Política de Privacidad

Somos directos sobre qué datos recopilamos, por qué, y cuánto tiempo los guardamos. Sin letra pequeña.

Responsable del tratamiento

El responsable del tratamiento de tus datos personales es Vetro Technologies, S.L. (en adelante, "Vetro"), con domicilio en Madrid, España. Para cualquier consulta relacionada con el tratamiento de tus datos, puedes contactarnos en privacy@vetro.dev.

Datos recopilados

Vetro recopila tres categorías de datos:

1. Datos de cuenta

  • Email: para autenticación, notificaciones transaccionales y comunicaciones del servicio.
  • Nombre del workspace: identificador del proyecto o entorno.
  • Información de facturación: procesada directamente por Stripe. Vetro no almacena números de tarjeta.
  • Dirección IP y user agent: registrados en cada sesión para seguridad y rate limiting.

2. Datos de uso del producto

  • Connection strings de bases de datos: almacenados cifrados con AES-256-GCM. Solo usados para establecer la conexión proxy.
  • Texto de queries SQL interceptadas: almacenado cifrado en el audit trail. Retenido según el plan (7-90 días). Accesible solo por miembros del workspace.
  • Metadatos de queries: timestamp, dialecto, decisión (BLOQUEADA/PERMITIDA), regla activada, latencia, nodo AST. No cifrados — usados para métricas del dashboard.
  • Configuración de reglas: reglas estándar activas y reglas custom definidas por el usuario.

3. Datos de telemetría

  • Eventos de uso del dashboard: páginas visitadas, features usadas, tiempo de sesión. Recopilados via Google Analytics 4 (con IP anonimizada).
  • Errores y excepciones: stack traces anonimizados enviados a Sentry para debugging. Sin datos de usuario en los reportes de error.

Vetro nunca almacena los resultados de tus queries (los datos que devuelve tu base de datos). Solo el texto de la query enviada y los metadatos de la decisión de bloqueo.

Uso de los datos

Usamos tus datos exclusivamente para:

  • Prestación del servicio: interceptar y analizar queries SQL, mantener el audit trail, enviar notificaciones de bloqueo.
  • Seguridad: detectar accesos no autorizados, prevenir abuso, rate limiting.
  • Mejora del producto: análisis agregado y anonimizado de patrones de uso para priorizar features. Nunca análisis individualizado sin consentimiento.
  • Comunicaciones transaccionales: emails de verificación, recuperación de contraseña, alertas de cuota, facturas. No enviamos emails de marketing sin opt-in explícito.
  • Soporte técnico: cuando contactas con soporte, podemos acceder a los metadatos de tu workspace (no al contenido de las queries) para diagnosticar problemas.

Nunca vendemos tus datos a terceros. Nunca usamos el contenido de tus queries para entrenar modelos de IA.

Retención de datos

Tipo de dato Plan Free Plan Builder Plan Team Enterprise
Texto de queries (audit trail) 7 días 30 días 90 días Configurable
Metadatos de queries 30 días 90 días 1 año Configurable
Datos de cuenta Hasta cancelación + 30 días
Logs de acceso (IP, user agent) 90 días
Datos de facturación 7 años (obligación legal)

Al cancelar tu cuenta, todos tus datos son eliminados permanentemente en un plazo máximo de 30 días, excepto los datos de facturación que debemos retener por obligaciones legales.

Terceros y subprocesadores

Vetro usa los siguientes subprocesadores para prestar el servicio:

  • Supabase (PostgreSQL): almacenamiento de datos de cuenta, audit trail y configuración. Datos en la región EU (Frankfurt) por defecto.
  • Fly.io: hosting del proxy TCP. Selección de región configurable.
  • Stripe: procesamiento de pagos. Sujeto a la política de privacidad de Stripe.
  • Resend: envío de emails transaccionales. Solo recibe email de destino y contenido del email.
  • Cloudflare: CDN y protección DDoS. Puede procesar IPs de origen.
  • Google Analytics 4: telemetría de uso del dashboard. IP anonimizada. Puedes optar por no participar con extensiones de navegador.
  • Sentry: reporte de errores. Stack traces anonimizados sin datos de usuario.

Todos los subprocesadores están sujetos a acuerdos de procesamiento de datos (DPA) y cumplen con GDPR.

Tus derechos bajo GDPR

Si eres residente en el Espacio Económico Europeo, tienes los siguientes derechos:

  • Acceso: puedes solicitar una copia de todos los datos personales que tenemos sobre ti.
  • Rectificación: puedes corregir datos inexactos directamente en la configuración de tu cuenta o solicitándolo por email.
  • Supresión ("derecho al olvido"): puedes solicitar la eliminación de tus datos. Los datos de facturación se retienen por obligación legal.
  • Portabilidad: puedes exportar tus datos en formato JSON desde el dashboard (audit trail, configuración de reglas).
  • Oposición: puedes oponerte al tratamiento de tus datos para análisis de uso. Esto no afecta al funcionamiento del servicio.
  • Limitación: puedes solicitar la limitación del tratamiento mientras se resuelve una disputa sobre la exactitud de los datos.

Para ejercer cualquiera de estos derechos, escribe a privacy@vetro.dev. Responderemos en un plazo máximo de 30 días.

Si consideras que el tratamiento de tus datos no es conforme al GDPR, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Tus derechos bajo CCPA (residentes de California)

Si eres residente en California, tienes derechos adicionales bajo la California Consumer Privacy Act:

  • Derecho a saber: puedes solicitar información sobre las categorías de datos personales que recopilamos y con quién los compartimos.
  • Derecho a eliminar: puedes solicitar la eliminación de tus datos personales, con las excepciones legales aplicables.
  • Derecho a no discriminación: no discriminamos a usuarios que ejercen sus derechos CCPA.
  • Derecho a opt-out de venta: Vetro no vende datos personales. No aplica el mecanismo de opt-out de venta.

Cookies

Vetro usa las siguientes cookies:

  • Cookies de sesión (esenciales): JWT de autenticación en httpOnly cookie. Necesaria para el funcionamiento del servicio. No puede desactivarse.
  • Cookies de preferencias: tema de la interfaz (dark/light), preferencias de idioma. Almacenadas en localStorage, no en cookies.
  • Cookies de analytics (Google Analytics 4): _ga, _ga_*. Usadas para análisis de uso agregado. Puedes desactivarlas con extensiones de navegador o rechazando las cookies de analytics en el banner de consentimiento.

No usamos cookies de publicidad ni de seguimiento cross-site.

Contacto con el DPO

Para cualquier consulta sobre privacidad, ejercicio de derechos, o incidentes de seguridad relacionados con datos personales, contacta con nuestro Delegado de Protección de Datos:

  • Email: privacy@vetro.dev
  • Tiempo de respuesta: máximo 30 días hábiles
  • Idiomas: español, inglés

Para incidentes de seguridad que puedan afectar a datos personales, escribe a security@vetro.dev — respondemos en menos de 48 horas.