NUEVOYa está disponible la primera herramienta de auditoría de visibilidad en IA para Web3.Ejecutar auditoría gratuita →
CompararSobre nosotrosClientesPartnersPrensaEstadoDocumentaciónRegístrate
Data Processing Agreement · Effective April 13, 2026

The DPA between Crawlux and you.

Obligaciones estándar del procesador, lista completa de subprocesadores, medidas de seguridad, líneas de tiempo de notificación de brechas y derechos de auditoría. Forma parte de los términos de servicio automáticamente. Sin firma separada necesaria para tiers estándar.

EffectiveApril 13, 2026
Subprocessors10 disclosed
Breach SLA72 hours
Subprocessor notice30 days
10Disclosed subprocessors
72hBreach notification SLA
30dSubprocessor change notice
90dData export window
SCCsFor all third-country transfers
Section 01
// Defined terms

Definiciones

Términos usados a lo largo de este DPA. Las definiciones se alinean con el GDPR (Regulación 2016/679) y la UK Data Protection Act 2018 donde aplique. Donde este DPA entra en conflicto con los términos generales de servicio, este DPA rige.

TermMeaning in this DPA
ControllerThe customer. Determines what personal data is submitted for audit and the purposes for processing.
ProcessorCrawlux. Processes personal data on the customer's behalf per documented audit instructions.
SubprocessorThird parties engaged by Crawlux to support audit processing (data providers, infrastructure, AI models).
Personal dataInformation identifying or relating to an identifiable natural person, as defined by GDPR Article 4.
Data subjectThe natural person to whom personal data relates.
ProcessingAny operation on personal data: collection, storage, modification, retrieval, transmission or deletion.
Personal data breachA security incident leading to accidental or unlawful destruction, loss, alteration or disclosure of personal data.
SCCsCláusulas Contractuales Estándar adopted by EU Commission Decision 2021/914 for third-country data transfers.
Section 02
// Processing scope

Qué procesa Crawlux y por qué

El procesamiento de auditoría está limitado por lo que el cliente envía y por el propósito documentado de la auditoría. Crawlux no procesa datos personales fuera de este alcance sin instrucciones documentadas separadas.

01

Subject matter

Auditoría SEO y AEO automatizada de los dominios enviados por el cliente. Incluye análisis SEO técnico, validación de schema, pruebas de citas de motores IA y medición de señales de autoridad.

02

Duration

El procesamiento continúa por el término del acuerdo con el cliente más 90 días para exportación de datos, luego eliminación permanente dentro de 14 días adicionales. Retención de backups hasta 90 días post-eliminación.

03

Categorías de datos personales

Email y nombre de cuenta. Contenido de dominio auditado (que puede contener incidentalmente datos personales publicados por el cliente). Firmas de autores. Perfiles públicos de autores enlazados desde el contenido auditado.

04

Categorías de sujetos de datos

Personal propio del cliente (titulares de cuenta). Autores nombrados en el contenido del dominio auditado. Profesionales de cara al público identificados en perfiles de autor. Crawlux no procesa datos de categoría especial por el Artículo 9 de GDPR.

La base legal es responsabilidad del cliente

El cliente (controlador) determina la base legal para procesar datos personales enviados vía dominios auditados. Crawlux procesa esa data bajo las instrucciones del cliente. Los clientes deben asegurarse de tener una base legal bajo el Artículo 6 de GDPR antes de enviar.

Section 03
// Authorized subprocessors

Lista de subprocesadores

Lista completa de subprocesadores contratados por Crawlux. Cada entrada muestra propósito, región y el mecanismo de transferencia para cualquier transferencia a terceros países. Los nuevos subprocesadores se anuncian 30 días antes del deployment vía el changelog y email a cuentas activas.

Amazon Web Servicios

Hosting de infraestructura primaria (compute, storage, networking, KMS).

EU PrimarySCCs
Infrastructure

Stripe

Procesamiento de pagos para compras de tier Pro y Team. Certificado PCI DSS nivel 1.

USSCCs
Payments

DataForSEO

Data de backlinks, data de rankings y análisis SERP usados en módulos de auditoría.

USSCCs
Audit data

CoinGecko

Data de mercado de tokens (precio, volumen, market cap) para validación de schema de tokens.

SGSCCs
Market data

DefiLlama

Data de TVL y métricas de protocolo para módulos de auditoría específicos de DeFi.

Global APIPublic data
On-chain data

Anthropic

API de Claude para componentes de análisis IA (clasificación de intent, pruebas de citas).

USSCCs
AI processing

OpenAI

API de ChatGPT para el componente de pruebas de citas de motor IA de la auditoría AEO.

USSCCs
AI testing

Perplexity

API de Perplexity para el componente de pruebas de citas de motor IA de la auditoría AEO.

USSCCs
AI testing

Google PageSpeed Insights

Métricas de page speed y data de Core Web Vitals para el módulo de SEO técnico.

USSCCs
Performance

Brevo

Entrega de newsletter, emails de confirmación double opt-in y broadcasts de email de marketing a suscriptores.

EU (France)EU primary
Marketing email

Postmark

Entrega de email transaccional (verificación de cuenta, finalización de auditoría, recibos).

EU RegionEU-resident
Email delivery

Derecho a objetar cambios de subprocesadores

Los clientes tienen 30 días para objetar nuevos subprocesadores antes de que sean desplegados. Las objeciones no resueltas le dan al cliente el derecho de terminar con un reembolso prorrateado. Los cambios de subprocesadores se anuncian vía changelog y email a cuentas activas.

Section 04
// Article 32 measures

Medidas técnicas y organizacionales de seguridad

The processor maintains technical and organizational measures appropriate to the risk per GDPR Article 32. Full details are in the security policy. The summary below maps each Article 32 element to the implementation.

Art. 32(1)(a)

Pseudonimización y encriptación

AES-256 en reposo, TLS 1.3 en tránsito. Claves manejadas por AWS KMS. Encriptación de envelope aislada por cliente para API keys y secretos de webhooks. Implementada a través de todos los tiers de datos.

Art. 32(1)(b)

Confidencialidad e integridad

Aislamiento VPC. Protección WAF y DDoS. Rutas autenticadas con tokens de sesión. Tokens CSRF para operaciones que cambian estado. Validación de input en cada frontera de API.

Art. 32(1)(c)

Disponibilidad y resiliencia

Replicación de backups cross-region (eu-west-1 primaria, eu-central-1 backup). Proceso documentado de respuesta a incidentes. RTO 4 horas para servicios críticos. RPO 24 horas para data de producción.

Art. 32(1)(d)

Pruebas regulares

Revisiones de seguridad internas trimestrales. Penetration testing externo anual. Programa de divulgación de vulnerabilidades con objetivos de respuesta atados a la severidad. Reglas de detección actualizadas post-incidente.

Art. 32(2)

Evaluación de riesgo

Evaluación anual de riesgo cubriendo panorama de amenazas, probabilidad de brecha e impacto potencial. Mitigaciones priorizadas por score combinado de probabilidad-e-impacto. Revisada trimestralmente entre evaluaciones completas.

Art. 32(4)

Obligaciones del personal

Todo el personal procesando datos personales firma acuerdos de confidencialidad. Background checks para roles de acceso a producción. Procedimientos documentados de onboarding y offboarding con revisión de acceso en cada paso.

Section 05
// Article 33 obligations

Línea de tiempo de notificación de brechas

Si Crawlux confirma una brecha de datos personales que afecta data del cliente, la notificación sigue la línea de tiempo abajo. El reloj de 72 horas empieza cuando Crawlux confirma la brecha, no cuando es detectada por primera vez. Las notificaciones iniciales pueden ser incompletas; los reportes detallados siguen.

T+0DetectionAutomated monitoring or external report flags potential incident. Investigation begins immediately.
T+1hContainmentAffected systems isolated. Compromised credentials revoked. Forensic state preserved.
T+4hConfirmationInvestigation determines whether a personal data breach actually occurred. 72-hour clock starts here.
T+72hCustomer notificationInitial notification to affected customers via account email and any DPA-specified addresses.
T+14dDetailed reportFull incident report with timeline, scope, root cause, remediation steps and recommendations.
T+30dClosure reportPost-incident review with implemented changes and verification of remediation effectiveness.

Obligaciones del cliente bajo el Artículo 33

Como controlador, el cliente es responsable de notificar a la autoridad supervisora dentro de 72 horas de tomar conciencia de una brecha. La notificación de Crawlux dispara el reloj del cliente. Los clientes deberían tener un procedimiento documentado de respuesta a incidentes y contacto regulatorio listo.

Section 06
// Article 28(3)(h) audit rights

Derechos de auditoría

Los clientes tienen el derecho a verificar el compliance de Crawlux con este DPA. Dos caminos están disponibles: la opción estándar (reportes anuales de attestation) y la opción negociada (auditorías iniciadas por el cliente para contratos Enterprise).

Standard

Reportes de attestation anuales

Disponibles ahora: AWS SOC 2 Type II, attestations ISO 27001 cubriendo controles de infraestructura heredados. En progreso: Crawlux SOC 2 Type II objetivo Q4 2026. Reportes solicitados vía [email protected] bajo NDA.

Enterprise

Auditorías iniciadas por el cliente

Negociable para contratos de tier Enterprise. Requisitos: 30 días de aviso por adelantado, NDA en su lugar, auditoría al costo del cliente, alcanzada al compliance con este DPA. No puede interrumpir las operaciones del servicio.

Fuera de alcance para auditorías

Lo siguiente no está sujeto a auditoría del cliente porque hacerlo comprometería la seguridad de otros clientes o expondría metodología propietaria:

  • Other customers' data, infrastructure or audit configurations
  • Proprietary methodology calibration data and weight tables
  • Internal personnel records beyond what is needed to verify the audit role
  • Source code outside of components specifically relevant to the DPA
  • Third-party subprocessor infrastructure (audit those providers separately)
Section 07
// Article 28(3)(e)

Solicitudes del sujeto de datos

El cliente es el controlador y es responsable de responder a solicitudes del sujeto de datos. Crawlux apoya al cliente en cumplir estas solicitudes como el procesador.

5d

Ventana de reenvío

Si un sujeto de datos contacta a Crawlux directamente con una solicitud que debería ser manejada por el cliente, la reenviamos al cliente dentro de 5 días hábiles y notificamos al sujeto de datos del reenvío.

10d

Ventana de soporte del procesador

Cuando el cliente necesita ayuda de Crawlux para cumplir una solicitud del sujeto de datos (exportación de datos, eliminación, rectificación), respondemos dentro de 10 días hábiles. Las solicitudes estándar más rápido, las complejas pueden necesitar extensión.

$0

Soporte razonable incluido

El soporte razonable está incluido en el precio de suscripción estándar. Las solicitudes excesivas o repetitivas pueden incurrir en comisiones por solicitud divulgadas por adelantado. Las solicitudes de mala fe pueden ser declinadas por el Artículo 12(5) de GDPR.

Section 08
// Article 28(3)(g)

Devolución y eliminación tras la terminación

Tras la terminación del acuerdo con el cliente, los datos personales del cliente se eliminan de acuerdo a la línea de tiempo abajo. Se puede solicitar una certificación de eliminación por escrito.

T+0TerminationSubscription ends. Account moves to read-only mode for data export.
T+90dExport window endsCustomer must export data via API or dashboard within 90 days. Read-only access removed.
T+104dProductoion deletionAll customer personal data deleted from production systems within 14 days after export window.
T+194dBackup deletionBackup copies aged out within 90 days of production deletion. No residual customer data remains.
On requestDeletion certificationWritten certification of deletion provided on request via [email protected] after T+194d.
Section 09
// Chapter V transfers

Transferencias internacionales de datos

Algunos subprocesadores están ubicados fuera del EEA y UK. Las transferencias a esos proveedores están regidas por Cláusulas Contractuales Estándar incorporadas por referencia en este DPA.

SCCs

Cláusulas Contractuales Estándar

Las SCCs de la Decisión de la Comisión UE 2021/914 aplican a todas las transferencias desde el EEA a terceros países. El adendum UK aplica a transferencias desde UK. Las SCCs incorporadas por referencia y vinculantes sin firma separada.

TIA

Transfer impact assessments

Para cada subprocesador de tercer país, Crawlux conduce una evaluación de impacto de transferencia evaluando el impacto de la ley local en las protecciones ofrecidas por las SCCs. Las medidas suplementarias se aplican donde el TIA identifica gaps.

// DPA Preguntas frecuentes

Preguntas comunes del DPA

Seis preguntas cubriendo aceptación del DPA, roles de controlador y procesador, objeciones de subprocesadores, manejo de brechas, derechos de auditoría y manejo de datos en la terminación.

Do I need a separate DPA with Crawlux?

No. Al aceptar los términos de servicio de Crawlux, aceptas el DPA como una parte integrada del acuerdo de servicio. El DPA forma parte del contrato automáticamente. Los clientes Enterprise que requieran un DPA standalone firmado pueden solicitar uno vía [email protected].

Who is the controller and who is the processor?

El cliente es el controlador de datos y determina qué datos personales se envían para auditoría. Crawlux es el procesador de datos y procesa la data enviada bajo las instrucciones del cliente por el propósito de la auditoría. Esto aplica a todos los clientes de tiers estándar incluyendo Free, Pro, Team y Enterprise.

Can I object to a subprocessor?

Sí. Los nuevos subprocesadores se anuncian 30 días antes del deployment. Durante la ventana de 30 días, puedes objetar vía [email protected]. Si tu objeción no puede ser resuelta, tienes el derecho a terminar tu suscripción con un reembolso prorrateado. Las suscripciones activas pueden revisar la lista actual de subprocesadores en cualquier momento.

How do you handle data breach notifications?

Las brechas confirmadas que afectan datos personales del cliente disparan la notificación dentro de 72 horas de la confirmación. La notificación inicial cubre lo que sabemos, lo que estamos haciendo y lo que los clientes deberían hacer. Un reporte detallado sigue dentro de 14 días. La notificación va al email de contacto en la cuenta más cualquier dirección especificada por el DPA.

Can I audit Crawlux as a processor?

Sí. La opción estándar es el reporte anual de attestation SOC 2 Type II (objetivo de finalización Q4 2026, attestation de AWS disponible ahora). Los contratos Enterprise pueden negociar auditorías iniciadas por el cliente. Las auditorías iniciadas por el cliente requieren un NDA, ocurren al costo del cliente y se programan con 30 días de aviso. No permitimos auditorías no anunciadas.

What happens to my data if I terminate?

Tras la terminación, tienes 90 días para exportar tu data vía la API o dashboard. Después de 90 días, todos los datos personales del cliente son permanentemente eliminados de los sistemas de producción dentro de 14 días adicionales. Las copias de backup se eliminan dentro de 90 días de la eliminación de producción. Se puede solicitar una certificación de eliminación vía [email protected].

DPA inquiries
// Contact

Contacto para asuntos del DPA

Los DPAs standalone firmados, objeciones de subprocesadores, solicitudes de auditoría, notificaciones de brechas y cualquier pregunta específica del DPA van al equipo legal.

Contacto legal del DPA

Email: [email protected]
Subject line: "DPA" plus topic
Standalone signed DPA: Available for Enterprise tier
Response window: 10 business days

For privacy-specific matters, see the privacy policy. For security details, see the security policy. For service terms, see the terms of service.

Lee el adendum GDPR a continuación

El adendum GDPR cubre los compromisos específicos de GDPR que suplementan este DPA. Matriz de base legal, derechos del sujeto de datos, autoridad supervisora y alineación ePrivacidad.

Read GDPR Addendum Política de privacidad
DPA v1.0 · Effective April 13, 2026 · 10 disclosed subprocessors · 72h breach SLA