Aviso de Privacidad

Simiriki ("la Organización"), con domicilio en Monterrey, Nuevo León, México, es responsable del tratamiento de los datos personales que recopilamos a través del servicio de escaneo de Microsoft 365 + Azure.

Conforme a lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, te informamos sobre el tratamiento de tus datos personales.

1. Identidad del Responsable

2. Datos Personales Recopilados

a) Datos Proporcionados Directamente por Ti

• Nombre completo
• Correo electrónico corporativo
• Nombre de la empresa
• Industria y número de empleados

b) Datos Obtenidos a Través del Escaneo de Microsoft 365 (Microsoft Graph)

Con tu consentimiento y autorización explícita, accedemos a datos de lectura de tu tenant de Microsoft 365 mediante Microsoft Graph (OAuth 2.0 delegado, read-only). 151 de las 197 reglas de detección operan sobre estos datos:

• Correo: Metadatos de mensajes, reglas de reenvío, configuración de reenvío de correo
• Calendario: Metadatos de eventos, patrones de uso
• Archivos: Estructura de carpetas, metadatos de documentos, permisos de compartición
• Sitios: Configuración de SharePoint, permisos y políticas de compartición
• Contactos: Metadatos de contactos corporativos
• Seguridad: Eventos de auditoría, políticas de seguridad, configuración de autenticación multifactor
• Dispositivos: Información de cumplimiento de dispositivos administrados
• Directorio: Información de usuarios, grupos y roles administrativos
• Políticas: Configuración de políticas de seguridad y acceso condicional

c) Datos Obtenidos a Través del Escaneo de Azure (Resource Manager)

Adicionalmente, 46 de las 197 reglas de detección evalúan tu plano de Azure mediante la API de Azure Resource Manager (management.azure.com) usando un token aplicacional con permiso Reader a nivel de suscripción. El acceso es de solo lectura y se limita exclusivamente a metadatos de configuración de los siguientes recursos:

• Microsoft Defender for Cloud: Secure Score (puntuación de postura), assessments (evaluaciones de control)
• Azure Policy: Estado agregado de cumplimiento de políticas
• Networking: Network Security Groups (reglas de NSG, no tráfico)
• Storage: Configuración de Storage Accounts (acceso público, cifrado, TLS mínimo — no contenido de blobs)
• Secrets: Configuración de Azure Key Vault (políticas de acceso, soft-delete, purge protection — no valores de secretos)
• Compute: Estado de máquinas virtuales (instance view, no contenido del disco)
• Activity Log: Metadatos de eventos de plano de control (últimos 7 días)
• Microsoft Sentinel: Configuración de reglas de alerta, data connectors, automation rules, y metadatos de incidentes abiertos (no contenido de logs en KQL)
• Log Analytics: Inventario de workspaces (no contenido de logs)

3. Finalidades del Tratamiento

Finalidades Primarias

• Realizar el diagnóstico de seguridad de tu tenant de Microsoft 365 + Azure
• Identificar brechas de seguridad y configuraciones riesgosas
• Detectar oportunidades de automatización y optimización de licencias
• Generar un reporte personalizado con hallazgos y recomendaciones
• Cumplimiento de obligaciones contractuales del servicio solicitado

Finalidades Secundarias

• Comunicarnos contigo sobre los resultados del diagnóstico
• Ofrecerte servicios complementarios basados en los hallazgos
• Mejorar nuestros servicios y análisis diagnósticos

4. Consentimiento

Tu consentimiento para el tratamiento de datos se obtiene en dos fases:

1. Aceptación del aviso: Al enviar el formulario de solicitud de diagnóstico, aceptas este aviso de privacidad
2. Autorización OAuth: Al conectar tu tenant de Microsoft 365 + Azure, otorgas explícitamente permiso mediante OAuth 2.0 (delegado para Microsoft Graph y aplicacional con rol Reader para Azure Resource Manager) para que accedamos a los datos especificados

Puedes revocar tu consentimiento en cualquier momento. Ver la sección "Derechos ARCO" para más información.

5. Almacenamiento y Protección de Datos

Ubicación del Almacenamiento

Los datos se almacenan en Azure PostgreSQL Flexible Server (región East US 2, alta disponibilidad zone-redundant, cifrado en reposo AES-256 con claves administradas por el servicio).

Medidas de Seguridad

• Encriptación en tránsito (HTTPS/TLS)
• Encriptación en reposo de datos sensibles
• Acceso restringido mediante controles de identidad y acceso (IAM)
• Cumplimiento con GDPR, CCPA y estándares internacionales
• Auditoría y monitoreo continuo de acceso a datos

6. Retención y Eliminación de Datos

Datos que se Conservan Más Allá de 30 Días

• Reporte final: Se conserva de forma resumida durante 90 días para referencia
• Información de contacto: Nombre, correo y empresa se conservan para contacto futuro según tu consentimiento (puedes revocar en cualquier momento)
• Logs de auditoría: Se mantienen durante 1 año para cumplimiento normativo y seguridad

Eliminación Solicitada por el Usuario

Puedes solicitar la eliminación de tus datos en cualquier momento. Nos comprometeremos a eliminar todos tus datos en un plazo de 30 días, excepto aquellos que debamos conservar por obligación legal.

7. Limitaciones de Uso

8. Transferencias de Datos

No compartimos tus datos personales con terceros sin tu consentimiento explícito, excepto en los siguientes casos:

• Por obligación de ley o orden judicial
• Con Microsoft Corporation (Azure como proveedor de infraestructura — cómputo, base de datos PostgreSQL y respaldos; OAuth directo a tu tenant para los escaneos Microsoft 365 + Azure)

Los datos se procesan en Estados Unidos conforme a los estándares internacionales de protección de datos aplicables.

9. Tus Derechos ARCO

Conforme a la LFPDPPP, tienes los siguientes derechos:

A - Acceso

Puedes solicitar acceso a todos los datos personales que tenemos sobre ti.

R - Rectificación

Puedes solicitar que corrija datos inexactos o incompletos.

C - Cancelación

Puedes solicitar la eliminación de tus datos. Los datos de escaneo se eliminan automáticamente a los 30 días.

O - Oposición

Puedes oponerle al tratamiento de tus datos para finalidades secundarias.

10. Cookies y Tecnologías Similares

Nuestro sitio web utiliza cookies para:

• Almacenar el estado de tu sesión del escaneo (ID de escaneo y token)
• Mejorar la experiencia del usuario
• Análisis de uso (Google Analytics)

Puedes desactivar cookies en tu navegador, aunque esto puede afectar la funcionalidad del servicio.

11. Cambios a este Aviso de Privacidad

Podemos actualizar este aviso de privacidad en cualquier momento. Los cambios significativos se comunicarán por correo electrónico a los usuarios registrados. El uso continuado del servicio después de cambios implica aceptación de los nuevos términos.

12. Contacto para Privacidad

Última actualización: 21 de marzo de 2026