Docs→RGPD y seguridad

RGPD y seguridad

Todo sobre cómo Custos AI trata sus datos, el marco legal y las medidas de seguridad técnicas que aplicamos.

Nuestro papel bajo el RGPD

Custos AI actúa como encargado del tratamiento. Usted — el cliente — es el responsable del tratamiento. Tratamos datos personales solo según sus instrucciones documentadas y de conformidad con nuestro Acuerdo de Tratamiento de Datos (ATD), incluido en nuestras Condiciones de Servicio.

Acuerdo de Tratamiento de Datos (ATD)

Nuestro ATD cumple el Artículo 28 del RGPD y cubre todas las actividades de tratamiento. Se acepta automáticamente al aceptar nuestras Condiciones de Servicio. Puede descargar la versión actual en cualquier momento.

Ver el ATD

Qué datos tratamos

Categoría	Ejemplos	Retención
Datos de cuenta	Nombre, correo, contraseña hasheada, idioma	Duración de la cuenta + 12 meses
Datos de chat	Historial de conversaciones, modelo usado	365 días rotativos, configurable
Archivos subidos	PDF, DOCX, imágenes	30 días desde la subida (configurable)
Datos de uso	Recuentos de tokens, estimaciones de costes	12 meses rotativos
Registros de auditoría	Dirección IP, marcas de tiempo	365 días
Registros de facturación	Referencias de Stripe, información del plan	7 años (derecho fiscal)

Proveedores LLM y el modelo BYOK

En el marco del modelo BYOK, usted mantiene una relación directa con cada proveedor LLM a través de sus propias claves API. Los proveedores LLM no son no son subprocesadores de Custos AI — son responsables o encargados independientes con los que usted se relaciona directamente. Usted es responsable de garantizar la base jurídica adecuada y los acuerdos de tratamiento de datos con cada proveedor que utilice.

Los cuatro proveedores LLM actualmente compatibles con Custos AI — OpenAI, Anthropic, Google y Mistral — ofrecen sus propias condiciones conformes al RGPD y ATD que usted acepta al crear una cuenta con ellos.

Subprocesadores

Supabase, Inc.Base de datos, autenticación, almacenamiento de archivosFráncfort, DE

Vercel, Inc.Alojamiento frontend y edge computeEdge UE

TransIP B.V.VPS para el proxy LiteLLMÁmsterdam, NL

LettermintCorreo transaccionalUE

Stripe Payments EuropeProcesamiento de pagos e impuestosDublín, IE

Lista completa: custosai.eu/sub-processors

Medidas de seguridad

Cifrado en reposo

AES-256 (datos), AES-256-GCM (claves API)

Cifrado en tránsito

TLS 1.2+ en todas las conexiones

Autenticación

Correo + MFA TOTP

Control de acceso

Mínimo privilegio, basado en roles

Copias de seguridad

Cifradas diariamente, retención 30 días

Alojamiento

Solo UE — Fráncfort + Ámsterdam

¿Preguntas sobre privacidad o el ATD?

Nuestro equipo de privacidad responde en 2 días hábiles.