License Server Data Processing Agreement (DPA)

Arandu AI · Microinformatica S.R.L. · Versión skeleton 0.3 · Revisado 2026-06-12

Este DPA cubre exclusivamente los datos procesados por el Arandu License Server y el heartbeat asociado. No cubre los datos procesados dentro de la instancia self-hosted del cliente, ya que Arandu no procesa esos datos. El cliente opera la instancia y es data controller frente a sus propios usuarios finales.

1. Partes

  • Controller: cliente que adquiere la licencia.
  • Processor: Microinformatica S.R.L. (RUC 80055647-0, Asunción, Paraguay), operando bajo la marca Arandu AI, exclusivamente respecto a los datos del License Server.
  • Subprocessors: proveedores listados en Subprocesadores (hosting, billing, email).

2. Objeto

Procesamiento de la metadata necesaria para emitir, validar y revocar licencias, registrar heartbeats y permitir billing y soporte.

3. Categorías de datos procesados

Solo las siguientes categorías se procesan para licencia y heartbeat:

  • Durante registro, activación o compra: email corporativo, dominio del owner del cliente y opcional tax ID declarado.
  • Durante heartbeat periódico: license_id, instance_id, instance_fingerprint, versión del software, timestamp, firma y métricas operativas agregadas opcionales (sin nombres, sin contenido).

4. Categorías de datos NO procesados

Arandu no recibe ni procesa:

  • Prompts, respuestas, streams de inferencia.
  • Conversaciones, mensajes, títulos, tool calls.
  • Documentos, chunks, embeddings.
  • Credenciales BYOK, API keys del cliente, secrets de webhooks.
  • Nombres, emails ni identificadores de usuarios finales del cliente.
  • PII detectada por el security scanner del producto.

5. Naturaleza y finalidad del procesamiento

  • Emisión, validación y revocación de licencias.
  • Registro de heartbeats y detección de instancias morosas o expiradas.
  • Billing y cumplimiento tributario vía subprocessor de billing.
  • Soporte técnico cuando lo solicite el cliente.

El intervalo operativo estándar es heartbeat cada 7 días con grace de 14 días. Este DPA no autoriza ampliar el payload técnico sin actualizar la lista de categorías de la sección 3.

6. Duración

  • Vigencia de la suscripción + 90 días calendario post-cancelación para cumplimiento legal, fiscal y soporte.
  • Transcurrido ese período, los datos se anonimizan o eliminan, salvo obligaciones legales superiores.

7. Obligaciones del Processor (Arandu)

  • Procesar los datos solo para los fines indicados en este DPA.
  • Aplicar medidas de seguridad organizacionales y técnicas apropiadas: TLS, cifrado en reposo, control de acceso, registro de auditoría.
  • Garantizar confidencialidad por parte del personal autorizado.
  • Asistir al Controller en su deber de responder a DSR de los datos cubiertos por este DPA.
  • Notificar al Controller incidentes de seguridad relevantes en plazo razonable.
  • Al fin del contrato, devolver o eliminar los datos cubiertos, salvo obligaciones legales superiores.

8. Subprocessors

  • Arandu publica y mantiene actualizada la lista de subprocesadores en Subprocesadores.
  • Arandu informa con antelación razonable cualquier cambio sustancial en subprocesadores.
  • El Controller puede oponerse por motivos razonables; la solución ante objeciones se resolverá según el contrato marco.

9. Transferencias internacionales

  • Los datos pueden almacenarse en jurisdicciones donde operan los subprocesadores.
  • Se aplican cláusulas contractuales tipo o mecanismos legales equivalentes cuando corresponda.

10. DSR y cooperación

  • Arandu coopera razonablemente con el Controller para responder solicitudes de titulares respecto a los datos del License Server.
  • El procedimiento del lado del License Server se ejecuta a través del canal de privacidad: [email protected].

11. Auditoría

  • El Controller puede solicitar evidencia razonable del cumplimiento (políticas internas, certificaciones cuando existan, reportes de incidentes).
  • Auditorías on-site se acuerdan caso por caso para clientes empresariales.

12. Limitaciones

  • Arandu no responde por el procesamiento que el cliente realiza dentro de su instancia self-hosted, ya que Arandu no actúa como Processor de esos datos.
  • Las APIs de IA externas (BYOK) son responsabilidad del cliente y de los proveedores que el cliente contrata.