El registro completo de DATRUM sobre cómo manejamos datos, aseguramos nuestra infraestructura, y nos alineamos a GDPR, PCI DSS y Ley 81 — escrito para que prospectos, auditores y equipos de procurement puedan verificar nuestras afirmaciones en una sola lectura. Si algo de esto no es preciso, envía un correo a [email protected] y lo corregimos.
Reglamento General de Protección de Datos de la UE
DATRUM actúa como responsable del tratamiento para los visitantes de jldatrum.com y como encargado del tratamiento para los proyectos de cliente que entregamos. Cumplimos con el Reglamento (UE) 2016/679 en ambos roles.
Base legal (Artículo 6)
Consentimiento — cookies de analítica (Google Analytics 4). Solo opt-in vía el banner. Storage_consent denegado por defecto hasta aceptación.
Interés legítimo — logs de solicitudes (Cloudflare) necesarios para entregar páginas y prevenir abuso. Sin identificadores de tracking almacenados.
Contrato — envíos del widget de diagnóstico (email + URL que nos proporcionas) usados para entregarte tu reporte PDF.
Transparencia (Artículos 13–14)
Qué datos recolectamos y por qué — divulgado en la sección 04 abajo y en la política de privacidad.
Algunos subprocesadores (Google, Cloudflare, GitHub, Calendly) están en EE.UU. Las transferencias se basan en el Marco de Privacidad de Datos UE–EE.UU. (cuando el subprocesador está certificado) y en Cláusulas Contractuales Estándar (SCC) como respaldo. El procesamiento de borde de Cloudflare ocurre regionalmente cuando es posible.
PCI DSS
PCI DSS — Cuestionario de Auto-Evaluación A
DATRUM no almacena, procesa, ni transmite datos de tarjeta en su propia infraestructura. Cuando entregamos proyectos de e-commerce para clientes, diseñamos flujos de pago que delegan completamente el manejo de datos de tarjeta a proveedores PCI DSS Nivel 1 — principalmente Stripe, con Adyen como alternativa.
Esa arquitectura significa que el merchant cliente califica para SAQ A — el nivel de cumplimiento PCI DSS más simple y de menor carga — y DATRUM como proveedor de servicios opera dentro de ese alcance.
✓Auto-Atestación SAQ A (PCI DSS v4.0.1)
En nombre de DATRUM, atestiguo que para el período cubierto por este documento, DATRUM:
No maneja, almacena, procesa, ni transmite directamente datos de cuenta (PAN, datos de autenticación sensibles) en ningún sistema controlado por DATRUM.
Delega toda aceptación y procesamiento de pagos a proveedores de servicios terceros PCI DSS Nivel 1 vía redirect o Stripe Elements / Stripe Checkout.
Implementa solo los controles aplicables al SAQ A — principalmente alrededor de contratar con proveedores conformes, asegurar URLs de páginas de pago contra manipulación, y verificar el cumplimiento del proveedor anualmente.
Mantiene en archivo una lista de atestaciones de Stripe y Adyen, y las re-verifica en cada ciclo de renovación.
Encuadre honesto: SAQ A es un nivel de auto-atestación — no una certificación auditada como SOC 2 o ISO 27001. Publicamos esta atestación para que los prospectos puedan verificar lo que afirmamos. Si necesitas un reporte PCI DSS auditado para contexto de merchant Nivel 1 / Nivel 2, eso está fuera del alcance de SAQ A; lo arquitectamos contigo y te referimos a un socio QSA.
Ley 81
Ley 81 de 2019 (Protección de Datos Personales de Panamá)
Cada sitio cliente que DATRUM entrega viene con controles de Ley 81 integrados — recolección explícita de consentimiento, mecanismos de acceso del titular, controles de retención, y preparación para notificación de brechas. Para nuestras operaciones en jldatrum.com, honramos los mismos controles porque mucha de nuestra base de visitantes está en Panamá.
El consentimiento se recolecta antes de cualquier procesamiento no esencial (Artículo 5).
Los derechos del titular se honran dentro de 15 días hábiles (Artículo 18) vía [email protected].
La retención se limita al periodo necesario para el propósito declarado (Artículo 6).
La autoridad supervisora panameña (ANTAI) es nuestra autoridad. Las quejas pueden presentarse en antai.gob.pa.
Analítica — IP anonimizada, vistas de página, clase de dispositivo. Fuente: Google Analytics 4 (requiere consentimiento). Propósito: comprensión de tráfico agregado. Retención: 14 meses (default GA4).
Envíos del diagnóstico — email + URL del sitio + respuestas del diagnóstico. Fuente: widget del Diagnóstico en la home. Propósito: generar y enviarte el reporte PDF. Retención: 24 meses salvo solicitud de eliminación.
Reservas de Calendly — nombre, email, hora de reunión, lo que escribas. Fuente: formulario de Calendly (solo se dispara si haces click en "Agendar"). Propósito: confirmar la reunión. Retención: según la política propia de Calendly.
No recolectamos: datos de tarjeta, números de identificación gubernamental, datos de salud, datos biométricos, ni ningún dato de "categoría especial" bajo el Artículo 9 del GDPR / Artículo 7 de la Ley 81.
Subprocesadores
Terceros que manejan datos en nuestro nombre
La lista completa y actualizada se mantiene en su propia página para poder actualizarla sin revisar este documento. Ver jldatrum.com/es/subprocessors para cada proveedor, qué reciben, por qué y dónde.
Tus Derechos
Derechos del titular y cómo ejercerlos
Acceso — solicita una copia de los datos que tenemos sobre ti (GDPR Artículo 15 / Ley 81 Artículo 13).
Supresión — elimina los datos que tenemos sobre ti (GDPR Artículo 17 / Ley 81 Artículo 15).
Limitación — pausa nuestro procesamiento mientras se resuelve una disputa (GDPR Artículo 18).
Portabilidad — recibe tus datos en formato estructurado legible por máquina (GDPR Artículo 20).
Oposición — opone al procesamiento basado en interés legítimo (GDPR Artículo 21).
Retirar consentimiento — re-abre el banner de cookies desde el enlace "Cookies" del footer, o escríbenos.
Envía un correo a [email protected] con tu solicitud. Respondemos dentro de 30 días (GDPR) o 15 días hábiles (Ley 81), lo que sea más corto para tu caso.
Infraestructura
Cómo DATRUM asegura sus propios sistemas
Hosting — Cloudflare Pages (desplegado en el borde, protegido contra DDoS, TLS 1.3 automático).
Seguridad de dominio y email — DKIM, SPF, DMARC aplicados para jldatrum.com. HSTS preload, CSP, X-Frame-Options configurados en cada respuesta. DNSSEC habilitado.
Código fuente — repositorio privado de GitHub con commits firmados requeridos y 2FA obligatorio para cualquier contribuidor.
Secretos — almacenados como secretos de Cloudflare Worker, nunca commiteados al código. Rotados ante cambios de personal.
Postura de backup — sitio estático (el historial de Git es el backup), el estado del worker se replica en el borde por Cloudflare.
Seguridad de endpoints — los dispositivos de trabajo de DATRUM usan cifrado de disco completo, firewall a nivel de SO, y gestores de contraseñas (sin contraseñas compartidas).
Respuesta a Incidentes
Respuesta a brechas
En el caso de una brecha confirmada que afecte datos personales, DATRUM:
Notificará a los titulares afectados sin demora indebida (GDPR Artículo 34 / Ley 81 Artículo 24).
Notificará a la autoridad supervisora relevante dentro de 72 horas de tener conocimiento (GDPR Artículo 33) — para Panamá, ANTAI; para titulares de la UE, la autoridad supervisora líder del lugar de residencia habitual del titular.
Publicará un post-mortem en /es/security dentro de 14 días describiendo qué pasó, qué datos se afectaron y qué mitigaciones están en lugar.
Reporta una vulnerabilidad sospechada o exposición de datos a [email protected]. Acusamos recibo dentro de 48 horas.