Newsletter image

Subscribe to our Newsletter

Join 10k+ people to get notified about new posts, news and updates.

Do not worry we don't spam!

Elegir idioma

Français Français English English Español Español
Seleccionar tema:

Gobernanza de datos

Vigente desde el 16 de abril de 2026 — Conforme a la Ley 25 de Quebec y la LPRPDE.

1. Introducción

Este documento describe cómo Orfolio gestiona los datos a lo largo de su ciclo de vida, desde la recopilación hasta la eliminación, asegurando transparencia, seguridad y cumplimiento normativo.

2. Infraestructura y residencia de datos

  • Alojamiento principal: Microsoft Azure Canadá (Toronto).
  • Todos los datos personales se almacenan exclusivamente en Canadá.
  • Arquitectura multi-tenant con aislamiento lógico estricto entre cuentas.

3. Control de acceso

Principio de mínimo privilegio aplicado en todos los niveles:

  • Administradores: acceso limitado a la configuración del sistema, sin acceso directo al contenido del usuario.
  • Soporte: acceso restringido para resolución de problemas con registro explícito.
  • Desarrolladores: acceso solo al entorno de pruebas; producción requiere MFA y registro de auditoría.
  • DPO: supervisión global de políticas e incidentes.

La autenticación de dos factores (2FA) es obligatoria para todas las cuentas administrativas.

4. Supervisión y auditorías

  • Todas las acciones administrativas y accesos a datos se registran con marca de tiempo.
  • Registros conservados un mínimo de 6 meses, revisados regularmente.
  • Alertas automáticas ante cualquier intento de acceso no autorizado.
  • Análisis automatizado de vulnerabilidades de forma continua.

5. Copias de seguridad y recuperación ante desastres

  • Copias de seguridad de base de datos: semanales.
  • Copias de seguridad del contenido del usuario: semanales.
  • Retención de copias: 30 días, almacenamiento redundante en Canadá.

6. Notificación de incidentes

En caso de violación de datos, Orfolio se compromete a:

  • Notificar a los usuarios afectados en un plazo de 72 horas.
  • Reportar el incidente a la Commission d'accès à l'information du Québec (CAI).
  • Proporcionar información clara sobre la naturaleza de la violación y las medidas tomadas.

7. Conservación y eliminación

  • Suscriptores activos: duración de la suscripción + 30 días.
  • Cuentas inactivas: 6 meses sin actividad → eliminación.
  • Registros de facturación: 7 años.
  • Registros de auditoría: 12 meses.

Eliminación definitiva (producción + copias): dentro de los 30 días siguientes a la solicitud.

8. Proveedores terceros

Todos los terceros firman un acuerdo de procesamiento de datos (DPA) que garantiza el cumplimiento de la Ley 25:

  • Microsoft Azure — alojamiento en la nube.
  • Stripe — pagos (PCI-DSS).
  • OpenAI, Claude AI (Anthropic), Google (Gemini), DeepSeek — generación IA (elección del usuario).

Ningún dato se vende, alquila o comparte con anunciantes.

9. Tus derechos

Acceso, rectificación, eliminación, portabilidad (JSON/CSV), retiro del consentimiento. Plazo de procesamiento: 30 días.

Contacto: rgpd@orfolio.ca

10. Contacto

Responsable de protección de datos — Studio Orfolio
Montreal, QC, Canadá
Correo: rgpd@orfolio.ca

Última actualización: 16 de abril de 2026