Acuerdo de procesamiento de datos
Cuando The Octane procesa datos personales en nombre de un cliente empresarial que actúa como responsable del tratamiento, The Octane actúa como encargado bajo este DPA. Vigente desde 2026-06-17.
Roles
The Octane es el encargado del tratamiento. El cliente empresarial es el responsable de los datos de miembros del equipo y transacciones.
Procesamos datos solo según instrucciones documentadas del responsable.
Seguridad
Aplicamos medidas técnicas y organizativas adecuadas: cifrado en reposo y en tránsito, control de acceso basado en roles, registros de auditoría y revisiones de seguridad periódicas.
Subencargados
Usamos los siguientes subencargados: Supabase (Zúrich, base de datos + auth + almacenamiento), Resend (entrega de correos), Vercel (hosting), Stripe (pagos).
Notificaremos a los responsables de cambios relevantes en subencargados con al menos 30 días de antelación.
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Supabase Inc. | Managed Postgres database, Auth and Storage for all user data. | Switzerland (Zurich region, eu-central-2) |
| Vercel Inc. | Application hosting, edge delivery, build artefacts. | Global edge with European primary region |
| Resend (Plus Five Five, Inc.) | Transactional and authentication email delivery (verification codes, password resets, invitations, alerts), via SMTP relay. | United States / EU |
| Stripe Payments Europe, Ltd. | Subscription billing and payment processing. Card data is entered directly with Stripe and never reaches The Octane's servers. | Ireland / United States |
| GitHub Inc. | Source code hosting, CI, cron scheduling for background jobs. | United States |
| Functional Software, Inc. (Sentry) | Error and performance telemetry. Only active when SENTRY_DSN is set; all events pass through The Octane's PII scrubber before leaving the process. | United States |
| Amazon CloudFront | Static asset delivery for the marketing hero video. | Global edge |
Derechos de los interesados
Asistimos a los responsables en la atención de solicitudes de derechos (acceso, rectificación, supresión, portabilidad) en un plazo de 72 horas desde la recepción de la solicitud.
Notificación de brechas
Notificamos a los responsables de una brecha de datos personales confirmada en un plazo de 72 horas desde que tenemos conocimiento, incluyendo la naturaleza de la brecha, las categorías de datos afectadas y los pasos de remediación tomados.