1. Roles
El Cliente actúa como Responsable del Tratamiento. Ágil Chile SpA, como operador de VigIA, actúa como Encargado del Tratamiento. Cuando los modelos consumen datos vía IA Gateway, los proveedores subyacentes actúan como Subencargados bajo políticas de no entrenamiento.
2. Objeto, duración y naturaleza del tratamiento
Procesamiento de telemetría de seguridad, configuraciones, inventarios y eventos generados por el Cliente durante la vigencia del contrato principal, con la finalidad de prestar los módulos de VigIA.
3. Categorías de datos
Eventos SIEM/EDR, hits de honeypots, payloads capturados, inventario de activos, identificadores técnicos de usuarios internos del Cliente (cuentas de servicio, IPs, hostnames). No se procesan datos personales sensibles de clientes finales del Cliente salvo instrucción escrita.
4. Instrucciones documentadas
El Encargado procesará los datos únicamente según instrucciones documentadas del Responsable, las del contrato principal y la configuración hecha por los administradores del tenant. Informará al Responsable si una instrucción infringe la normativa aplicable.
5. Medidas técnicas y organizativas
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Multi-tenant con Row-Level Security en base de datos.
- MFA obligatorio para roles administrativos.
- Segregación de ambientes dev / staging / prod.
- Backups cifrados con retención de 30 días.
- Auditoría completa de acciones administrativas con 24 meses de retención.
- Revisión trimestral de accesos y rotación de credenciales de servicio.
6. Subencargados autorizados
El Responsable autoriza el uso de los siguientes subencargados, con notificación previa de 30 días para cualquier cambio:
- Supabase Inc. — base de datos y autenticación.
- Cloudflare Inc. — edge functions, WAF y CDN.
- Resend — email transaccional.
- Stripe / Paddle — procesamiento de pagos (cuando aplique).
- Proveedor de IA Gateway — inferencia de modelos con política de no entrenamiento.
7. Notificación de incidentes
El Encargado notificará al Responsable cualquier violación de seguridad que afecte datos personales dentro de las 72 horas siguientes a su detección, indicando naturaleza, categorías afectadas, medidas adoptadas y punto de contacto.
8. Asistencia al Responsable
El Encargado asistirá al Responsable, en la medida que la naturaleza del tratamiento lo permita, en el cumplimiento de las solicitudes de los titulares (acceso, rectificación, cancelación, oposición, portabilidad) y en evaluaciones de impacto.
9. Auditoría
El Responsable podrá realizar una auditoría documental anual y, para contratos Enterprise, una auditoría in situ con preaviso de 30 días, durante horario laboral, sin afectar la operación de otros clientes.
10. Devolución y supresión
Al término del contrato, el Encargado devolverá o suprimirá los datos del Cliente según instrucción escrita, dentro de los 30 días siguientes, salvo obligación legal de conservación.
11. Firma
La firma del contrato marco o de la orden de compra de VigIA implica la aceptación íntegra del presente DPA. Clientes Enterprise pueden negociar anexos específicos.