simiriki, operado por Jairo José De La Rosa Piñeiro (en adelante «simiriki», «nosotros» o «el Responsable»), con domicilio en Monterrey, Nuevo León, México, y contacto en jjdlr@simiriki.com, es el responsable del tratamiento de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
2. Datos personales que recabamos
Podemos recabar las siguientes categorías de datos:
Identificación y contacto: nombre completo, correo electrónico, número de teléfono, empresa.
Datos de suscripción: correo electrónico e idioma preferido al suscribirse a nuestro boletín o descargar recursos gratuitos.
Datos de diagnóstico: respuestas al diagnóstico de madurez digital, incluyendo nivel de riesgo, puntuación e industria.
Datos de uso: páginas visitadas, tiempo de sesión, tipo de dispositivo y navegador (mediante cookies analíticas, solo con su consentimiento).
Comunicaciones: contenido de mensajes enviados a través del formulario de contacto.
No recabamos datos personales sensibles de naturaleza biométrica, de salud, ideología política, preferencia sexual u origen étnico. Sin embargo, al autorizar acceso a Microsoft 365 + Azure, procesamos datos laborales y organizacionales que pueden contener información personal de los colaboradores de su empresa. Este procesamiento se realiza exclusivamente con su consentimiento explícito y para los fines de auditoría y diagnóstico descritos en este aviso. El detalle completo del alcance de datos (incluyendo los recursos de Azure Resource Manager evaluados) está en el aviso de privacidad específico del escaneo en /privacidad-scan.
Datos de integración con Microsoft 365 + Azure
Al utilizar nuestro servicio de diagnóstico de seguridad o incorporación empresarial, usted puede autorizar acceso a su entorno de Microsoft 365 + Azure mediante el protocolo OAuth 2.0 (delegado para Microsoft Graph + aplicacional con rol Reader para Azure Resource Manager). Al hacerlo, simiriki puede acceder a:
Microsoft 365 (Microsoft Graph, OAuth delegado): Metadatos de correos electrónicos (asunto, remitente, fecha — no el contenido del cuerpo del correo), eventos de calendario (títulos y horarios), metadatos de archivos en OneDrive y SharePoint, directorio de usuarios de Entra ID, registros de auditoría e inicio de sesión de Entra ID.
Azure (Azure Resource Manager, OAuth aplicacional con rol Reader): Metadatos de configuración de Defender for Cloud (Secure Score, assessments), Azure Policy, Network Security Groups, Storage Accounts, Key Vault (políticas, no valores), instance view de máquinas virtuales, metadatos de Activity Log, configuración de Microsoft Sentinel (reglas, conectores, automation rules, metadatos de incidentes) e inventario de workspaces de Log Analytics. No accedemos a contenido de blobs, valores de secretos, contenido de discos, ni tráfico de red.
Este acceso es temporal, requiere su consentimiento explícito, y los tokens de autenticación se almacenan de forma encriptada (AES-256-GCM) en nuestras bases de datos. Usted puede revocar el acceso en cualquier momento desde su portal de Entra ID o contactándonos a jjdlr@simiriki.com.
3. Finalidades del tratamiento
Finalidades primarias (necesarias):
Responder solicitudes de información, cotizaciones y soporte.
Gestionar la relación comercial y prestación de servicios contratados.
Cumplir obligaciones legales y fiscales.
Finalidades secundarias (con consentimiento):
Envío de boletines periódicos con contenido educativo sobre ciberseguridad y automatización.
Envío de secuencias de correo de bienvenida y seguimiento tras el diagnóstico gratuito.
Análisis estadístico del comportamiento en el sitio web.
Si no desea que sus datos sean tratados para las finalidades secundarias, puede manifestarlo escribiendo a jjdlr@simiriki.com.
4. Transferencia de datos y proveedores
Sus datos podrán ser transferidos a proveedores de servicios tecnológicos que actúan como encargados del tratamiento, siempre bajo acuerdos de confidencialidad y en la medida estrictamente necesaria. No vendemos sus datos personales. Sin embargo, transferimos datos a los proveedores de servicios tecnológicos listados a continuación, necesarios para operar nuestros servicios, bajo acuerdos de confidencialidad y procesamiento de datos.
Los proveedores que utilizamos se listan a continuación. Para el registro autoritativo y siempre actualizado consulte el Centro de Confianza de simiriki.
Microsoft Corporation (EE.UU.) — Azure (infraestructura central: cómputo, base de datos PostgreSQL gestionada, almacenamiento de respaldos cifrados, identidad Entra ID); Microsoft 365 (Graph API para autenticación y correo transaccional vía Graph SendMail); Power Automate (automatización interna); Microsoft Clarity (análisis de comportamiento web).
Amazon Web Services Inc. (EE.UU.) — respaldo de base de datos (legacy): volcados diarios cifrados en reposo (us-east-2); en migración hacia respaldo nativo en Azure.
Cloudflare Inc. (EE.UU.) — DNS autoritativo del dominio y enrutado de borde.
Stripe Inc. (EE.UU.) — procesamiento de pagos, facturación y gestión de suscripciones.
Anthropic PBC (EE.UU.) — utilizamos modelos de inteligencia artificial (Anthropic Claude) para: analizar las respuestas del diagnóstico de madurez digital y generar recomendaciones; generar reportes personalizados de auditoría de seguridad a partir de datos de configuración del tenant; estructurar descripciones de alcance enviadas en texto libre; generar memos ejecutivos y análisis trimestrales para clientes; clasificar y calificar leads de prospección; generar propuestas comerciales personalizadas; producir contenido editorial (blog y redes) sin datos personales ni de clientes; y responder preguntas escritas por visitantes en el asistente del sitio. Los datos enviados a Anthropic a través de su API comercial no se utilizan para entrenar sus modelos (Términos Comerciales de Anthropic) y solo se retienen de forma temporal y limitada para operar el servicio y monitorear uso indebido. Más detalle en su política de privacidad y sus términos comerciales.
Google LLC (EE.UU.) — analítica web (Google Analytics).
X Corp. (EE.UU.) — publicación automática de contenido editorial en X/Twitter.
LinkedIn Corp. (EE.UU.) — publicación automática de contenido editorial en LinkedIn.
Apollo.io Inc. (EE.UU.) — enriquecimiento de datos de prospección y búsqueda de contactos empresariales.
Proveedores retirados (sin tratamiento activo a 12 de junio de 2026): HubSpot (gestión de contactos — sustituido por marketing_contacts en Azure PostgreSQL, retirado 2026-05-22); Resend (correo transaccional — sustituido por Microsoft Graph SendMail, retirado 2026-05-22); Railway (hospedaje de API — sustituido por Azure Container Apps, retirado 2026-05); Vercel (hospedaje web — sustituido por Azure Front Door + Container Apps, retirado 2026-05-22); Supabase (base de datos heredada — todas las tablas migradas a Azure PostgreSQL y eliminadas de Supabase el 2026-05-29, Owner-16 cerrado); Sentry (seguimiento de errores — sustituido por telemetría nativa de Azure: registro estructurado en Azure Log Analytics, retirado 2026-06-12).
Estos proveedores están ubicados fuera de México (transferencia internacional). En tales casos, exigimos garantías equivalentes de protección conforme a los artículos 36–37 de la LFPDPPP.
5. Conservación de datos
Los datos personales serán conservados durante los siguientes periodos, según su categoría:
Clientes activos: durante toda la relación comercial y hasta 365 días después del cierre del proyecto.
Registros fiscales y de pago: 5 años conforme a los requerimientos del SAT.
Leads de marketing (no clientes): 180 días de inactividad; después de este periodo, los datos son eliminados automáticamente.
Datos de diagnóstico: conservados por 180 días desde la última interacción. Después de este periodo, los datos son eliminados automáticamente.
Suscriptores de boletín: hasta que el suscriptor cancele su suscripción.
Tokens de OAuth y datos de escaneo de Microsoft 365 + Azure: 90 días desde la finalización del análisis, salvo que una obligación legal requiera retención mayor.
Una vez cumplido el periodo de retención, los datos serán eliminados o anonimizados de forma irreversible, salvo que una obligación legal requiera su conservación por un periodo mayor.
6. Derechos ARCO
Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos (derechos ARCO), así como a revocar el consentimiento otorgado en cualquier momento.
Incluya su nombre completo, copia de identificación oficial y descripción clara de la solicitud. Responderemos en un plazo máximo de 20 días hábiles.
Adicionalmente, usted tiene derecho a solicitar la portabilidad de sus datos en formato estructurado y de uso común (CSV o JSON). Envíe su solicitud a jjdlr@simiriki.com.
7. Registro de consentimientos
Conservamos un registro de la fecha, hora e IP de la aceptación de este aviso de privacidad y de los consentimientos específicos (marketing, procesamiento de IA, cookies) como evidencia para cumplimiento regulatorio.
8. Comunicaciones automatizadas
Al suscribirse a nuestro boletín o solicitar su Auditoría gratis, usted consiente recibir comunicaciones periódicas por correo electrónico con contenido educativo sobre ciberseguridad y automatización.
Estos envíos incluyen:
Secuencias de bienvenida: correos de onboarding personalizados según su perfil (3 a 5 correos).
Boletín quincenal: selección de artículos del blog enviada cada dos semanas.
Puede cancelar su suscripción en cualquier momento haciendo clic en el enlace «Desuscribirse» incluido al final de cada correo. La cancelación se procesa de forma inmediata.
El canal de WhatsApp Business fue retirado el 22 de mayo de 2026. La mensajería operativa ahora se envía exclusivamente por correo electrónico vía Microsoft Graph SendMail.
9. Publicación de contenido en redes sociales
simiriki utiliza sistemas automatizados para publicar contenido original del blog en LinkedIn y X/Twitter. Estas publicaciones contienen únicamente contenido editorial propio; no se comparten datos personales de usuarios o suscriptores en estas plataformas.
10. Cookies y tecnologías similares
Este sitio utiliza cookies. Para información detallada consulte nuestra Política de Cookies.
11. Cambios a este aviso
Podemos actualizar este Aviso de Privacidad en cualquier momento. Los cambios sustanciales se notificarán mediante aviso visible en el sitio web. La fecha de última actualización siempre estará indicada al inicio del documento.
12. Autoridad competente
Si considera que sus derechos han sido vulnerados, puede presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en www.inai.org.mx.