La lista
| Subencargado | Finalidad | Categoría de datos | Región |
|---|---|---|---|
| Amazon Web Services (AWS) | Cómputo, almacenamiento, bases de datos, distribución de contenido | Todos los datos operativos | UE (Irlanda, Estocolmo) por defecto |
| Amazon SES | Correo transaccional (confirmaciones de reservas, restablecimiento de contraseñas, notificaciones de leads) | Direcciones de correo, contenido del mensaje | UE |
| Stripe | Procesamiento de pagos (cuando se factura mediante tarjeta) | Datos de titular de tarjeta tokenizados en origen | UE / global según la residencia de Stripe |
| Plausible Analytics | Analítica web anónima y sin cookies | Eventos de páginas vistas, país (geo-IP), referrer, clase de dispositivo | UE (Alemania) |
| Anthropic, OpenAI, AWS Bedrock | Proveedores de modelos de IA para el motor Nordix BIOS | Contenido de las conversaciones (operador → agente → acción) | UE y EE. UU. — consulta el anexo del DPA |
| Postmark (legacy) | Correo transaccional — en proceso de retirada en favor de SES | Direcciones de correo, contenido del mensaje | EE. UU. |
Cómo los elegimos
Tres criterios, por orden:
- Residencia de datos — por defecto queremos almacenamiento en la UE. Las excepciones (por ejemplo, un proveedor de IA en EE. UU.) se documentan en el anexo del DPA y se ofrecen con opt-in explícito.
- Rigor contractual — cada subencargado firma un Acuerdo de Tratamiento de Datos alineado con el art. 28 del RGPD y el art. 39 de la LGPD. Nos negamos a integrar con servicios que no puedan firmar un DPA.
- Trayectoria — preferimos proveedores con historiales de incidentes públicos, páginas de estado públicas y auditorías SOC 2 / ISO 27001 frente a los que prometen en privado y no informan de nada.
Cómo actualizamos esta lista
Las incorporaciones sustanciales (un nuevo subencargado que trate datos personales) se anuncian con al menos 30 días de antelación a su activación, en esta página y por correo electrónico a los clientes con MSA firmado. Los clientes pueden oponerse a un subencargado concreto; trabajamos con ellos para encontrar una alternativa o, si no existe ninguna, documentamos la excepción.
Derechos del cliente
En el marco de tu MSA puedes, en cualquier momento:
- Solicitar un inventario completo de qué subencargados tratan datos de tu tenant.
- Recibir, a petición, una copia de cualquier DPA que tengamos con un subencargado.
- Ser notificado en un plazo de 72 horas de cualquier incidente de seguridad confirmado en un subencargado que haya afectado a tus datos.
Contacto
Consultas sobre subencargados o DPAs: security@nordixsystems.com o privacy@nordixsystems.com.
Esta lista se actualizó por última vez el 2026-05-12.