Política de Tratamiento de DatosData Processing Policy
1Introducción y AlcanceIntroduction and Scope
Esta Política de Tratamiento de Datos complementa la Política de Privacidad de TEKFENIX y detalla las responsabilidades, medidas de seguridad y procedimientos aplicables al tratamiento de datos personales en el marco de la relación entre TEKFENIX y sus clientes.This Data Processing Policy complements the TEKFENIX Privacy Policy and details the responsibilities, security measures and procedures applicable to the processing of personal data in the context of the relationship between TEKFENIX and its customers.
Esta política aplica a todas las organizaciones que contraten los servicios y productos de TEKFENIX, independientemente de su sector o industria.This policy applies to all organizations that contract TEKFENIX services and products, regardless of their sector or industry.
2Marco Legal AplicableApplicable Legal Framework
El tratamiento de datos en TEKFENIX se rige por:Data processing at TEKFENIX is governed by:
- Ley 172-13 — Ley sobre Protección de Datos de Carácter Personal de la República Dominicana— Law on the Protection of Personal Data of the Dominican Republic
- Ley 126-02 — Ley de Comercio Electrónico, Documentos y Firmas Digitales— Law on Electronic Commerce, Documents and Digital Signatures
- Ley 53-07 — Ley sobre Crímenes y Delitos de Alta Tecnología— Law on High-Technology Crimes and Offenses
- Normativas sectoriales aplicables emitidas por los organismos reguladores correspondientesApplicable sector regulations issued by the relevant regulatory bodies
3Roles en el Tratamiento de DatosRoles in Data Processing
3.1 Responsable del tratamiento3.1 Data controller
El Cliente (la organización contratante) actúa como responsable del tratamiento de los datos personales que ingresa en los productos de TEKFENIX. Es el Cliente quien determina los fines y medios del tratamiento de los datos de sus usuarios finales y clientes.The Customer (the contracting organization) acts as the data controller of the personal data entered into TEKFENIX products. The Customer determines the purposes and means of processing the data of their end users and clients.
3.2 Encargado del tratamiento3.2 Data processor
TEKFENIX actúa como encargado del tratamiento, procesando los datos únicamente por cuenta y siguiendo las instrucciones del Cliente, conforme a estos términos y al contrato de servicio.TEKFENIX acts as data processor, processing data solely on behalf of and following the Customer's instructions, in accordance with these terms and the service agreement.
3.3 Obligaciones del Encargado3.3 Processor obligations
TEKFENIX, en su rol de encargado, se compromete a:TEKFENIX, in its role as data processor, commits to:
- Tratar los datos únicamente conforme a las instrucciones del ClienteProcess data solely in accordance with the Customer's instructions
- No ceder los datos a terceros salvo por obligación legalNot transfer data to third parties except when legally required
- Implementar las medidas de seguridad técnicas y organizativas descritas en esta políticaImplement the technical and organizational security measures described in this policy
- Notificar al Cliente sin demora indebida ante cualquier brecha de seguridad que afecte sus datosNotify the Customer without undue delay of any security breach affecting their data
- Eliminar o devolver los datos al Cliente a la terminación del servicioDelete or return data to the Customer upon termination of the service
- Mantener un registro interno de las actividades de tratamiento realizadasMaintain an internal record of processing activities performed
4Categorías de Datos TratadosCategories of Data Processed
TEKFENIX trata, por cuenta del Cliente, las siguientes categorías de datos:TEKFENIX processes, on behalf of the Customer, the following categories of data:
TEKFENIX no trata datos especialmente protegidos (datos de salud, origen racial, creencias religiosas, datos biométricos o datos financieros sensibles) de forma directa. Es responsabilidad del Cliente no incluir datos de estas categorías salvo que sea estrictamente necesario para la operación del servicio.TEKFENIX does not directly process specially protected data (health data, racial origin, religious beliefs, biometric data or sensitive financial data). It is the Customer's responsibility not to include data of these categories unless strictly necessary for the operation of the service.
5Medidas de Seguridad TécnicasTechnical Security Measures
TEKFENIX implementa las siguientes medidas de seguridad técnica:TEKFENIX implements the following technical security measures:
5.1 Control de acceso5.1 Access control
- Autenticación basada en JWT con rotación automática de tokensJWT-based authentication with automatic token rotation
- Autenticación de dos factores (2FA) mediante TOTP, activable por empresa o por rolTwo-factor authentication (2FA) via TOTP, activatable per company or role
- Políticas de contraseña configurables: longitud mínima, complejidad, expiración e historialConfigurable password policies: minimum length, complexity, expiration and history
- Bloqueo de cuenta por intentos fallidosAccount lockout for failed attempts
- Timeout de sesión inactiva configurableConfigurable inactive session timeout
5.2 Cifrado y transmisión segura5.2 Encryption and secure transmission
- Todas las comunicaciones se realizan sobre HTTPS/TLSAll communications are conducted over HTTPS/TLS
- Las contraseñas se almacenan con hash criptográfico seguroPasswords are stored with secure cryptographic hashing
- Los tokens de integración (OAuth) se almacenan cifrados en base de datosIntegration tokens (OAuth) are stored encrypted in the database
5.3 Auditoría y trazabilidad5.3 Audit and traceability
- Registro completo de las acciones realizadas: usuario, IP, fecha, hora y descripciónComplete log of actions performed: user, IP, date, time and description
- Los registros de auditoría no pueden ser modificados ni eliminados por los usuariosAudit logs cannot be modified or deleted by users
- Retención de registros de auditoría por un mínimo de 12 mesesRetention of audit logs for a minimum of 12 months
5.4 Aislamiento de datos5.4 Data isolation
- Arquitectura multi-tenant con aislamiento completo de datos por organizaciónMulti-tenant architecture with complete data isolation per organization
- Ningún usuario de una organización puede acceder a datos de otra organizaciónNo user from one organization can access data from another organization
- Las consultas a base de datos incluyen filtros de empresa en todas las operacionesDatabase queries include company filters in all operations
5.5 Continuidad y recuperación5.5 Continuity and recovery
- Backups periódicos con cifrado en reposoPeriodic backups with encryption at rest
- Procedimientos de recuperación ante desastres documentadosDocumented disaster recovery procedures
- Monitoreo continuo de disponibilidad del servicioContinuous service availability monitoring
6Medidas de Seguridad OrganizativasOrganizational Security Measures
- Acceso a los sistemas de producción restringido al personal estrictamente necesarioAccess to production systems restricted to strictly necessary personnel
- El personal con acceso a datos del Cliente está sujeto a obligaciones de confidencialidadPersonnel with access to Customer data are subject to confidentiality obligations
- Procedimiento documentado de gestión de incidentes de seguridadDocumented security incident management procedure
- Revisiones periódicas de los controles de seguridad implementadosPeriodic reviews of implemented security controls
7Gestión de Incidentes de SeguridadSecurity Incident Management
En caso de una brecha de seguridad que afecte datos del Cliente, TEKFENIX se compromete a:In the event of a security breach affecting Customer data, TEKFENIX commits to:
- Notificar al Cliente en un plazo máximo de 72 horas desde la detección del incidenteNotify the Customer within a maximum of 72 hours of detecting the incident
- Proporcionar información sobre la naturaleza del incidente, categorías de datos afectados y medidas adoptadasProvide information about the nature of the incident, categories of affected data and measures taken
- Colaborar con el Cliente en la gestión del incidente y la notificación a las autoridades competentes si fuera necesarioCollaborate with the Customer in managing the incident and notifying competent authorities if necessary
- Implementar las medidas correctivas necesarias para evitar la recurrenciaImplement the necessary corrective measures to prevent recurrence
La notificación se realizará al correo del administrador principal de la cuenta del Cliente.Notification will be sent to the email address of the primary administrator of the Customer's account.
8Subencargados del TratamientoSub-processors
TEKFENIX puede utilizar subencargados (proveedores de infraestructura, correo y servicios de IA) para la prestación del servicio. En todos los casos:TEKFENIX may use sub-processors (infrastructure, email and AI service providers) to deliver the service. In all cases:
- Los subencargados están sujetos a obligaciones de protección de datos equivalentes a las de esta políticaSub-processors are subject to data protection obligations equivalent to those in this policy
- TEKFENIX mantiene la responsabilidad ante el Cliente por el cumplimiento de los subencargadosTEKFENIX remains responsible to the Customer for sub-processor compliance
- El Cliente será informado de cualquier cambio en los subencargados principales con antelación razonableThe Customer will be informed of any changes to primary sub-processors with reasonable advance notice
9Transferencias InternacionalesInternational Transfers
La infraestructura de TEKFENIX puede estar ubicada en servidores fuera de la República Dominicana. Estas transferencias se realizan bajo las siguientes garantías:TEKFENIX's infrastructure may be located on servers outside the Dominican Republic. These transfers are carried out under the following safeguards:
- Acuerdos de procesamiento de datos con los proveedores de infraestructuraData processing agreements with infrastructure providers
- Selección de proveedores con certificaciones de seguridad reconocidas (ISO 27001 o equivalentes)Selection of providers with recognized security certifications (ISO 27001 or equivalent)
- Los datos nunca son transferidos a terceros para fines comercialesData is never transferred to third parties for commercial purposes
10Derechos de los Titulares de DatosRights of Data Subjects
Los usuarios de los productos (titulares de los datos) pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición conforme a la Ley 172-13. El ejercicio de estos derechos se gestiona a través del Cliente (responsable del tratamiento). TEKFENIX colaborará con el Cliente para facilitar el ejercicio de estos derechos en un plazo máximo de 15 días hábiles.Users of the products (data subjects) may exercise their rights of access, rectification, cancellation and opposition in accordance with Law 172-13. The exercise of these rights is managed through the Customer (data controller). TEKFENIX will collaborate with the Customer to facilitate the exercise of these rights within a maximum of 15 business days.
11Vigencia y ModificacionesValidity and Modifications
Esta política está vigente desde su fecha de publicación. El Proveedor podrá actualizarla para reflejar cambios en la normativa aplicable o en las prácticas de seguridad. Las modificaciones relevantes serán notificadas al Cliente con antelación razonable.This policy is effective from its publication date. The Provider may update it to reflect changes in applicable regulations or security practices. Relevant modifications will be notified to the Customer with reasonable advance notice.
12ContactoContact
Para consultas sobre esta política o para ejercer derechos sobre datos personales:For inquiries about this policy or to exercise personal data rights:
CorreoEmail: [email protected]
Sitio webWebsite: tekfenix.com