Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Acuerdo de Procesamiento de Datos

Versión 3.0 · Última actualización: 9 de mayo de 2026 · Vigencia inmediata

1. Partes

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el Cliente ("Responsable del Tratamiento") e YARDtwin Ltd, registrada en Irlanda ("Encargado del Tratamiento"), denominados conjuntamente las "Partes". Este DPA forma parte de, y está sujeto a, los Términos de servicio.

2. Ámbito y finalidad

El Encargado trata datos personales en nombre del Responsable únicamente con el fin de prestar la plataforma de gestión de patios YARDtwin: programación de muelles, operaciones de acceso, visualización digital del patio, gestión de transportistas y conductores, registro de auditoría conforme a GMP, analítica e integraciones. El tratamiento se realiza durante la vigencia de la suscripción del Responsable y cualquier período de conservación requerido por la Sección 11.

3. Categorías de interesados

  • Empleados y administradores del Responsable (usuarios nominales de la plataforma)
  • Conductores y personal logístico registrados en los accesos del Responsable
  • Representantes de transportistas y contactos de despacho
  • Personal de seguridad de accesos y operadores de almacén

4. Tipos de datos personales

  • Datos de identidad: nombres, direcciones de correo electrónico, números de teléfono, cargo/puesto de trabajo, nombre y dirección de la empresa
  • Datos de autenticación: contraseñas cifradas con bcrypt (12 rondas), tokens de acceso y actualización JWT, marcas de tiempo de sesión, direcciones IP, identificadores SSO (Google, Microsoft)
  • Datos operativos: citas, asignaciones de muelles, movimientos de remolques, registros de inspección, documentos, asignaciones de tareas, matrículas de vehículos
  • Datos del conductor: números de permiso de conducir, imágenes del permiso de conducir, imágenes faciales opcionales para verificación biométrica en la entrada (datos de categoría especial, Art. 9 GDPR — tratados únicamente cuando el Responsable ha habilitado la verificación biométrica en la entrada y ha obtenido el consentimiento explícito en el momento de la captura)
  • Datos de auditoría: acciones de usuario, marcas de tiempo, direcciones IP, cadenas de agente de usuario, diferencias entre valores anteriores/nuevos, registros marcados como GMP

5. Obligaciones del Encargado del Tratamiento

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable (la interfaz de usuario de la plataforma y el API constituyen instrucciones documentadas)
  • Garantizar que las personas autorizadas a tratar los datos estén sujetas a acuerdos de confidencialidad
  • Implementar medidas de seguridad técnicas y organizativas adecuadas (Art. 32) — véase la Sección 7 a continuación
  • No contratar subencargados sin autorización previa por escrito; notificar con al menos 30 días de antelación cualquier nuevo subencargado (derecho de oposición)
  • Asistir al Responsable en las solicitudes de los interesados (Art. 15–22) a través de los endpoints DSAR descritos en la Sección 9
  • Notificar al Responsable las violaciones de datos personales sin demora indebida y en un plazo de 72 horas (Sección 8)
  • Eliminar o devolver todos los datos personales al término de los servicios (Sección 11)
  • Poner a disposición toda la información necesaria para demostrar el cumplimiento y respaldar las auditorías (Sección 12)

6. Subencargados del Tratamiento

El Encargado del Tratamiento trabaja actualmente con los siguientes subencargados, cada uno de ellos sujeto a un Acuerdo de Tratamiento de Datos y, cuando proceda, a las Cláusulas Contractuales Tipo 2021:

SubencargadoFinalidadUbicaciónGarantías
Microsoft AzureAlojamiento (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EEA — Centro de Suecia + Este de NoruegaDPA de Microsoft Online Services + SCCs de la UE, ISO 27001, SOC 2 Tipo II, ISO 27018, Límite de Datos de la UE
StripeFacturación de suscripciones y procesamiento de pagos (YARDtwin no almacena números de tarjeta)Stripe Irlanda (EEA), soporte parcial en EE. UU.DPA de Stripe + SCCs de la UE + PCI DSS Nivel 1
ResendCorreo electrónico transaccional (bienvenida, recordatorios de prueba, respuestas DSAR, alertas de brechas)EE. UU. (Delaware)DPA de Resend + SCCs de la UE (verificación de medidas complementarias FISA 702 en curso — véase la Política GDPR 11.6)
Google Cloud VisionOCR de permisos de conducir (únicamente cuando el Responsable habilita la verificación del permiso en la entrada)Regiones de la UEDPA de Google Cloud + SCCs de la UE, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Tokens de identidad de inicio de sesión único para usuarios que optan por SSOEEA (Microsoft Entra ID) / Global (Google Workspace)DPAs de Microsoft / Google Cloud
AnthropicClaude API para el asistente de inteligencia artificial integrado en el producto y análisis de texto OCR de permisos de conducirEE. UU. (California)DPA de Anthropic + declaración de retención cero + SCCs de la UE (verificación de medidas complementarias FISA 702 en curso)

Los clientes son notificados con al menos 30 días de antelación antes de incorporar cualquier nuevo subencargado, con derecho de oposición y rescisión sin penalización.

7. Medidas de Seguridad (Art. 32)

  • Cifrado en tránsito: TLS 1.2+ en todos los endpoints; certificados gestionados por Microsoft Azure (DigiCert)
  • Cifrado en reposo: Cifrado transparente de datos en Azure Postgres Flexible Server; cifrado en Azure Blob Storage
  • Cifrado a nivel de campo: AES-256-GCM para datos biométricos (imágenes de permisos de conducir, imágenes de firma), claves almacenadas en Azure Key Vault
  • Hash de contraseñas: bcrypt, 12 rondas
  • Autenticación: Tokens de acceso JWT (caducidad de 1 hora) + tokens de actualización (caducidad de 7 días, rotación en cada uso); SSO mediante Google y Microsoft equivalente a MFA
  • Aislamiento de inquilinos: aplicado en cada ruta de API, con pruebas de regresión mediante auditoría de 25 vectores entre inquilinos en cada versión
  • Control de acceso basado en roles: seis roles (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware de mínimo privilegio
  • Firewall de aplicaciones web: Azure Front Door + WAF gestionado (conjunto de reglas básicas OWASP, protección contra bots, DDoS L7)
  • Limitación de velocidad: límites por ruta, más estrictos en los endpoints de autenticación; seguimiento de intentos en memoria y persistido
  • Registro de auditoría: solo adición en la capa de aplicación, retención de 6 años, entradas relevantes para GMP marcadas por separado, seudonimizadas (no eliminadas) en la supresión del Art. 17 conforme al Art. 17(3)(b)
  • Monitorización continua: Azure Application Insights, alerta de desviación de esquema (ventana de 15 minutos), sonda de extremo a extremo /health/db-write, worker de anomalías para supervisión de brechas (picos de intentos fallidos de inicio de sesión, ataques multi-IP, inicios de sesión con cambio de país, tasa de errores 5xx)
  • Cadena de suministro de software: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP en cada PR. Secretos: Azure Key Vault accedido mediante identidad administrada de App Service; sin secretos en el código, archivos de entorno ni imágenes de contenedor

8. Notificación de Brechas de Datos Personales

El Encargado notificará al Responsable sin dilación indebida y a más tardar 72 horas después de tener conocimiento de una brecha de datos personales que afecte a los datos del Responsable (Art. 33). La notificación incluirá la naturaleza de la brecha, las categorías y el número aproximado de interesados afectados, las consecuencias probables, las medidas adoptadas o propuestas, y la referencia del registro de brechas. Las anomalías detectadas se enrutan al Grupo de Acciones de Azure Monitor yardtwin-breach-actions; los incidentes confirmados se registran en la tabla del registro de brechas con una cuenta atrás de 72 horas para el DPC.

9. Derechos de los Interesados

El Encargado proporciona al Responsable los siguientes endpoints para atender los derechos de los interesados dentro del plazo de 30 días del Art. 12(3):

  • POST /api/v1/dsar/export/by-email — exportación legible por máquina que cubre el Art. 15 (acceso) y el Art. 20 (portabilidad)
  • POST /api/v1/dsar/erase/by-email — seudonimización en todas las tablas de datos personales, con retención del registro de auditoría preservada conforme al Art. 17(3)(b)
  • Portal de solicitudes de autoservicio en /data-request

10. Transferencias Internacionales

Los datos operativos se almacenan dentro del Espacio Económico Europeo (Microsoft Azure, Sweden Central + Norway East). Las transferencias posteriores a subencargados fuera del EEE (Resend, Anthropic) se rigen por las Cláusulas Contractuales Estándar 2021 con Evaluaciones de Impacto de Transferencia documentadas. Stripe contrata a través de Stripe Ireland (EEE principal).

11. Duración, Resolución y Devolución de Datos

Este DPA permanece en vigor durante la duración del acuerdo de servicio. Tras la resolución:

  • El Responsable podrá exportar todos sus datos en un plazo de 30 días mediante las funciones de exportación del producto o por solicitud
  • Transcurridos 30 días, el Encargado eliminará todos los datos personales operativos del Responsable
  • Los registros de auditoría se conservan durante 6 años tras el evento en estado seudonimizado, según lo exigido por 21 CFR Part 11 / EU GMP Annex 11 (obligación legal del Art. 17(3)(b))
  • Las copias de seguridad se purgan en un plazo de 7 días tras la eliminación operativa, en consonancia con la ventana de recuperación a un momento dado

12. Derechos de Auditoría

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del Art. 28 del GDPR. Los clientes pueden solicitar: copias de las certificaciones de seguridad y los informes de auditoría pertinentes (cuando existan), el registro actualizado de subencargados, el informe más reciente de pruebas de regresión de aislamiento de inquilinos, el último resumen de pruebas de penetración externas (cuando se emita, véase la Política GDPR 11.1), y respuestas a un cuestionario de seguridad de proveedores. Se podrán acordar auditorías presenciales o remotas razonables con al menos 30 días de antelación, realizadas por el Responsable o un tercero independiente sujeto a confidencialidad. El Encargado dará prioridad a los informes ISO 27001 / SOC 2 Type II como prueba sustitutiva una vez obtenidas dichas certificaciones.

13. Responsabilidad y Legislación Aplicable

La responsabilidad derivada de este DPA está sujeta a las limitaciones establecidas en los términos de YARDtwin Términos de servicio. Este DPA se rige por las leyes de Irlanda y el Reglamento General de Protección de Datos de la UE (GDPR). Cualquier disputa estará sujeta a la jurisdicción exclusiva de los tribunales de Irlanda.

14. Contacto

Para consultas sobre este DPA, solicitar una copia con contrafirma o ejercer cualquiera de los derechos indicados anteriormente, contacte con admin@yardtwin.com o con el Delegado de Protección de Datos en dpo@yardtwin.com. Se está contratando un DPO externo a tiempo parcial (Política GDPR 11.2); hasta su nombramiento, el correo enviado a dpo@yardtwin.com se redirige a admin@yardtwin.com.

Al aceptar, el Cliente acepta quedar vinculado por este Acuerdo de Procesamiento de Datos v3.0 como Responsable del Tratamiento.

¡Hola! Comienza tu prueba gratuita en 2 minutos: ¡te ayudo a configurarlo todo!