Política de Privacidad — SuperDMZ

• Cuenta: nombre, correo electrónico y contraseña (almacenada solo como un hash unidireccional — ni siquiera nosotros podemos recuperarla; algoritmo bcrypt).
• Facturación: gestionada íntegramente por Stripe. No almacenamos números de tarjeta en nuestros servidores — solo recibimos el estado del pago, los 4 últimos dígitos y la marca.
• Uso del servicio: túneles creados (hostname, IPs autorizadas, puerto), tráfico agregado por túnel y por mes, estado online/offline.
• Registros técnicos: dirección IP, navegador, fecha y hora, acciones realizadas en el panel (crear/editar/eliminar túnel, login). Los tokens de acceso se redactan automáticamente.
• Comunicación: mensajes enviados por el formulario de contacto o soporte (nombre, correo y contenido).

• Operar y mantener el servicio (autenticación, creación de túneles, facturación).
• Enviar notificaciones operativas por correo (verificación 2FA, túnel caído, recibos).
• Detectar y prevenir fraudes, abusos y ataques contra la infraestructura.
• Cumplir obligaciones legales y fiscales.
• Mejorar el producto (analítica agregada y anónima).

• Stripe (EE. UU.) — procesamiento de pagos. Recibe nombre, correo y datos de tarjeta (directamente del navegador vía Stripe Elements; nunca pasan por nuestros servidores).
• Brevo / Sendinblue (UE) — envío de correos transaccionales (2FA, bienvenida, alertas).
• GoDaddy (EE. UU.) — creación y eliminación de registros DNS (CNAME para túneles HTTP en dmzgate.com).
• Cloudflare (EE. UU.) — DNS autoritativo de superdmz.com (no recibe datos personales — solo consultas DNS).
• Anthropic (EE. UU.) — proveedor de IA usado en funciones específicas (traducción automática de avisos del panel de administración y análisis silent-flag de registros para detectar datos manifiestamente ficticios). Cuando se analiza un registro, enviamos nombre, correo, país declarado e IP de origen a la API de Anthropic. No usamos la respuesta para bloquear registros automáticamente: el resultado solo sirve para mostrar un aviso amigable al usuario y para auditoría de nuestro administrador. Según los términos comerciales de Anthropic, los datos enviados por la API NO se usan para entrenar modelos.

Nunca vendemos, alquilamos ni cedemos sus datos para publicidad o marketing de terceros.

• PHPSESSID — necesaria para mantener la sesión (esencial).
• sdmz_lang — guarda el idioma elegido (preferencia, expira en 1 año).
• _csrf — protege formularios contra CSRF (esencial).
• sdmz_cookie_ok — registra que ha visto este aviso (preferencia).

No usamos cookies de rastreo publicitario, de redes sociales ni analítica de terceros.

• Cuenta activa: mientras exista su cuenta.
• Cuenta eliminada: sus datos se purgan 48 h después de la confirmación (hay ventana de recuperación por enlace de correo).
• Facturas y registros fiscales: 5 años desde el último pago, por exigencia legal.
• Logs de acceso (nginx): 14 días, con tokens enmascarados automáticamente.
• Logs de aplicación (auditoría): 90 días.

• Solicitar acceso a sus datos.
• Corregir datos incorrectos en el propio panel (Cuenta).
• Cambiar el correo principal (con código + aviso al correo anterior).
• Solicitar la eliminación de la cuenta desde el panel.
• Pedir la portabilidad de los datos (exportación legible).
• Retirar el consentimiento.
• Presentar reclamación ante la autoridad competente.

Solicitudes por escrito: [email protected].

En cumplimiento de la legislación aplicable de protección de datos (Art. 14 de la LGPD en Brasil, RGPD en la UE), si tenemos conocimiento de que una cuenta fue creada por un menor de 18 años sin el consentimiento específico y destacado de al menos uno de los padres o responsable legal, la cuenta será suspendida y los datos asociados serán eliminados. Los responsables legales que identifiquen esta situación pueden solicitar la eliminación inmediata escribiendo a [email protected].