Última actualización: 30 de septiembre de 2025

Este DPA forma parte integral de los contratos de servicios entre:

Controlador de Datos (Cliente):

• La entidad que determina los propósitos y medios del procesamiento de datos personales
• Responsable ante los titulares de datos
• Otorga instrucciones a InitiumX sobre procesamiento

Procesador de Datos (InitiumX):

• InitiumX
• San Pedro Sula, Cortés, Honduras
• Email: contacto@initiumx.dev
• Procesa datos personales en nombre del Cliente

Este DPA aplica al procesamiento de datos personales por InitiumX cuando:

✅ Desarrollo de Software:

• Acceso a datos del cliente durante desarrollo
• Testing con datos reales o anonimizados
• Integración con sistemas del cliente

✅ Servicios de Mantenimiento:

• Soporte técnico y troubleshooting
• Monitoreo de aplicaciones
• Gestión de bases de datos

✅ Hosting y Gestión:

• Gestión de infraestructura cloud
• Backups y disaster recovery
• Administración de servidores

✅ Consultoría:

• Análisis de datos para optimización
• Auditorías de seguridad
• Data analytics

El Cliente actúa como Controlador de Datos y es responsable de:

• ✅ Obtener consentimiento válido de titulares de datos
• ✅ Tener base legal apropiada para procesamiento
• ✅ Proporcionar avisos de privacidad a titulares
• ✅ Cumplir con regulaciones locales de protección de datos
• ✅ Responder a solicitudes de titulares (Derechos ARCO)

• ✅ Proporcionar instrucciones claras y documentadas a InitiumX
• ✅ Asegurar que instrucciones son legales y conformes
• ✅ Notificar cambios en propósitos de procesamiento
• ✅ Autorizar sub-procesadores cuando sea necesario

• ✅ Proporcionar credenciales seguras para acceso
• ✅ Revocar accesos cuando termine relación
• ✅ Notificar cambios en requisitos de seguridad
• ✅ Participar en auditorías de seguridad

• ✅ Asegurar que datos proporcionados son apropiados para el propósito
• ✅ No proporcionar datos sensibles sin notificación previa
• ✅ Mantener inventario actualizado de datos compartidos
• ✅ Solicitar eliminación oportuna al terminar servicios

InitiumX actúa como Procesador de Datos y se compromete a:

• ✅ Procesar datos solo según instrucciones documentadas del Cliente
• ✅ No usar datos para propósitos propios
• ✅ No compartir datos con terceros sin autorización
• ✅ No transferir datos fuera de jurisdicciones autorizadas

• ✅ Implementar medidas técnicas y organizacionales apropiadas
• ✅ Mantener cifrado de datos en tránsito y reposo
• ✅ Control de acceso basado en roles (RBAC)
• ✅ Monitoreo continuo de seguridad
• ✅ Auditorías regulares de sistemas

• ✅ Capacitación regular en protección de datos
• ✅ Acuerdos de confidencialidad con todo el personal
• ✅ Verificación de antecedentes para personal con acceso a datos
• ✅ Acceso mínimo necesario (principio de least privilege)

• ✅ Notificar brechas de seguridad en 24 horas
• ✅ Reportar solicitudes de acceso de autoridades
• ✅ Asistir al Cliente en responder a titulares de datos
• ✅ Proporcionar evidencia de cumplimiento cuando solicitado

• ✅ Devolver o eliminar datos al finalizar servicios
• ✅ Certificar eliminación cuando solicitado
• ✅ Eliminar backups según períodos acordados
• ✅ Documentar proceso de eliminación

InitiumX puede procesar datos de las siguientes categorías de titulares:

Datos Básicos de Identificación:

• Nombre completo
• Email, teléfono
• Dirección postal
• Fecha de nacimiento
• Número de identificación (según país)

Datos Profesionales:

• Cargo, posición
• Empresa, industria
• Historial laboral (si aplica)

Datos Técnicos:

• Dirección IP
• Cookies y identificadores
• User agent, navegador
• Logs de actividad

Datos Transaccionales:

• Historial de compras
• Métodos de pago (tokenizados)
• Facturas y recibos
• Preferencias de usuario

Datos de Comunicación:

• Emails enviados/recibidos
• Mensajes in-app
• Tickets de soporte
• Notas de reuniones

InitiumX procesa datos personales para los siguientes propósitos:

• Propósito: Construir, testear y desplegar software
• Base legal: Ejecución de contrato con Cliente
• Duración: Durante desarrollo + 90 días post-entrega

• Propósito: Resolver issues, troubleshooting, mantenimiento
• Base legal: Ejecución de contrato de mantenimiento
• Duración: Durante vigencia de contrato de mantenimiento

• Propósito: Mantener aplicaciones operativas y disponibles
• Base legal: Ejecución de contrato + interés legítimo
• Duración: Durante vigencia de hosting agreement

• Propósito: Mejorar performance, UX, y funcionalidad
• Base legal: Interés legítimo (con opt-out disponible)
• Duración: Agregado y anonimizado permanentemente

En Tránsito:

• TLS 1.3 obligatorio para todas las comunicaciones
• Certificados SSL/TLS válidos y actualizados
• Perfect Forward Secrecy (PFS) habilitado
• No downgrades a protocolos inseguros

En Reposo:

• AES-256 para bases de datos
• Volúmenes de almacenamiento cifrados
• Backups cifrados end-to-end
• Claves de cifrado rotadas trimestralmente

Gestión de Claves:

• Almacenamiento en HSM (Hardware Security Modules)
• Separación de claves por cliente
• Acceso multi-factor para key management
• Auditoría completa de acceso a claves

Autenticación:

• Multi-Factor Authentication (MFA) obligatorio
• Single Sign-On (SSO) cuando posible
• Passwords con requisitos fuertes
• Sesiones con timeout automático

Autorización:

• Role-Based Access Control (RBAC)
• Principio de least privilege
• Segregación de ambientes (dev/staging/prod)
• Revisión trimestral de permisos

Gestión de Credenciales:

• Rotación de passwords cada 90 días
• Secretos en vaults cifrados (HashiCorp Vault)
• No credenciales en código o repos
• Revocación inmediata al terminar relación laboral

Network Security:

• Firewalls configurados con deny-all default
• VPC isolation por cliente
• WAF (Web Application Firewall) activo
• DDoS protection automática
• IDS/IPS (Intrusion Detection/Prevention)

Server Hardening:

• Minimal installation (solo servicios necesarios)
• OS patching automatizado
• Antivirus y anti-malware actualizados
• SSH key-based authentication únicamente
• Fail2ban para protección de fuerza bruta

Capacitación:

• Entrenamiento inicial en protección de datos
• Refresher training anual obligatorio
• Phishing awareness training trimestral
• Evaluaciones de conocimiento periódicas

Acuerdos:

• NDA (Non-Disclosure Agreement) firmado
• Data protection clauses en contratos laborales
• Acknowledgement de políticas de seguridad
• Consecuencias claras por incumplimiento

Verificación:

• Background checks para personal con acceso a datos
• Verificación de referencias
• Supervisión continua de actividades

Incident Response:

• Plan de respuesta a incidentes documentado
• Equipo de respuesta 24/7 disponible
• Runbooks para escenarios comunes
• Post-mortems obligatorios para incidentes

Business Continuity:

• Disaster Recovery Plan actualizado
• RTO (Recovery Time Objective): 4 horas
• RPO (Recovery Point Objective): 1 hora
• Testing anual de DR procedures

Auditoría y Monitoreo:

• Logs centralizados y protegidos
• SIEM (Security Information and Event Management)
• Alertas automáticas para actividades anómalas
• Revisión semanal de logs de seguridad
• Auditorías externas anuales

Estándares que seguimos:

• ✅ ISO 27001 (en proceso de certificación)
• ✅ SOC 2 Type II (objetivo 2026)
• ✅ OWASP Top 10 - Mitigación completa
• ✅ NIST Cybersecurity Framework
• ✅ CIS Controls - Implementación de controles críticos

Regulaciones cumplidas:

• ✅ GDPR (General Data Protection Regulation - UE)
• ✅ CCPA (California Consumer Privacy Act)
• ✅ LGPD (Lei Geral de Proteção de Dados - Brasil)
• ✅ Ley de Transparencia (Honduras)
• ✅ PIPEDA (Personal Information Protection - Canadá)

InitiumX utiliza los siguientes sub-procesadores para proveer servicios:

Autorización General: El Cliente otorga autorización general para que InitiumX contrate sub-procesadores listados en la Sección 5.1.

Notificación de Cambios:

• 30 días de aviso antes de agregar nuevo sub-procesador
• Notificación por email a contacto principal del Cliente
• Publicación en https://initiumx.dev/legal/dpa/subprocesadores

Derecho a Objetar: Si el Cliente objeta un nuevo sub-procesador por razones legítimas de protección de datos:

1. Cliente notifica objeción por escrito dentro de 15 días
2. InitiumX y Cliente buscan solución alternativa
3. Si no hay solución, Cliente puede terminar servicios sin penalidad

InitiumX asegura que todo sub-procesador:

• ✅ Firma DPA equivalent a este acuerdo
• ✅ Implementa medidas de seguridad apropiadas
• ✅ Cumple con regulaciones de privacidad aplicables
• ✅ Permite auditorías de seguridad
• ✅ Notifica brechas de seguridad prontamente

Responsabilidad: InitiumX permanece completamente responsable ante el Cliente por el procesamiento realizado por sub-procesadores.

Ubicaciones de Procesamiento:

• Honduras: Oficinas de InitiumX, algunos datos de proyecto
• Estados Unidos: AWS US-East, Google Cloud US, sub-procesadores
• Unión Europea: AWS EU-West, Google Cloud EU (opcional)

• Decisión de Adecuación (cuando aplique)
• Standard Contractual Clauses (SCC 2021)
• Binding Corporate Rules (para grupos empresariales)

• Standard Contractual Clauses
• DPA con proveedores cloud (AWS, Google)
• Supplementary measures según Schrems II

• Evaluación de riesgo por país
• SCC adaptadas cuando sea necesario
• Garantías adicionales según nivel de protección local

El Cliente puede:

• ✅ Solicitar que datos permanezcan en región específica
• ✅ Objetar transferencias a jurisdicciones específicas
• ✅ Requerir garantías adicionales para transferencias
• ✅ Auditar cumplimiento de protecciones

Costo Adicional: Restricciones geográficas específicas pueden incurrir costos adicionales por:

• Uso de regiones cloud premium
• Complejidad de configuración
• Limitaciones de sub-procesadores disponibles

Cuando InitiumX recibe solicitud directa de titular de datos (Derechos ARCO):

Proceso:

1. Redirigir al titular al Cliente (Controlador)
2. Notificar al Cliente dentro de 24 horas
3. Asistir al Cliente si es solicitado
4. Proporcionar datos técnicos necesarios

Asistencia Incluida:

• ✅ Export de datos del titular en formato estructurado
• ✅ Rectificación de datos según instrucciones del Cliente
• ✅ Eliminación de datos según instrucciones
• ✅ Restricción temporal de procesamiento

Timeline:

• Identificación de datos: 5 días hábiles
• Export/modificación: 10 días hábiles
• Eliminación completa: 15 días hábiles

InitiumX asistirá al Cliente en realizar DPIA cuando sea requerido:

Información Proporcionada:

• Descripción de operaciones de procesamiento
• Medidas técnicas y organizacionales implementadas
• Riesgos identificados y mitigaciones
• Documentación de compliance

Disponibilidad:

• Revisión de DPIA: Sin costo (1 revisión/año)
• Participación en DPIA: Hourly rate para trabajo extensivo
• Consultoría especializada: Tarifa de consultoría

En caso de brecha de seguridad que afecte datos personales:

Notificación a Cliente:

• Plazo: Dentro de 24 horas de tomar conocimiento
• Método: Email + llamada telefónica
• Contenido mínimo:
  • Naturaleza de la brecha
  • Categorías y volumen de datos afectados
  • Posibles consecuencias
  • Medidas tomadas para mitigar
  • Contacto para más información

Asistencia en Notificación a Autoridades:

• Preparación de contenido de notificación
• Documentación de evidencia
• Coordinación con autoridades si necesario
• Post-mortem y remediación

Timeline Regulatorio:

• GDPR: Notificar a autoridad dentro de 72 horas
• CCPA: “Sin demora indebida”
• LGPD: “En plazo razonable”
• InitiumX notifica en 24 horas para permitir cumplimiento

El Cliente tiene derecho a auditar el cumplimiento de InitiumX con este DPA.

Tipos de Auditoría:

• Frecuencia: Anual sin costo
• Alcance: Revisión de políticas, certificaciones, reportes
• Plazo: 30 días de anticipación
• Duración: Hasta 2 días

• Frecuencia: Cada 2 años sin costo
• Alcance: Inspección de instalaciones y sistemas
• Plazo: 60 días de anticipación
• Duración: Hasta 5 días
• Restricciones: Horario laboral, áreas no sensibles

• Frecuencia: Según necesidad del Cliente
• Alcance: Según acuerdo mutual
• Costo: Compartido entre Cliente e InitiumX
• Auditor: Acordado mutuamente, bajo NDA

InitiumX proporciona anualmente:

• ✅ SOC 2 Report (cuando disponible)
• ✅ ISO 27001 Certificate (en proceso)
• ✅ Penetration Test Results (resumen ejecutivo)
• ✅ Vulnerability Scan Reports (trimestral)
• ✅ DPA Compliance Report (auto-certificación)

Si autoridades de protección de datos solicitan inspección:

• InitiumX notifica al Cliente inmediatamente (salvo prohibición legal)
• Cliente puede participar en inspección
• InitiumX coopera completamente con autoridades
• Resultados compartidos con Cliente

Opciones del Cliente al terminar servicios:

• Formato: Export estructurado (JSON, CSV, SQL dump)
• Medio: Download link cifrado o transferencia directa
• Plazo: 30 días desde terminación
• Verificación: Hash checksum para integridad

• Proceso: Eliminación de sistemas productivos
• Plazo: 5 días hábiles
• Certificación: Certificado de eliminación emitido
• Backups: Eliminados dentro de 90 días

• Duración: Hasta 6 meses adicionales
• Costo: Según tarifa de almacenamiento
• Propósito: Contingencia, soporte de transición
• Acceso: Solo bajo solicitud expresa del Cliente

Al completar eliminación, InitiumX emite certificado que incluye:

CERTIFICADO DE ELIMINACIÓN DE DATOS

Cliente: [NOMBRE DEL CLIENTE]
Contrato: [NÚMERO DE CONTRATO]
Fecha de Terminación: [FECHA]
Fecha de Eliminación: [FECHA]

DATOS ELIMINADOS:
- Categorías de datos: [LISTA]
- Volumen aproximado: [CANTIDAD]
- Sistemas afectados: [LISTA DE SISTEMAS]

SISTEMAS DE LOS QUE SE ELIMINÓ:
- Base de datos de producción
- Servidores de aplicación
- Sistemas de backup operacional
- Sistemas de analytics

BACKUPS REMANENTES:
- Backups archivados: [SÍ/NO]
- Fecha de eliminación programada: [FECHA]
- Justificación legal (si aplica): [RAZÓN]

CONFIRMACIÓN:
Por la presente certifico que los datos personales han sido
eliminados de todos los sistemas operativos de InitiumX,
excepto donde la retención sea requerida por ley.

Firma: ______________________
Nombre: [NOMBRE DEL DPO]
Cargo: Data Protection Officer
Fecha: [FECHA]

Responsabilidad de InitiumX está limitada a:

Límites Financieros:

• General: Monto pagado por Cliente en 12 meses anteriores
• Máximo: $10,000 USD por incidente
• Agregado: $25,000 USD por año contractual

Excepciones (responsabilidad ilimitada):

• Violación deliberada de este DPA
• Negligencia grave de InitiumX
• Fraude o mala conducta intencional
• Violación de confidencialidad por descuido grave

Exclusiones: InitiumX NO es responsable por:

• Daños causados por instrucciones incorrectas del Cliente
• Problemas de infraestructura de proveedores externos
• Acciones de sub-procesadores fuera de control de InitiumX
• Fuerza mayor o eventos fuera de control razonable

InitiumX indemnizará al Cliente contra:

• Reclamaciones de titulares de datos por violaciones de InitiumX
• Multas de autoridades por incumplimiento de InitiumX
• Daños directos por brechas causadas por InitiumX

Cliente indemnizará a InitiumX contra:

• Reclamaciones por instrucciones ilegales del Cliente
• Datos proporcionados sin consentimiento apropiado
• Uso no autorizado de datos por el Cliente

InitiumX mantiene:

• ✅ Cyber Liability Insurance: $1,000,000 USD coverage
• ✅ Professional Liability: $500,000 USD
• ✅ General Liability: $1,000,000 USD

Certificados disponibles bajo solicitud.

Este DPA:

• Inicia: Al firmar contrato principal de servicios
• Vigente: Durante toda la duración de servicios
• Sobrevive: 90 días post-terminación (para permitir eliminación)

Causales de Terminación:

Por el Cliente:

• Terminación del contrato principal de servicios
• Violación material de DPA por InitiumX (30 días para remediar)
• Cambio regulatorio que haga DPA incumplible

Por InitiumX:

• Cliente no paga facturas por 60+ días
• Instrucciones ilegales repetidas del Cliente
• Imposibilidad de cumplir por cambios regulatorios

Al terminar este DPA:

1. Cesación inmediata de procesamiento de datos
2. Devolución o eliminación de datos según instrucción del Cliente
3. Certificación de eliminación proporcionada
4. Sobreviven: Obligaciones de confidencialidad (2 años)

Cambios en el DPA:

• Cambios materiales requieren consentimiento escrito del Cliente
• Notificación con 60 días de anticipación
• Cliente puede objetar y terminar servicios sin penalidad

Actualizaciones por Cambios Legales:

• InitiumX puede actualizar DPA para cumplir con nuevas leyes
• Notificación con 30 días de anticipación
• Versión actualizada publicada en https://initiumx.dev/legal/dpa

En caso de conflicto entre documentos:

1. Addendum específico del Cliente (si existe)
2. Este Data Processing Agreement (DPA)
3. Contrato principal de servicios
4. Términos y condiciones generales

Jurisdicción: Honduras (con reconocimiento de regulaciones internacionales aplicables) Arbitraje: Arbitraje según leyes de Honduras para disputas Autoridades: Reconocimiento de autoridades de protección de datos de jurisdicción del Cliente

Este DPA está disponible en español e inglés. En caso de discrepancia, la versión en español prevalece.

Si alguna disposición es inválida, el resto del DPA permanece válido.

Este DPA, junto con sus Addendum, constituye el acuerdo completo sobre procesamiento de datos personales.

InitiumX:

• Email: dpo@initiumx.dev
• Email alternativo: contacto@initiumx.dev
• Teléfono: +504 3253-6271
• Dirección: San Pedro Sula, Cortés, Honduras

Todas las notificaciones bajo este DPA deben enviarse a:

• Email: contacto@initiumx.dev
• CC: dpo@initiumx.dev

Para brechas de seguridad:

• Email urgente: security@initiumx.dev
• Teléfono 24/7: +504 3253-6271

[Documento específico del Cliente con detalles técnicos]

[Especificaciones técnicas completas de seguridad]

[Lista actualizada en: https://initiumx.dev/legal/dpa/subprocesadores]

[SCC según Decisión de Implementación UE 2021/914]

Documentos Relacionados:

• Política de Privacidad - Cómo manejamos datos propios
• Derechos ARCO - Derechos de titulares de datos
• Política de Seguridad - Medidas de seguridad completas
• Política de Cookies - Tracking y cookies

Última Actualización: 30 de septiembre de 2025 Versión: 1.0 Siguiente Revisión: Marzo 2026