Adenda de procesamiento de datos

Esta Adenda de procesamiento de datos («DPA») complementa los Términos de servicio de Repik entre [ENTITY_NAME](«Repik» o «Encargado») y el Negocio que utiliza el Servicio («Responsable»). La DPA rige el tratamiento por parte de Repik de los Datos Personales de Clientes Finales por cuenta del Responsable.

Para los datos del Negocio que Repik trata como responsable independiente (por ejemplo, la información de la cuenta), aplica la Política de privacidad en lugar de esta DPA.

• Datos Personales de Clientes Finales — cualquier dato personal sobre los clientes de lealtad del Responsable que Repik trata por su cuenta (ID de cliente, teléfono si se proporciona, historial de sellos y redenciones, identificadores de billetera).
• Subencargado — cualquier tercero contratado por Repik para tratar Datos Personales de Clientes Finales.
• Ley de Privacidad Aplicable — cualquier ley de protección de datos personales que aplique al Responsable y a Repik como encargado, incluidos CCPA/CPRA (California) y LFPDPPP (México).

Repik, como encargado, se obliga a:

• Tratar los Datos Personales de Clientes Finales únicamente con base en las instrucciones documentadas del Responsable, contenidas en la documentación del Servicio y en esta DPA.
• Asegurar que el personal con acceso a los datos esté obligado a la confidencialidad.
• Aplicar las medidas técnicas y organizativas apropiadas (ver Anexo A) para proteger los datos.
• No vender ni compartir Datos Personales de Clientes Finales para publicidad conductual entre contextos, ni combinarlos con datos de otras fuentes salvo para prestar el Servicio.
• Apoyar al Responsable en atender solicitudes ARCO o CCPA/CPRA dentro de un plazo razonable.
• Notificar al Responsable sin demora indebida cuando se tenga conocimiento de una vulneración de Datos Personales de Clientes Finales.
• Eliminar o devolver los Datos Personales de Clientes Finales dentro de 30 días posteriores a la terminación, salvo por obligación legal o por respaldos de recuperación ante desastres que se purgan por ciclo.

El Responsable autoriza a Repik a contratar a los subencargados listados en el Anexo B, así como sucesores o reemplazos con obligaciones comparables. Repik:

• Celebrará un contrato escrito con cada subencargado imponiendo obligaciones de protección de datos sustancialmente equivalentes a las de esta DPA.
• Seguirá siendo responsable frente al Responsable por cualquier acto u omisión de un subencargado que coloque a Repik en incumplimiento de esta DPA.
• Dará al menos 30 días de aviso antes de agregar o sustituir un subencargado material, por correo y en el panel, para que el Responsable pueda objetar. Si el Responsable objeta razonablemente, Repik y el Responsable trabajarán de buena fe para resolver la preocupación; de no haber solución, el Responsable podrá terminar la parte del Servicio afectada.

Los Datos Personales de Clientes Finales originados en México podrán transferirse y tratarse en Estados Unidos conforme al marco de remesas internacionales de la LFPDPPP y los compromisos de esta DPA. Las partes consideran esta DPA como las «cláusulas de protección» exigidas por los artículos 36 y 37 del Reglamento de la LFPDPPP.

[Pendiente revisión legal] Si el Servicio se extiende a la UE o Reino Unido, deberán incorporarse Cláusulas Contractuales Tipo antes de cualquier transferencia.

A solicitud escrita razonable (no más de una vez cada 12 meses, o cuando lo exija una autoridad), Repik pondrá a disposición la información necesaria para demostrar el cumplimiento de esta DPA, incluyendo:

• Lista vigente de subencargados.
• Resumen de las medidas técnicas y organizativas (Anexo A).
• Copias de las auditorías o certificaciones independientes más recientes, si existen.

El Responsable podrá realizar una auditoría en sitio solo si una autoridad lo exige o si Repik ha sufrido una vulneración material; las partes acordarán alcance, aviso, confidencialidad y asignación de costos razonables.

La responsabilidad conforme a esta DPA queda sujeta al límite establecido en los Términos. Esta DPA entra en vigor al aceptarse los Términos y permanece vigente mientras Repik trate Datos Personales de Clientes Finales por cuenta del Responsable.

[Pendiente revisión legal] Verificar que la asignación de responsabilidad funciona bajo el art. 1910 del Código Civil Federal y frente a los daños estatutarios de privacidad en California antes de invocar el límite en disputas transfronterizas.

• Cifrado en tránsito con TLS 1.2 o superior en todos los endpoints externos.
• Contraseñas con hash bcrypt (cost 12); tokens firmados con RS256 y entregados en cookies httpOnly y secure.
• Filtrado multi-tenant estricto; todas las consultas están acotadas por business_id.
• Transacciones de base de datos en aislamiento serializable para operaciones de sello y redención, con garantías anti-fraude.
• Rate limiting por endpoint (Upstash Redis con respaldo en memoria).
• Lista blanca de orígenes CORS restringida a dominios propios vía configuración.
• Bitácoras estructuradas de autenticación, impersonación y acciones administrativas.
• Mínimo privilegio para accesos productivos, revisado periódicamente.
• Secretos (llaves JWT, certificados Apple/Google, cuentas de servicio, credenciales Twilio/Stripe) en el gestor de secretos de la plataforma; nunca en el control de código.

• Vercel, Inc. — hospedaje de aplicación y red edge (US).
• Neon, Inc. — PostgreSQL administrado (US-West).
• Upstash, Inc. — caché Redis (US-West).
• Apple, Inc. — emisión de pases Apple Wallet y APNs.
• Google LLC — API de Google Wallet y entrega de Wallet Objects (US).
• Twilio, Inc. — SMS transaccional para recuperación de tarjeta.
• Stripe, Inc. — procesamiento de pagos US (cuando se habilite).
• Conekta, S.A.P.I. de C.V. — procesamiento de pagos MX (cuando se habilite).
• Facturapi, S.A.P.I. de C.V. — facturación CFDI (cuando se habilite).

[Pendiente revisión legal] Confirmar razones sociales, domicilios y ubicación de residencia de datos antes de publicar esta lista.

Escriba a [PRIVACY_EMAIL]. Domicilio postal: [ENTITY_REGISTERED_ADDRESS].