones de este DPA.