Subprocesadores

Proveedores previstos para prestar QLAC, con alcance, datos tratados y garantías pendientes de cierre contractual.

Información legal publicada para QLAC Audit.

Última actualización: 2026-05-11

1. Estado y alcance

Esta lista documenta proveedores actuales o previstos que pueden tratar datos personales o técnicos para prestar QLAC. Debe revisarse antes de contratos B2B finales y mantenerse actualizada cuando cambie arquitectura, hosting, billing, email, analytics o IA.

QLAC no almacena tarjetas ni datos bancarios. Paddle gestiona pagos, impuestos, facturas y medios de pago como proveedor especializado.

2. Lista inicial de proveedores

  • Vercel: hosting, despliegue, CDN, logs técnicos y Vercel Analytics opcional. Datos: IP, user agent, eventos agregados, metadatos técnicos y contenido público de la web.
  • Paddle: checkout, billing, impuestos, facturación, suscripciones y webhooks de estado. Datos: email, país, plan, moneda, estado de pago, referencias de factura y datos fiscales necesarios. QLAC no recibe números completos de tarjeta ni datos bancarios.
  • Proveedor de email transaccional pendiente de confirmar: emails de cuenta, recuperación, avisos de seguridad, cambio de contraseña, trials, billing y soporte. Datos: email, nombre, idioma y contenido estrictamente necesario del mensaje.
  • Proveedor de base de datos, colas y storage pendiente de confirmar para producción: almacenamiento de cuentas, proyectos, informes, evidencias, artefactos, snapshots y logs de seguridad según configuración final.
  • GitHub/GitLab: acceso a repositorios solo si el cliente conecta la integración. Datos: metadatos de repo, ramas, archivos autorizados y tokens cifrados con permisos mínimos.
  • Proveedor de IA opcional pendiente de activar: análisis asistido y generación de recomendaciones solo si existe feature flag, documentación, consentimiento o base contractual adecuada.
  • PostHog opcional: eventos explícitos de conversión cuando marketing_analytics esté activo y exista consentimiento analítico. Autocapture, pageview automático y session replay deben permanecer desactivados salvo revisión nueva.

3. Transferencias y garantías

Cuando un proveedor trate datos fuera del país del cliente o fuera del EEE, QLAC debe revisar DPA, SCCs o mecanismo equivalente, medidas suplementarias, ubicación, seguridad y retención antes de uso productivo.

4. Cambios y objeciones

Clientes B2B con DPA podrán solicitar notificación razonable de nuevos subprocesadores materiales y plantear objeciones justificadas si el cambio aumenta el riesgo o incumple instrucciones documentadas.

5. Borrado y devolución

Al terminar el servicio o ante una instrucción válida, QLAC deberá borrar, anonimizar o devolver datos conforme al contrato, retención técnica, obligaciones legales y copias de seguridad razonables.