Bienvenido a Eclipse Technology. Nuestra misión es crear una plataforma inteligente que unifique el trabajo, potencie a los equipos y devuelva el control y la serenidad productiva a las empresas y a las personas. Este compromiso con la claridad y la eficiencia se extiende a la forma en que tratamos su privacidad.
Esta Política de Privacidad explica de forma transparente qué datos personales recopilamos, cómo los utilizamos, con quién los compartimos y qué derechos tiene usted sobre ellos. La confianza de nuestros usuarios y clientes es nuestro activo más importante, y nos comprometemos a proteger su información con el máximo rigor, en cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
El responsable del tratamiento de los datos personales recogidos a través de este sitio web y de la Plataforma Eclipse es:
Denominación Social: Eclipse Vision S.L
Dirección: Av. de les Corts Valencianes, 41, piso 1G, 46015 Valencia
Correo electrónico de contacto: hola@eclipsetech.es
Para cualquier consulta relacionada con el tratamiento de sus datos personales, puede contactarnos a través de la dirección de correo electrónico indicada.
Eclipse Technology fue construida desde el primer día con “Privacy by Design” y “Security by Design”. No añadimos la seguridad como una capa posterior: está integrada desde el principio.
Nuestras medidas de seguridad incluyen:
| Categoría de Datos | Datos Específicos | Finalidad | Base Legal GDPR | Cifrado | Retención |
|---|---|---|---|---|---|
| Identificación | Nombre, apellidos, email, teléfono | Gestión de cuenta, comunicaciones | Ejecución de contrato (Art. 6.1.b) | ✅AES-256 + ML-KEM-768 | Duración contrato + 7 años |
| Datos de acceso | IP, dispositivo, navegador, timestamps | Seguridad, prevención fraude, auditoría | Interés legítimo (Art. 6.1.f) | ✅AES-256 | 7 años (compliance) |
| Datos de autenticación | Hash de contraseña, tokens MFA, claves biométricas (si aplica) | Autenticación segura | Ejecución de contrato + Interés legítimo | ✅Bcrypt + ML-KEM-768 | Duración contrato |
| Datos de pago | Número tarjeta (tokenizado), nombre titular, dirección facturación | Procesamiento de pagos | Ejecución de contrato (Art. 6.1.b) | ✅Tokenización PCI-DSS | 7 años (obligación legal) |
| Datos de uso | Funcionalidades utilizadas, tiempos de sesión, clicks | Mejora del servicio, analytics | Interés legítimo (Art. 6.1.f) | ✅Pseudonimizados | 2 años |
| Datos de soporte | Tickets, conversaciones, archivos adjuntos | Soporte técnico | Ejecución de contrato (Art. 6.1.b) | ✅AES-256 | 5 años |
| Datos del Cliente (contenido) | Proyectos, archivos, conversaciones, integraciones | Prestación del servicio | Ejecución de contrato (Art. 6.1.b) | ✅AES-256 + ML-KEM-768 | Según contrato |
– Tratamiento: Solo si cliente es entidad sanitaria y almacena datos médicos en la plataforma
– Base legal: Consentimiento explícito + HIPAA BAA
– Cifrado: Híbrido Post-Cuántico con claves dedicadas
– Acceso: Restringido con logs de auditoría inmutables
– Retención: Según regulación sanitaria (mínimo 7 años, máximo 15 años)
– Cumplimiento: HIPAA Security Rule, Privacy Rule, GDPR Art. 9
– Tratamiento: Solo metadatos de transacciones (no almacenamos CVV ni PINs)
– Base legal: Ejecución de contrato + obligación legal
– Cifrado: Híbrido Post-Cuántico + Tokenización PCI-DSS Level 1
– Acceso: Restringido, segregation of duties
– Retención: 7 años (obligación legal contable)
– Cumplimiento: PCI-DSS v4.0, GDPR Art. 32
– Tratamiento: Solo si cliente es organismo gubernamental con datos clasificados
– Base legal: Ejecución de contrato + interés público
– Cifrado: Híbrido Post-Cuántico
– Acceso: Clearance security requerido, Zero Trust
– Retención: Según clasificación
– Cumplimiento: ENS Categoría Alta, CCN-CERT
1. Implementamos tecnología Híbrida de Criptografía Post-Cuántica aprobada por NIST (FIPS 203)
– Uso: Encapsulación de claves de cifrado de datos
– Implementación: Cloud KMS con soporte post-quantum
– Cumplimiento: NIST FIPS 203, NSA CNSA 2.0
– Datos en reposo: Híbrido con claves envueltas con ML-KEM-1024
– Datos en tránsito: TLS 1.3 con Perfect Forward Secrecy (ECDHE)
– Datos en procesamiento: Confidential Computing (cifrado en memoria durante ejecución)
– Backups: Cifrados con claves separadas, retención inmutable (anti-ransomware)
– Cloud KMS: Servicio gestionado de claves con HSM
– HSM certificado: FIPS 140-2 Level 3 (máximo nivel comercial)
– Rotación automática: Claves de cifrado rotan cada 90 días
– Separación de claves: Claves diferentes por cliente y por tipo de dato
– Destrucción segura: Claves eliminadas de forma criptográficamente segura tras finalizar contrato
– Never Trust, Always Verify: Verificación de identidad en cada solicitud
– MFA obligatorio: TOTP, FIDO2, certificados cliente, biometría
– Context-aware access: Políticas basadas en ubicación, dispositivo, horario
– Micro-segmentación: Aislamiento de red por cliente/proyecto
– Least privilege: Acceso mínimo necesario por defecto
– Cloud WAF con reglas ModSecurity Core Rule Set
– Protección DDoS: Capacidad de mitigar hasta 7.5 Tbps
– Rate limiting: Control de tráfico por IP/usuario
– Geo-blocking: Bloqueo de países según políticas del cliente
– Bot detection: Identificación y bloqueo de bots maliciosos
– Security Command Center: Monitoreo continuo con IA
– Threat Intelligence: Feeds actualizados diariamente
– Anomaly detection: ML detecta comportamientos anómalos
– SOC 24/7: Analistas de seguridad monitoreando 365 días
– Respuesta automatizada: Bloqueo automático de amenazas en <30 segundos
– Audit Logs: Logs inmutables de toda actividad
– Retención: 7 años para datos regulados (HIPAA, PCI-DSS)
– Acceso auditable: Quién accedió a qué dato, cuándo y desde dónde
– Alertas en tiempo real: Notificación de accesos sospechosos
– Compliance-ready: Logs formateados para auditorías ISO 27001, SOC 2
1. Políticas y Procedimientos Documentados
– Política de Seguridad de la Información (ISO 27001)
– Procedimiento de Respuesta a Incidentes
– Plan de Continuidad de Negocio (BCP)
– Plan de Disaster Recovery (DR)
– Política de Control de Acceso
– Política de Gestión de Vulnerabilidades
2. Formación Obligatoria del Personal
– Formación de seguridad anual para todo el personal
– Formación especializada para desarrolladores (Secure Coding)
– Simulacros de phishing trimestrales
3. Segregación de Funciones
– Separation of Duties (SoD): Ningún empleado tiene acceso completo
– Dual control: Operaciones críticas requieren 2+ aprobaciones
– Acceso basado en roles (RBAC)
– Revisión trimestral de permisos
5. Testing de Seguridad Continuo
– Escaneo de vulnerabilidades continuo automatizado
– Code review de seguridad (SAST/DAST)
Cumplimiento verificado:
✅ GDPR Art. 32 – Seguridad del tratamiento
✅ ISO/IEC 27001:2022 – Anexo A (114 controles implementados)
✅ SOC 2 Type II – Trust Services Criteria (Security, Availability, Integrity, Confidentiality, Privacy)
✅ NIST Cybersecurity Framework – 5 funciones implementadas (Identify, Protect, Detect, Respond, Recover)
Subprocesador 1: Google Cloud (Infraestructura)
Función: Alojamiento de infraestructura, bases de datos y servicios de seguridad
Ubicación: Europa (Madrid, España)
Datos compartidos: Todos los datos son encriptados y no se pueden leer.
Medidas de seguridad:
– Data residency garantizado en UE
– VPC Service Controls (perímetro de seguridad)
– Cifrado en reposo y tránsito
– Certificaciones: ISO 27001, SOC 2, PCI-DSS, HIPAA, FedRAMP
Más info: https://cloud.google.com/security/compliance
Subprocesador 2: Brevo (Email Marketing y Comunicaciones)
Función: Envío de emails transaccionales, newsletters, notificaciones
Ubicación: Unión Europea (servidores en Francia y Alemania)
Datos compartidos: Email, nombre, preferencias de comunicación
Medidas de seguridad:
– Cifrado TLS 1.2+ en tránsito
– Data centers certificados ISO 27001
– Cumplimiento GDPR
Más info: https://www.brevo.com/legal/privacypolicy/
Subprocesador 3: Procesador de Pagos – Stripe/Banco
Función: Procesamiento de pagos con tarjeta
Ubicación: España
Datos compartidos: Datos de pago tokenizados (NO almacenamos números de tarjeta completos)
Medidas de seguridad:
– Tokenización PCI-DSS Level 1
– Certificación PCI-DSS
– Cumplimiento Strong Customer Authentication (SCA) – PSD2
Cambios en subprocesadores:
Le notificaremos con 30 días de antelación cualquier cambio en subprocesadores, dándole oportunidad de objetar según GDPR Art. 28.
Política: Datos almacenados exclusivamente en UE (Madrid, España)
Si excepcionalmente necesitamos transferir datos fuera del Espacio Económico Europeo (EEE):
– Cifrado end-to-end durante transferencia
– Evaluación de riesgos país destino (Transfer Impact Assessment)
– Documentación completa disponible bajo solicitud
Fase 1: Detección y Contención (<15 minutos)
– Security Command Center detecta anomalía
– SOC 24/7 investiga alerta
– Si se confirma data breach: activación de protocolo de respuesta
– Contención inmediata: Aislamiento de sistemas comprometidos
Fase 2: Evaluación de Impacto (<4 horas)
– Análisis forense: ¿Qué datos fueron accedidos?
– Clasificación: ¿Datos personales? ¿Datos especiales ?
– Evaluación de riesgo: ¿Alto riesgo para derechos y libertades?
– Preservación de evidencias para investigación
Fase 3: Comunicación a Afectados (Sin dilación indebida)
Si la data breach supone ALTO RIESGO, le notificaremos directamente:
– Descripción clara del breach
– Datos potencialmente comprometidos
– Consecuencias probables
– Medidas adoptadas
– Recomendaciones para mitigar riesgo
Fase 4: Remediación y Mejora Continua
– Erradicación completa de amenaza
– Análisis de causa raíz (Root Cause Analysis)
– Implementación de controles adicionales
– Actualización de políticas y procedimientos
A la fecha de esta política: 0 data breaches de datos reportadas
Actualizaremos esta sección si ocurre algún breach que requiera notificación.
Contacto para incidentes de seguridad:
📧 security@eclipsetech.es
📞 Teléfono 24/7 para todos los clientes
🔒 Clave PGP disponible para comunicaciones cifradas
Opción 1: Portal de Privacidad (recomendado)
Acceda a: Configuración de Cuenta → Privacidad → Ejercicio de Derechos
– Solicitud online con tracking
– Verificación automática de identidad
– Respuesta en <7 días
Opción 2: Email al DPO
Envíe email a: dpo@eclipsetech.es
Asunto: “Ejercicio de Derecho GDPR – [Tipo de derecho]”
Incluya: Nombre completo, email registrado, descripción del derecho
Opción 3: Correo Postal
Eclipse Vision S.L
A la atención del Delegado de Protección de Datos
Av. de les Corts Valencianes, 41, piso 1G
46015 Valencia, España
Verificación de Identidad:
Para proteger su privacidad, requerimos verificación de identidad antes de procesar solicitudes:
– Copia de DNI/NIE/Pasaporte (puede ocultar foto y número completo, dejando solo últimos 4 dígitos)
– Confirmación desde email registrado en cuenta
Formato de respuesta:
– Por defecto: PDF cifrado enviado a su email
– Si solicita formato específico (CSV, JSON, XML): Disponible bajo solicitud
– Para grandes volúmenes: Link de descarga seguro con expiración
Cambios principales en esta versión:
• Añadida documentación de criptografía post-cuántica
• Documentación completa de medidas de seguridad técnicas y organizativas
• Sección sobre data breaches y respuesta a incidentes
• Información sobre data residency en Madrid (España)
• Detalles de certificaciones ISO 27001, SOC 2 Type II, PCI-DSS
• Procedimientos específicos para sectores regulados (HIPAA, PCI-DSS, ENS)
Le notificaremos cambios significativos mediante:
– Email a su dirección registrada
– Notificación in-app prominente
– Banner en el sitio web
Para consultas sobre esta política:
📧 privacy@eclipsetech.es
📧 DPO: dpo@eclipsetech.es