PriceVault PriceVault
  • Funciones
  • Capacidades
  • Herramientas
  • Casos
  • Cómo funciona
  • FAQ
  • API
Empezar gratis →
Protección de datos

Acuerdo de Encargo de Tratamiento

Contrato de encargo de tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), que regula el tratamiento por PriceVault de los datos personales que el Cliente introduce en la Plataforma.

Última actualización: julio de 2026
Contenido
  1. Objeto y ámbito
  2. Definiciones
  3. Partes y roles
  4. Aceptación y prelación
  5. Instrucciones del Responsable
  6. Obligaciones del Responsable
  7. Duración
  8. Confidencialidad
  9. Medidas de seguridad
  10. Subencargados
  11. Derechos de los interesados
  12. Violaciones de seguridad
  13. Supresión o devolución
  14. Auditorías
  15. Transferencias internacionales
  16. Tratamiento vía API y MCP
  17. Modelos de inteligencia artificial
  18. Responsabilidad
  19. Modificación y versiones
  20. Notificaciones y ley aplicable
  21. Anexo I — Descripción del tratamiento
  22. Anexo II — Medidas técnicas
  23. Anexo III — Subencargados

1. Objeto y ámbito de aplicación

El presente Acuerdo de Encargo de Tratamiento (en adelante, «el Acuerdo» o «DPA») regula el tratamiento por parte de Abarca Inteligencia Artificial, S.L. (en adelante, «PriceVault») de los datos personales que el Cliente introduce en la Plataforma o a los que da acceso a través de ella, en el marco de la prestación del servicio descrito en los Términos y Condiciones de Uso.

Este Acuerdo se aplica igualmente a los datos de las personas físicas a las que el Cliente da acceso a la Plataforma como usuarios autorizados, en la medida en que PriceVault los trate para prestarle el servicio contratado.

Este Acuerdo no se aplica a los datos de registro, contacto y facturación de la propia cuenta del Cliente, respecto de los cuales PriceVault actúa como responsable del tratamiento y cuyo tratamiento se describe en la Política de Privacidad.

2. Definiciones

Para evitar ambigüedades, en este Acuerdo:

  • «el Cliente» (siempre en mayúscula) es la entidad profesional que contrata la Plataforma —asesoría energética, comercializadora u otra— y que se corresponde con «el Cliente» o «el Usuario» de los Términos y Condiciones. Es el responsable del tratamiento.
  • «la cartera» es el conjunto de entradas que el Cliente da de alta en la Plataforma para organizar su actividad. En la interfaz y en la API estas entradas aparecen como «clientes» o «asesorías» y se identifican con el parámetro client_id. No son parte de este contrato: son el contenido que el Cliente gestiona.
  • «cliente final» es la persona a la que se refiere una entrada de la cartera o los datos que el Cliente introduce. Cuando es una persona física, es un interesado a efectos del RGPD.
  • «la Plataforma» comprende la interfaz web, la API REST y el servidor MCP.

3. Partes y roles

  • El Cliente actúa como responsable del tratamiento: determina los fines y los medios del tratamiento y garantiza disponer de una base jurídica válida para los datos que introduce.
  • PriceVault actúa como encargado del tratamiento y trata dichos datos únicamente por cuenta del Cliente y conforme a sus instrucciones.

Este doble rol se explica también en la Política de Privacidad.

4. Aceptación, integración y prelación

Este Acuerdo se incorpora por referencia a los Términos y Condiciones de Uso y forma parte integrante de ellos. La contratación o el uso de la Plataforma implica su aceptación, sin necesidad de firma separada.

Si el Cliente necesita un ejemplar firmado de forma bilateral, puede solicitarlo en info@abarcaia.com.

En caso de contradicción entre documentos, prevalecerá este Acuerdo en todo lo relativo al tratamiento de datos personales por cuenta del Cliente, incluidas las consecuencias económicas que este Acuerdo prevé expresamente, y los Términos y Condiciones en el resto de materias.

5. Instrucciones documentadas del Responsable

PriceVault tratará los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluidas las relativas a las transferencias internacionales, salvo que le obligue a otra cosa el Derecho de la Unión o de los Estados miembros que le sea aplicable; en tal caso, informará al Cliente de esa exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones de interés público.

Constituyen instrucciones documentadas del Cliente, a los efectos de este Acuerdo:

  • Este Acuerdo y los Términos y Condiciones de Uso.
  • El uso que el Cliente hace de la Plataforma a través de la interfaz web, de la API REST y del servidor MCP, incluidas las operaciones de consulta, alta, modificación, cálculo y exportación que ejecute o configure.
  • Cualquier instrucción adicional que el Cliente comunique por escrito a la dirección indicada en la cláusula 20, durante toda la vigencia del Acuerdo.

PriceVault no tratará los datos para fines propios, ni los cederá a terceros salvo a los subencargados previstos en el Anexo III o por obligación legal.

Si PriceVault considera que una instrucción del Cliente infringe la normativa de protección de datos, le informará de inmediato y podrá suspender su ejecución hasta que el Cliente la confirme, modifique o retire, sin que dicha suspensión constituya incumplimiento del Acuerdo.

Si PriceVault considera que una instrucción excede del alcance del servicio contratado, lo comunicará al Cliente en el plazo de diez (10) días hábiles, indicando los motivos y, en su caso, el coste de su ejecución.

6. Obligaciones y derechos del Responsable

El Cliente, en su condición de responsable del tratamiento:

  • Garantiza que dispone de base jurídica válida para el tratamiento y que ha informado a los interesados conforme a los artículos 13 y 14 del RGPD.
  • Garantiza la exactitud, pertinencia y minimización de los datos que introduce en la Plataforma.
  • Mantiene el registro de actividades de tratamiento del artículo 30.1 del RGPD.
  • Custodia las credenciales de acceso y las claves de API, y notifica sin dilación su pérdida o compromiso.
  • No introduce categorías especiales de datos ni datos relativos a condenas e infracciones penales.
  • Determina el destino de los datos a la finalización del Acuerdo.

El Cliente tiene derecho a impartir instrucciones documentadas adicionales durante toda la vigencia del Acuerdo, a recibir la información y realizar las auditorías previstas en la cláusula 14, a elegir entre la supresión y la devolución de los datos conforme a la cláusula 13, y a oponerse a los subencargados conforme a la cláusula 10.

7. Duración

Este Acuerdo entra en vigor con la aceptación de los Términos y Condiciones y permanece vigente mientras PriceVault trate datos personales por cuenta del Cliente, es decir, mientras dure la relación contractual y hasta que se complete la supresión o devolución de los datos conforme a la cláusula 13.

8. Confidencialidad

PriceVault garantiza que las personas autorizadas para tratar los datos personales por cuenta del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria, y que dicho deber subsiste tras la finalización de su relación con PriceVault.

El acceso a los datos se limita al personal que lo necesite para prestar el servicio, mantener la Plataforma o atender una incidencia, conforme al principio de mínimo privilegio.

9. Medidas de seguridad

PriceVault aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. Las medidas vigentes se detallan en el Anexo II.

PriceVault podrá actualizar dichas medidas para adaptarlas a la evolución técnica, siempre que ello no suponga una disminución del nivel de seguridad, e informará al Cliente de los cambios sustanciales conforme a la cláusula 19. Ningún sistema es invulnerable: PriceVault no garantiza una seguridad absoluta, sino un nivel de protección acorde al riesgo y al estado de la técnica.

10. Subencargados

El Cliente otorga a PriceVault una autorización general para recurrir a otros encargados (subencargados) para la prestación del servicio. Los subencargados vigentes en cada momento son los relacionados en el Anexo III.

Antes de recurrir a un subencargado, PriceVault verificará que ofrece garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas, y suscribirá con él un contrato que le imponga las mismas obligaciones de protección de datos que las establecidas en este Acuerdo, incorporando cuando proceda las garantías del Capítulo V del RGPD. PriceVault seguirá siendo plenamente responsable ante el Cliente del cumplimiento de dichas obligaciones. A solicitud escrita del Cliente, PriceVault le facilitará copia de dicho contrato, de la que podrá expurgar la información comercial confidencial.

PriceVault informará al Cliente de la incorporación o sustitución de un subencargado con una antelación mínima de treinta (30) días naturales, mediante correo electrónico dirigido a la dirección asociada a su cuenta, sin perjuicio de la actualización simultánea del Anexo III. El Cliente podrá oponerse en el plazo de quince (15) días naturales desde el envío del aviso, por motivos razonables y documentados relativos a la protección de datos. Mientras la oposición esté pendiente de resolución, el subencargado objeto de la misma no tratará datos personales por cuenta del Cliente. Si la objeción no puede resolverse de mutuo acuerdo en el plazo de treinta (30) días, el Cliente podrá resolver la suscripción sin penalización, con derecho al reembolso de la parte proporcional no consumida del periodo abonado.

11. Asistencia en los derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, PriceVault asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición), así como con la obligación de comunicación del artículo 19 del RGPD.

Si un interesado dirige su solicitud directamente a PriceVault, esta no la responderá por su cuenta: la trasladará al Cliente en el plazo máximo de cuarenta y ocho (48) horas e informará al interesado de que debe dirigirse al responsable del tratamiento.

La Plataforma permite al Cliente consultar, rectificar y desactivar por sí mismo los registros que ha introducido, así como exportarlos conforme a la cláusula 13. Las solicitudes que excedan de esas funcionalidades se atenderán de forma asistida por PriceVault en el plazo máximo de diez (10) días naturales desde la petición escrita del Cliente, o en un plazo inferior si este lo justifica por la proximidad del vencimiento del plazo de un mes que le impone el artículo 12.3 del RGPD.

Esta asistencia se presta sin coste adicional, salvo que las solicitudes sean manifiestamente desproporcionadas en número o complejidad, en cuyo caso PriceVault comunicará previamente al Cliente el coste estimado.

12. Violaciones de seguridad y evaluaciones de impacto

PriceVault notificará al Cliente cualquier violación de la seguridad de los datos personales de la que tenga conocimiento y que afecte a los datos tratados por su cuenta, sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a que tenga constancia de ella. La notificación se dirigirá a la dirección de correo asociada a la cuenta del Cliente e incluirá, en la medida en que se disponga de ella:

  • La naturaleza de la violación y, cuando sea posible, las categorías y el número aproximado de interesados y de registros afectados.
  • Las consecuencias probables.
  • Las medidas adoptadas o propuestas para poner remedio y, en su caso, mitigar los posibles efectos negativos.
  • Un punto de contacto para obtener más información.

Cuando la información no pueda facilitarse de forma simultánea, se proporcionará de manera gradual sin dilación indebida.

Corresponde al Cliente, como responsable, valorar la notificación a la autoridad de control y la comunicación a los interesados. PriceVault le asistirá en ambas, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, facilitándole lo necesario para cumplir los plazos de los artículos 33 y 34 del RGPD, así como en el cumplimiento de sus obligaciones conforme a los artículos 32, 35 (evaluación de impacto) y 36 (consulta previa).

PriceVault documentará toda violación de seguridad, incluidos los hechos, sus efectos y las medidas correctivas adoptadas, conforme al artículo 33.5 del RGPD, y conservará y pondrá a disposición del Cliente dicha documentación y las evidencias técnicas asociadas mientras sean necesarias.

13. Supresión o devolución de los datos

A elección del Cliente, PriceVault suprimirá o devolverá todos los datos personales tratados por su cuenta una vez finalizada la prestación del servicio, y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación.

Desde la finalización del servicio, PriceVault cesará todo tratamiento activo de los datos y se limitará a su conservación segura hasta la supresión o devolución.

  • Devolución. Mientras su cuenta siga activa, el Cliente puede exportar por sí mismo las tarifas que ha introducido: en formato de hoja de cálculo desde la interfaz de la Plataforma, y en formato CSV a través de la API. El resto de la información, incluida la relación de entradas de su cartera, es accesible en formato JSON a través de la API. A solicitud escrita, PriceVault facilitará una copia completa en un formato estructurado de uso común en el plazo de treinta (30) días naturales.
  • Supresión. A solicitud escrita del Cliente, PriceVault suprimirá los datos en el plazo de treinta (30) días naturales. La supresión se ejecuta de forma asistida por el personal de PriceVault; la Plataforma no ofrece hoy una función de borrado íntegro de la cuenta en autoservicio.
  • Certificación. A solicitud del Cliente, PriceVault emitirá certificación escrita de la supresión efectuada, con indicación de su fecha y alcance.
  • Copias de seguridad. Los datos pueden persistir en las copias de seguridad del proveedor de base de datos hasta que expire el plazo de retención propio del plan contratado, tras el cual se eliminan de forma automática. Durante ese periodo permanecen protegidos por las medidas del Anexo II y no se someten a ningún tratamiento activo.
  • Registros de uso. Los metadatos de uso de la API descritos en la cláusula 16 se eliminan mediante una tarea automática diaria una vez transcurridos 365 días.

Si el Cliente no manifiesta su elección en el plazo de treinta (30) días naturales desde la finalización del servicio, PriceVault conservará los datos para permitir la reactivación de la cuenta y los suprimirá transcurridos noventa (90) días naturales desde dicha finalización, sin necesidad de requerimiento adicional.

14. Auditorías e inspecciones

PriceVault pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, incluido su registro de actividades de tratamiento del artículo 30.2, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de un auditor autorizado por él.

Con carácter previo, PriceVault podrá proponer atender la solicitud facilitando la documentación descriptiva de sus medidas de seguridad o respondiendo a un cuestionario. Si el Cliente motiva razonadamente que dicha información no resulta suficiente para verificar el cumplimiento, la auditoría se realizará en las siguientes condiciones:

  • Con un preaviso mínimo de treinta (30) días naturales, salvo requerimiento de una autoridad de control o incidente de seguridad acreditado.
  • Con una frecuencia máxima de una vez al año, salvo que exista una causa justificada.
  • En horario laboral, sin interferir en la prestación del servicio y sin acceso a datos de otros Clientes de PriceVault.
  • Sujeta a un compromiso previo de confidencialidad por parte del Cliente y del auditor.
  • A costa del Cliente, salvo que la auditoría revele un incumplimiento imputable a PriceVault.

PriceVault cooperará con la autoridad de control competente en el ejercicio de sus funciones conforme al artículo 31 del RGPD y permitirá las inspecciones que aquella acuerde, sin sujeción al preaviso ni a la frecuencia previstos en esta cláusula.

15. Transferencias internacionales

El servidor de aplicación está alojado en la Unión Europea. La base de datos es un servicio gestionado cuya región se indica en el Anexo III. Algunos de los subencargados del Anexo III pueden tratar datos fuera del Espacio Económico Europeo.

En esos casos, las transferencias se amparan en las garantías adecuadas del Capítulo V del RGPD, principalmente las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o, cuando resulten aplicables, decisiones de adecuación. El Cliente puede solicitar información sobre dichas garantías en info@abarcaia.com.

16. Tratamiento a través de la API y del servidor MCP

El Cliente puede utilizar la Plataforma a través de su API REST y de su servidor MCP (Model Context Protocol), que permite a un agente de inteligencia artificial consultar el catálogo de tarifas como herramienta. Este uso está expresamente cubierto por el presente Acuerdo.

Naturaleza del tratamiento

El tratamiento realizado a través de la API y del MCP tiene la misma naturaleza y finalidad que el realizado a través de la interfaz web: consultar, gestionar y calcular sobre las tarifas del Cliente. No constituye un tratamiento distinto ni requiere una instrucción separada.

Datos de consumo

Los endpoints de cálculo y recomendación reciben perfiles de consumo energético (consumo por periodo, potencia contratada y parámetros análogos). Estos datos:

  • Se tratan de forma transitoria y en memoria, únicamente para calcular y devolver el resultado de la petición.
  • No se almacenan en la base de datos de PriceVault.
  • No van acompañados de ningún identificador de persona: la Plataforma no solicita ni almacena el CUPS, el DNI o el nombre del cliente final en estas operaciones.

Registro de uso

De cada llamada autenticada a la API se registra un asiento con únicamente estos metadatos: la clave de API empleada, la ruta del endpoint (sin los parámetros de la consulta), el código de estado, el tiempo de respuesta y la fecha. No se registra el cuerpo de la petición ni, por tanto, los datos de consumo. Estos registros se eliminan mediante una tarea automática diaria una vez transcurridos 365 días.

Con independencia de lo anterior, cuando se produce un error en la aplicación, el servicio de diagnóstico indicado en el Anexo III recibe la ruta y los parámetros de la consulta de la petición que lo provocó, que en algunos endpoints de consulta pueden incluir criterios de filtrado. No recibe el cuerpo de la petición.

Aislamiento entre entradas de la cartera

Las claves de API pueden vincularse a una única entrada de la cartera del Cliente. Cuando lo están, el acceso queda limitado a los datos asociados a esa entrada y cualquier intento de consultar otra distinta se rechaza, sin perjuicio del acceso a los recursos comunes de la organización que no contienen datos personales, como el catálogo de comercializadoras. Las claves generadas para el MCP se acuñan además con permisos de solo lectura y nunca incluyen el permiso de consulta de la cartera.

Proveedores de inteligencia artificial contratados por el Cliente. Cuando el Cliente conecta al servidor MCP un agente o modelo de inteligencia artificial de un tercero (por ejemplo, Claude, ChatGPT o el modelo integrado en su herramienta de automatización), es el Cliente quien selecciona y contrata a ese proveedor. Dicho proveedor es, por tanto, subencargado del Cliente y no de PriceVault: no figura en el Anexo III, PriceVault no lo controla y no responde de su actuación.

La comunicación de datos a ese agente constituye una instrucción documentada del Cliente a los efectos de la cláusula 5, y la eventual transferencia internacional que de ella se derive se realiza bajo la exclusiva responsabilidad del Cliente. Corresponde al Cliente disponer de base jurídica válida y de un acuerdo de tratamiento de datos con dicho proveedor.

17. Modelos de inteligencia artificial

PriceVault no utiliza los datos personales tratados por cuenta del Cliente para entrenar, ajustar ni evaluar modelos de inteligencia artificial, ni propios ni de terceros, ni los cede con esa finalidad.

Si en el futuro PriceVault incorporase alguna funcionalidad que implique el envío de datos del Cliente a un proveedor de inteligencia artificial contratado por PriceVault, dicho proveedor se incorporaría al Anexo III como subencargado, con el preaviso y el derecho de oposición previstos en la cláusula 10.

18. Responsabilidad

Cada parte responde de los daños que cause por el incumplimiento de las obligaciones que el RGPD le impone específicamente, conforme a su artículo 82. El Cliente garantiza la licitud de los datos que introduce y responde de disponer de la base jurídica y de haber informado a los interesados.

Las limitaciones de responsabilidad pactadas en los Términos y Condiciones de Uso resultan de aplicación a este Acuerdo, con las siguientes excepciones. No serán de aplicación a:

  • Los daños derivados del incumplimiento por PriceVault de las obligaciones que este Acuerdo o el RGPD le imponen como encargado del tratamiento.
  • Las sanciones administrativas firmes impuestas al Cliente por una autoridad de control que traigan causa directa de dicho incumplimiento.
  • Los supuestos de dolo o culpa grave.

La pérdida o destrucción de los datos personales tratados por cuenta del Cliente no tendrá en ningún caso la consideración de daño indirecto.

El Cliente mantendrá indemne a PriceVault frente a las reclamaciones de terceros derivadas de la introducción de datos sin base jurídica válida o de categorías especiales de datos, cuyo contenido PriceVault no está obligada a inspeccionar ni filtrar.

19. Modificación y versiones

PriceVault podrá modificar este Acuerdo únicamente para adaptarlo a cambios normativos, a resoluciones de las autoridades de control o a la evolución técnica del servicio, y siempre que la modificación no reduzca el nivel de protección de los datos ni los derechos del Cliente.

Toda modificación sustancial se comunicará al Cliente por correo electrónico con una antelación mínima de treinta (30) días naturales. Si el Cliente no la acepta, podrá resolver la suscripción sin penalización dentro de ese plazo, con reembolso de la parte proporcional no consumida del periodo abonado.

PriceVault conservará las versiones anteriores de este Acuerdo y de sus Anexos, con indicación de sus fechas de vigencia, y las facilitará al Cliente a solicitud escrita, de modo que este pueda acreditar qué condiciones y qué subencargados estaban vigentes en una fecha determinada.

20. Notificaciones, ley aplicable y jurisdicción

Las comunicaciones relativas a este Acuerdo, incluidas las instrucciones adicionales, las objeciones a subencargados y las solicitudes de supresión, devolución o auditoría, se dirigirán a info@abarcaia.com. Las comunicaciones de PriceVault al Cliente se dirigirán a la dirección de correo asociada a su cuenta.

Este Acuerdo se rige por el Reglamento (UE) 2016/679 (RGPD) y por la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, siendo la Agencia Española de Protección de Datos la autoridad de control competente. En lo demás, resultan de aplicación la ley y la jurisdicción previstas en los Términos y Condiciones de Uso.

Anexo I — Descripción del tratamiento

Objeto Prestación del servicio SaaS de gestión, comparación y cálculo de tarifas de luz y gas descrito en los Términos y Condiciones.
Naturaleza y finalidad Alojamiento, almacenamiento, consulta, estructuración, cálculo y exportación de la información que el Cliente introduce, con la única finalidad de prestarle el servicio contratado.
Duración Mientras dure la relación contractual y hasta la supresión o devolución de los datos conforme a la cláusula 13.
Categorías de interesados
  • Personas físicas y empresarios individuales que figuren como clientes finales en la cartera del Cliente.
  • Personas físicas de contacto de las personas jurídicas que integran dicha cartera.
  • Usuarios autorizados por el Cliente para acceder a la Plataforma.
  • Cualesquiera otras personas físicas cuyos datos el Cliente incluya en los archivos que sube.
Categorías de datos
  • Datos identificativos de la cartera: la denominación que el Cliente asigna a cada entrada. Es un campo de texto libre: si el Cliente consigna el nombre de una persona física o de un empresario individual, constituirá un dato personal.
  • Datos de consumo energético: perfiles de consumo y potencia enviados a los endpoints de cálculo. Se tratan de forma transitoria y no se almacenan.
  • Imágenes que el Cliente asocia a las entradas de su cartera, alojadas conforme al Anexo III.
  • Datos extraídos de los archivos que el Cliente sube: las tarifas contenidas en las hojas de cálculo. El archivo original no se conserva: se procesa de forma transitoria y de él se guardan el nombre, el tamaño, una huella criptográfica y el resultado del procesado.
  • Datos de los usuarios autorizados del Cliente: nombre y dirección de correo electrónico.
  • Metadatos de uso: los descritos en la cláusula 16.
Categorías especiales La Plataforma no está diseñada para tratar categorías especiales de datos (artículo 9 del RGPD) ni datos relativos a condenas e infracciones penales. El Cliente se compromete a no introducirlos, conforme a la cláusula 6.

Anexo II — Medidas técnicas y organizativas

Medidas vigentes en la fecha de última actualización de este documento:

  • Cifrado en tránsito. Las comunicaciones con la Plataforma y con la API viajan cifradas mediante TLS, con certificados renovados automáticamente, y la cookie de sesión se marca como segura para impedir su envío por canales no cifrados.
  • Cifrado en reposo. La base de datos y sus copias de seguridad se almacenan cifradas por el proveedor del servicio gestionado.
  • Credenciales de acceso. Las contraseñas se almacenan mediante una función de derivación con sal individual por cuenta (bcrypt); nunca en claro ni de forma reversible.
  • Claves de API. Se generan con 256 bits de entropía criptográfica y se almacenan únicamente como resumen criptográfico (SHA-256) junto a un prefijo de identificación. La clave completa se muestra una sola vez en el momento de su creación y no puede recuperarse después. Admiten caducidad opcional y revocación inmediata.
  • Gestión de sesiones. Testigos firmados con expiración, transportados en cookies HttpOnly con política SameSite, no accesibles desde JavaScript.
  • Aislamiento. Todo acceso a datos se filtra por la organización propietaria. Las claves de API pueden confinarse a una única entrada de la cartera, y el intento de acceder a otra se rechaza con un error de autorización.
  • Control granular de permisos. Las claves de API pueden restringirse a un conjunto concreto de permisos de lectura o escritura; las emitidas para el servidor MCP se limitan por diseño a permisos de solo lectura.
  • Limitación de tasa. Límites de peticiones por minuto en el acceso autenticado y en la API, para contener intentos de fuerza bruta y usos abusivos.
  • Cabeceras de seguridad en todas las respuestas: X-Frame-Options, X-Content-Type-Options y Referrer-Policy.
  • Validación de archivos. Los archivos subidos se validan por extensión, tamaño máximo y comprobación de su contenido real antes de procesarse.
  • Minimización en los registros. Los registros de uso de la API guardan exclusivamente metadatos técnicos; nunca el contenido de las peticiones. El servicio de diagnóstico de errores está configurado para no recibir el cuerpo de las peticiones, las cookies ni la dirección IP.
  • Endurecimiento de la infraestructura. Cortafuegos con denegación por defecto en el servidor de aplicación, servicio de caché accesible únicamente desde el propio servidor, y acceso administrativo exclusivamente mediante clave criptográfica, con la autenticación por contraseña deshabilitada. La base de datos es un servicio gestionado, accesible solo mediante credenciales y conexión cifrada.
  • Copias de seguridad automáticas gestionadas por el proveedor de base de datos, con la periodicidad y el plazo de retención propios del plan contratado en cada momento.
  • Acceso del personal conforme al principio de mínimo privilegio, sujeto al deber de confidencialidad de la cláusula 8.
  • Monitorización. Supervisión de disponibilidad del servicio y registro centralizado de errores de la aplicación para su diagnóstico.
  • Evaluación periódica. PriceVault revisa estas medidas al menos anualmente y tras todo cambio significativo en la arquitectura, y aplica con regularidad las actualizaciones de seguridad de sus dependencias.

Anexo III — Subencargados autorizados

Proveedores que tratan datos personales por cuenta del Cliente:

SubencargadoFinalidad y datos a los que accedeUbicación
Contabo GmbH Alojamiento del servidor de aplicación. Acceso potencial a los datos en tránsito y en memoria del servidor. Alemania (UE)
Supabase Base de datos gestionada (PostgreSQL) y copias de seguridad. Aloja la totalidad de los datos almacenados. Unión Europea
Cloudinary Alojamiento de las imágenes que el Cliente sube, incluidas las asociadas a las entradas de su cartera. UE / EE. UU. con garantías adecuadas
Sentry Registro y diagnóstico de errores de la aplicación. Cuando se produce un error recibe datos técnicos de la petición: método, ruta, parámetros de la consulta y cabeceras, excluidas las de autenticación. No recibe el cuerpo de la petición, ni las cookies, ni la dirección IP. EE. UU. / con garantías adecuadas
Google Ireland Ltd. / Google LLC (Google Fonts) Servicio de tipografías web cargado en todas las páginas, incluidas las de la aplicación. Recibe la dirección IP y los datos de conexión del navegador. No recibe el contenido de la cartera. UE / EE. UU. con garantías adecuadas
Google Ireland Ltd. / Google LLC (Google Analytics) Analítica de uso, únicamente si el usuario acepta las cookies analíticas. Recibe la ruta de las páginas visitadas y datos de conexión. No recibe el contenido de la cartera. UE / EE. UU. con garantías adecuadas
Cloudflare y unpkg (redes de distribución de contenidos) Distribución de las librerías JavaScript que utiliza la interfaz. Pueden recibir la dirección IP y los datos de conexión del navegador. No reciben el contenido de la cartera. EE. UU. / con garantías adecuadas

Los siguientes proveedores tratan únicamente datos de la cuenta del Cliente, respecto de los cuales PriceVault actúa como responsable (cláusula 1). Se relacionan a efectos informativos y su tratamiento se describe en la Política de Privacidad:

ProveedorFinalidadUbicación
Resend Envío de correos transaccionales. Recibe la dirección de correo y el nombre del destinatario. EE. UU. / con garantías adecuadas
Stripe Procesamiento de pagos y suscripciones. Los datos de la tarjeta se tratan directamente por Stripe y no pasan por PriceVault. UE / EE. UU. con garantías adecuadas

El proveedor de inteligencia artificial que el Cliente conecte al servidor MCP no figura en estas listas por la razón explicada en la cláusula 16: lo contrata el Cliente y es subencargado suyo, no de PriceVault.

© 2026 PriceVault. Todos los derechos reservados.
Inicio Aviso legal Privacidad Términos DPA Cookies Iniciar sesión

Usamos cookies propias técnicas y de Google Analytics para medir el uso de la web. Las analíticas solo se activan si las aceptas. Detalles en la Política de Cookies.