← Volver

Política de privacidad

Versión: 2026-06-13

Esta es una traducción de cortesía. La versión legalmente vinculante es la Versión en inglés, que prevalece en caso de cualquier discrepancia.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales tratados en relación con Server Manager es Igor Cardines, trabajador autónomo italiano (libero professionista). Contacto: igor.cardines@gmail.com.

Como trabajador autónomo, no tenemos un Delegado de Protección de Datos (DPD) formalmente designado; dirija todas las consultas sobre protección de datos al correo electrónico de contacto indicado anteriormente.

2. Qué datos personales recopilamos

Para una explicación en lenguaje sencillo con ejemplos, consulte el artículo de ayuda Qué almacena Server Manager sobre usted. Las categorías formales de datos que tratamos son:

  • Información de la cuenta: dirección de correo electrónico, nombre (si se facilita mediante Google OAuth), proveedor de autenticación utilizado, fecha de creación de la cuenta, rol (usuario / administrador).
  • Perfiles de servidor guardados (opcional): alias del servidor, host/IP, puerto, nombre de usuario y un bloque de credenciales cifrado (AES-256-GCM, clave derivada de una frase de contraseña que solo usted conoce mediante scrypt; nunca vemos su frase de contraseña ni las credenciales en texto claro almacenadas).
  • Datos de sesión activa: credenciales SSH necesarias para operar su sesión, conservadas únicamente en la memoria del proceso mientras la sesión está abierta. Nunca se escriben en disco. Se descartan cuando finaliza la sesión.
  • Registros de conexión al servidor: IP/nombre de host al que se conecta, más marcas de tiempo de reclamación. Se utilizan para la comprobación de un usuario activo por host y la prevención de abusos del nivel gratuito.
  • Datos de facturación: ID de cliente de Stripe, ID opcional de método de pago guardado, fechas de inicio/fin del pase, coste acumulado de LLM en el pase actual, datos de dirección de facturación que proporcione en el pago. Los números de tarjeta y datos sensibles similares son tratados directamente por Stripe y nunca llegan a nuestros servidores.
  • Registros de consentimiento por compra: marca de tiempo, dirección IP, user-agent, versión de estos Términos y de la Política de privacidad aceptadas en cada compra. Requeridos como pista de auditoría para la renuncia al derecho de desistimiento del Art. 16(m).
  • Registros de uso: recuentos de tokens por llamada a LLM, nombre del modelo, coste calculado en EUR, ID de sesión. No incluye contenido de chat.
  • Registros antiabuso del nivel gratuito: fecha de concesión y fecha opcional de revocación, más lista de hosts VPS observados bajo la concesión (dentro de una ventana de 90 días).
  • Instantáneas de archivos (Deshacer): texto de comandos, rutas de archivos, contenido de archivos (base64) para archivos que Faro modifica; capturados para la función Deshacer, eliminados automáticamente 30 días después de la captura.
  • Datos de extensión de navegador y supervisión (opcional): si utiliza la extensión de navegador opcional y habilita la supervisión del servidor, un token de emparejamiento de dispositivo (hasheado en reposo) y la instantánea de estado más reciente de cada servidor supervisado (métricas, recuentos de actualizaciones pendientes, accesibilidad — sin credenciales, sin chat). Véase la sección 14.
  • Correspondencia de soporte: el contenido de los mensajes que nos envíe por correo electrónico (support@servermanager.dev) o a través del formulario de contacto, junto con su nombre y dirección de correo electrónico, almacenado como ticket de soporte para que podamos hacer seguimiento y responder a su solicitud.
  • Datos de facturación / fiscales (solo si solicita una fattura): cuando solicita una factura electrónica italiana al finalizar la compra, los datos fiscales que proporcione — nombre o razón social, dirección, país, codice fiscale y/o partita IVA, y codice destinatario o PEC — se almacenan y utilizan para emitir y transmitir la fattura a través de SdI.

3. Datos que NO recopilamos

  • Contraseñas SSH o claves privadas en texto claro (almacenadas)
  • Su frase de contraseña de cifrado (para perfiles de servidor guardados)
  • Números de tarjeta, CVV o fechas de caducidad (Stripe los gestiona)
  • Historial de chat persistente después de su sesión (el chat está diseñado para existir solo en RAM)
  • Registros de direcciones IP para analítica o fingerprinting (solo se capturan por compra como pista de auditoría de consentimiento)
  • Cookies de analítica o marketing (solo se utiliza la cookie de sesión de autenticación)

4. Base jurídica del tratamiento

Tratamos sus datos personales con arreglo a las siguientes bases del Art. 6 del GDPR:

  • Contrato (Art. 6(1)(b)): creación de cuenta, autenticación, procesamiento de sus compras, operación del agente contra su servidor, facturación, atención al cliente.
  • Intereses legítimos (Art. 6(1)(f)): prevención de abusos (antifraude del nivel gratuito, limitación de tasa), supervisión de seguridad, estabilidad del servicio, analítica de producto y mejora del servicio (medición de uso seudónima y sin cookies). Cuando nos basamos en intereses legítimos, hemos evaluado que nuestros intereses no prevalecen sobre sus derechos y libertades.
  • Obligación legal (Art. 6(1)(c)): conservación de registros de facturación exigida por la legislación fiscal italiana; respuesta a solicitudes lícitas de autoridades.
  • Consentimiento (Art. 6(1)(a)): renuncia al derecho de desistimiento del Art. 16(m) en la compra; guardar una tarjeta para recarga automática.

5. Finalidades del tratamiento

  • Prestación del servicio — ejecutar comandos del agente que usted aprueba contra su servidor, renderizar la interfaz de usuario, gestionar sus sesiones
  • Facturación — procesar pagos mediante Stripe, generar recibos, cumplimiento fiscal
  • Prevención de abusos — detectar intentos de eludir el límite del nivel gratuito, suspender cuentas que infrinjan el uso aceptable
  • Operación del servicio — diagnosticar errores, supervisión de seguridad, planificación de capacidad (solo métricas agregadas no identificativas)
  • Comunicaciones — correos electrónicos de autenticación, avisos críticos del servicio (cambios en los TOS, problemas de seguridad), respuestas a sus solicitudes de soporte

No utilizamos sus datos para publicidad, listas de correo de marketing, elaboración de perfiles para segmentación publicitaria ni venta a terceros.

6. Encargados terceros (subencargados)

Dependemos de los siguientes subencargados para operar Server Manager. Cada uno tiene su propia política de privacidad y trata únicamente los datos necesarios para la función descrita.

  • Stripe (entidad de Irlanda de la UE para clientes europeos; transferencias a Estados Unidos cubiertas por Cláusulas Contractuales Tipo): gestiona todo el procesamiento de pagos. Recibe los datos de su tarjeta, dirección de facturación y datos del historial de pagos. Nosotros solo vemos ID opacos.
  • OpenAI (Estados Unidos, SCCs): recibe el contenido de sus mensajes de chat más el contexto pertinente del servidor (contenido de archivos que Faro lee, salidas de comandos) con la finalidad de generar las respuestas de Faro. Cuando se pone en contacto con nosotros por correo electrónico de soporte o mediante el formulario de contacto, el contenido de su mensaje también se envía a OpenAI para redactar una respuesta sugerida, que un miembro de nuestro equipo revisa antes de que se envíe. De conformidad con los términos de la API de OpenAI, sus datos no se utilizan para entrenar sus modelos; conservan registros operativos durante un máximo de 30 días.
  • Resend (Estados Unidos, SCCs): envía correos electrónicos transaccionales (enlaces de autenticación, respuestas de soporte).
  • Aruba (Aruba PEC S.p.A.) (Italia): nuestro intermediario de facturación electrónica. Cuando solicita una fattura, recibe los datos fiscales de esa factura (el archivo FatturaPA) para transmitirla al Sistema di Interscambio (SdI) de la autoridad tributaria italiana y conservarla según lo exigido legalmente. Se utiliza únicamente para clientes que solicitan una factura.
  • Neon (región UE, alojamiento PostgreSQL): almacena nuestra base de datos.
  • Proveedor de alojamiento de la aplicación: ejecuta nuestros servidores de aplicación. Ve únicamente los datos necesarios para gestionar solicitudes en tránsito.
  • PostHog (región de la Unión Europea — PostHog Cloud EU): analítica de producto y sitio web. Recibe eventos de uso seudónimos vinculados a su identificador de cuenta — registro, conexiones a servidores, ejecuciones de recetas y eventos del embudo de producto como alcanzar un límite de uso o comprar un pase — junto con datos de páginas vistas sin cookies y metadatos estándar de solicitud (tipo de navegador y dispositivo, y un país aproximado derivado de su dirección IP, que se utiliza solo para esa consulta y luego se descarta — no almacenamos su dirección IP). Lo usamos únicamente para comprender cómo se utiliza Server Manager y mejorarlo. Está configurado sin cookies y sin seguimiento entre sitios, no se utiliza para publicidad y no recibe contenido de chat, credenciales de servidor ni contenido de archivos.
  • Sentry (región de la Unión Europea): supervisión de errores de la aplicación. Cuando la aplicación encuentra un error inesperado, Sentry recibe un informe de diagnóstico — el tipo de error y stack trace, la ruta implicada, y el tipo de navegador/sistema operativo, asociado a un identificador seudónimo — para que podamos detectar y corregir fallos. Está configurado para no transmitir datos personales procedentes del contenido de las solicitudes, y no trata contenido de chat ni credenciales.

Añadimos o cambiamos subencargados únicamente según sea necesario para la operación del servicio. Los cambios materiales se reflejarán en esta política con aviso.

7. Transferencias internacionales de datos

Algunos de nuestros subencargados (operaciones de Stripe en EE. UU., OpenAI, Resend) se encuentran en Estados Unidos. Estas transferencias están cubiertas por Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea, como mecanismo válido de transferencia del Capítulo V del GDPR tras la sentencia Schrems II.

8. Plazos de conservación

  • Contenido de chat: solo en memoria; se pierde cuando finaliza su sesión. Sin almacenamiento persistente.
  • Registro de cuenta: durante la vida de su cuenta. Tras la eliminación: eliminación lógica durante 30 días, eliminación definitiva después.
  • Registros de facturación y pista de auditoría de consentimiento: conservados durante 10 años para cumplir con la legislación fiscal italiana (conservazione delle scritture contabili), en forma minimizada (fecha de transacción, importe, ID de factura, versión de los TOS aceptada).
  • Registros de uso: conservados durante 12 meses para detección de abusos e informes agregados; eliminados posteriormente.
  • Tickets de soporte: el contenido de su correspondencia de soporte y nuestras respuestas, conservados durante hasta 24 meses para gestionar seguimientos y problemas recurrentes, y luego eliminados — o antes si lo solicita, salvo cuando un mensaje se refiera a un registro de facturación que debamos conservar.
  • Facturas electrónicas (fatture): cuando haya solicitado una, la fattura y sus datos fiscales se conservan durante 10 años según lo exigido por la legislación italiana (conservazione a norma), a través de nuestro proveedor de facturación.
  • Instantáneas de archivos (Deshacer): 30 días desde la captura, luego eliminadas automáticamente por una tarea programada.
  • Registros de abuso del nivel gratuito (hosts VPS observados): 90 días desde la observación; utilizados únicamente para cotejo entre cuentas durante esta ventana.
  • Tokens de autenticación y cookies de sesión: duración de la cookie de sesión, normalmente 30 días salvo que cierre sesión antes.

9. Sus derechos conforme al GDPR

Como interesado de la UE, usted tiene los derechos descritos en el Capítulo III del GDPR. Para la versión práctica sobre “cómo ejercer cada uno”, consulte el artículo de ayuda Sus derechos conforme al GDPR y exportación de datos. En resumen:

  • Derecho de acceso (Art. 15) — recibir una copia de sus datos
  • Derecho de rectificación (Art. 16) — corregir datos inexactos
  • Derecho de supresión (Art. 17) — eliminar sus datos; con un clic desde la página Cuenta
  • Derecho a la portabilidad de los datos (Art. 20) — recibir sus datos en un formato legible por máquina
  • Derecho de oposición (Art. 21) — al tratamiento basado en intereses legítimos
  • Derecho a la limitación (Art. 18) — pausar el tratamiento durante la revisión de una controversia

También tiene derecho a presentar una reclamación ante una autoridad de control. La autoridad principal para Server Manager es el Garante per la protezione dei dati personali italiano; también puede ponerse en contacto con su autoridad nacional de protección de datos.

Para ejercer cualquiera de estos derechos, envíe un correo electrónico a igor.cardines@gmail.com desde la dirección de correo electrónico registrada en su cuenta. Respondemos en un plazo de 30 días según lo exigido por el GDPR.

10. Cookies

Utilizamos únicamente cookies esenciales — concretamente la cookie de sesión de autenticación que mantiene su sesión iniciada. No establecemos cookies de analítica, cookies publicitarias, píxeles de seguimiento de redes sociales ni rastreadores de terceros. No se requiere banner de cookies conforme a las orientaciones de la UE/Italia porque no se utilizan cookies que requieran consentimiento.

11. Edad mínima

Server Manager es un servicio de pago que requiere un contrato vinculante y no está dirigido a menores. Debe tener al menos 18 años para crear una cuenta. Si tenemos conocimiento de que hemos recopilado datos personales de alguien menor de 18 años, los eliminaremos sin demora.

12. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger sus datos, incluidas:

  • Cifrado TLS para todos los datos en tránsito
  • Cifrado en reposo de credenciales de servidores guardadas utilizando AES-256-GCM con claves derivadas de frase de contraseña (scrypt KDF)
  • Credenciales SSH conservadas únicamente en la memoria del proceso para sesiones activas; nunca escritas en almacenamiento persistente
  • Datos de tarjeta gestionados por Stripe bajo certificación PCI DSS Level 1; nosotros nunca los vemos
  • Control de acceso de mínimo necesario en sistemas internos
  • Revisión periódica de actualizaciones de dependencias por vulnerabilidades conocidas

Ningún sistema es perfectamente seguro. En caso de una violación de datos personales que sea probable que resulte en un riesgo para sus derechos y libertades, notificaremos al Garante en un plazo de 72 horas y a los usuarios afectados sin dilación indebida, según lo exigido por los Art. 33 y 34 del GDPR.

13. Cambios en esta política

Podemos actualizar esta política a medida que cambien nuestras prácticas. Los cambios materiales (nuevos subencargados, ampliación de la recopilación de datos, nuevas finalidades) se anunciarán con al menos 30 días de antelación por correo electrónico y mediante un banner dentro de la aplicación. El sello de versión en la parte superior de esta página refleja la revisión actual.

14. Extensión de navegador y supervisión de servidores (opcional)

Server Manager ofrece una extensión de navegador opcional que muestra el estado de los servidores que usted elige supervisar, directamente en la barra de herramientas de su navegador. Es gratuita y completamente opcional: si no la instala y no habilita la supervisión, no se produce ninguno de los tratamientos de esta sección.

  • Token de emparejamiento de dispositivo: cuando conecta la extensión a su cuenta, emitimos un token que vincula ese navegador con su cuenta. Se almacena localmente en el navegador (almacenamiento de la extensión) y, en forma hasheada, en nuestros servidores. Puede revocarlo en cualquier momento desde Cuenta → Extensiones conectadas; la revocación impide inmediatamente que la extensión vea sus servidores.
  • Instantáneas de estado del servidor: para cada servidor en el que habilite la supervisión, almacenamos la instantánea de estado más reciente — carga, memoria, disco, recuentos de actualizaciones pendientes, información básica del host (SO, kernel, tiempo de actividad) y la accesibilidad HTTP del servidor. Estos son los mismos datos operativos que se muestran en la aplicación. La extensión los lee mediante HTTPS para renderizar la insignia y la ventana emergente de la barra de herramientas, y el estado más reciente también se mantiene en el almacenamiento local de la extensión del navegador. Las instantáneas no contienen contenido de chat ni credenciales.
  • Agente de supervisión en el servidor: habilitar la supervisión instala un pequeño agente de solo lectura en su servidor (un script ejecutado por un usuario de sistema sin privilegios y sin inicio de sesión en un temporizador programado). Lee métricas locales y recuentos de actualizaciones pendientes y los envía a su cuenta mediante HTTPS aproximadamente cada cinco minutos. No puede realizar cambios, ejecutar comandos ni leer sus archivos, y no almacena claves SSH. Desactivar la supervisión para un servidor (desde la aplicación) elimina el agente.

La extensión se comunica únicamente con su propia cuenta de Server Manager en servermanager.dev. No utiliza código remoto, no establece rastreadores publicitarios ni analíticos, y no transmite sus datos a ningún tercero. Los datos de instantáneas se mantienen únicamente como el valor más reciente por servidor (cada actualización sobrescribe la anterior) y se eliminan cuando deshabilita la supervisión o elimina su cuenta.

Contacto

Consultas sobre privacidad y protección de datos: igor.cardines@gmail.com. Correspondencia postal (si fuera necesaria para solicitudes formales) previa solicitud.