Subprocesadores

Esta página identifica proveedores, subprocesadores y terceros relevantes que pueden tratar datos personales, datos operativos o información técnica para prestar Momentum. Complementa el Aviso de Privacidad Integral, el Acuerdo de Tratamiento de Datos, los Términos y Condiciones, la Política SMS, la Política de Cookies y la Política de Retención y Eliminación.

1. Alcance

Momentum utiliza proveedores externos para operar mensajería SMS, pagos, infraestructura, hosting, seguridad, correo, analítica, verificación antiabuso, soporte, observabilidad y funcionalidades relacionadas.

No todos los proveedores tratan los mismos datos ni están activos para todos los clientes, planes, entornos o funcionalidades. El tratamiento depende de la configuración del tenant, el país, el proveedor SMS habilitado, el método de pago, el entorno de despliegue, el canal usado, las integraciones activadas y las preferencias de cookies o analítica.

Cuando un proveedor trata datos por instrucciones de Axon Learning o del Cliente para prestar Momentum, puede actuar como encargado, subprocesador o proveedor de servicio. Algunos terceros, como procesadores de pago, operadores de telecomunicaciones o plataformas de analítica, también pueden actuar como responsables independientes respecto de ciertos tratamientos que determinan conforme a sus propias políticas.

2. Proveedores principales

2.1 LabsMobile / 001TECH SL

Servicio: mensajería SMS, API de envío, rutas, subcuentas, delivery reports, respuestas entrantes, números virtuales y soporte técnico asociado.

Datos tratados: teléfonos de destinatarios, contenido de SMS, metadatos de envío, estado de entrega, errores, respuestas, identificadores de proveedor, configuración de cuenta, credenciales técnicas, remitentes, timestamps y datos necesarios para soporte o cumplimiento de proveedores.

Finalidad: cursar mensajes SMS, recibir eventos DLR/MO, administrar rutas, mantener entregabilidad, atender soporte, aplicar reglas de proveedor y conservar evidencia técnica asociada.

Ubicación/transferencias: LabsMobile es operado por 001TECH SL en España y puede usar operadores de telecomunicaciones, infraestructura, soporte o subcontratistas en distintas jurisdicciones para entregar mensajes nacionales o internacionales.

Documentación pública del proveedor: https://www.labsmobile.com/en/about/terms y https://www.labsmobile.com/en/about-us/privacy-policy.

2.2 Stripe

Servicio: pagos, checkout, suscripciones, métodos de pago, facturación, impuestos, portal de cliente, eventos de billing y conciliación.

Datos tratados: identificadores de cliente, email de facturación, nombre o razón social cuando aplique, país, referencias de pago, customer ID, subscription ID, invoice ID, price ID, metadata de plan, impuestos, estado de pago y eventos de Stripe. Momentum no almacena datos completos de tarjeta cuando el cobro se procesa en Stripe.

Finalidad: procesar pagos, administrar suscripciones, acreditar segmentos, aplicar impuestos, conciliar facturación, atender soporte de cobro, prevenir fraude y cumplir obligaciones financieras o legales.

Ubicación/transferencias: Stripe puede tratar datos en Estados Unidos, Europa y otras jurisdicciones conforme a su estructura contractual, DPA, afiliadas y subprocesadores.

Documentación pública del proveedor: https://stripe.com/legal/dpa, https://stripe.com/legal/dpa/faqs y https://stripe.com/legal/preview/service-providers.

2.3 Infraestructura cloud, base de datos y hosting de la aplicación

Servicio: cómputo, sistema operativo, red, base de datos, almacenamiento, respaldos, TLS, ejecución de la aplicación, workers, Redis/Celery, archivos estáticos, media, volúmenes y continuidad operativa.

Datos tratados: datos de cuenta, usuarios, contactos, interacciones, campañas, eventos, webhooks sanitizados, billing metadata, documentos subidos, logs técnicos, respaldos y datos necesarios para operar la aplicación.

Finalidad: alojar y ejecutar Momentum, almacenar datos del tenant, servir la aplicación, mantener disponibilidad, seguridad, respaldos y recuperación.

Proveedor operativo: la arquitectura y los playbooks de Momentum contemplan despliegue con AWS EC2/EBS o infraestructura equivalente, Postgres, Nginx, Gunicorn, Redis/Celery, contenedores Docker y almacenamiento local o compatible según entorno. Si el entorno productivo usa un proveedor cloud, hosting administrado o almacenamiento equivalente distinto, Axon Learning actualizará esta página o informará el cambio material por medios razonables antes de tratar datos productivos relevantes en dicho proveedor.

2.4 HostGator u hosting del sitio público

Servicio: publicación del sitio momentumsms.com, hosting estático o PHP de formularios, DNS, SSL, archivos públicos, landing, blog o infraestructura de publicación cuando aplique.

Datos tratados: datos técnicos de navegación, logs del servidor, formularios comerciales cuando se procesen en el sitio público, datos de captcha, UTM, IP o identificadores técnicos según configuración.

Finalidad: publicar la landing, recibir formularios comerciales, operar el sitio público, medir rendimiento, proteger formularios y mantener presencia web.

Nota: cuando la landing redirige a la app para signup, checkout u onboarding, el tratamiento posterior se rige por la app Momentum y sus proveedores correspondientes.

2.5 Proveedor de correo transaccional o SMTP

Servicio: activaciones de cuenta, invitaciones, avisos administrativos, soporte, seguridad, billing y comunicaciones operativas.

Datos tratados: email, nombre, organización, asunto, contenido del correo, token o liga de activación, timestamps, estado de entrega y metadatos de envío.

Finalidad: entregar comunicaciones necesarias para crear cuentas, verificar email, invitar usuarios, atender soporte, enviar avisos operativos y comunicar cambios relevantes.

Proveedor operativo: Momentum usa backend de correo configurable por entorno. En producción debe usarse un backend SMTP o API real; si Axon Learning configura un proveedor externo con acceso a datos personales, dicho proveedor quedará sujeto a esta página y podrá informarse de forma específica a clientes que lo soliciten.

2.6 Sentry u observabilidad equivalente

Servicio: monitoreo de errores, eventos técnicos, diagnóstico, estabilidad, trazabilidad de incidencias y alertas.

Datos tratados: errores, stack traces, identificadores técnicos, entorno, release, ruta, navegador, IP o datos de contexto técnico. Momentum procura reducir PII y no enviar secretos deliberadamente, aunque ciertos datos pueden aparecer en eventos técnicos si forman parte del error o contexto.

Finalidad: detectar fallas, investigar incidentes, mejorar estabilidad, priorizar correcciones y proteger la operación.

Estado: Sentry es opcional y solo se inicializa cuando existe configuración de entorno para `SENTRY_DSN` o proveedor equivalente.

2.7 Google Analytics, Google Tag y medición web

Servicio: medición de navegación, rendimiento de landing, conversión, atribución, análisis agregado y mejora de contenidos.

Datos tratados: identificadores de navegador o dispositivo, páginas visitadas, eventos, IP o geolocalización aproximada según configuración del proveedor, parámetros UTM, idioma, dispositivo, navegador y datos descritos en la Política de Cookies.

Finalidad: entender uso del sitio, rendimiento de campañas, atribución, experiencia de usuario y efectividad de contenidos.

Estado: el sitio público carga Google Tag/GA4. Las tecnologías no esenciales deben gestionarse conforme a la Política de Cookies y al centro de preferencias pendiente de implementación documentado en el checklist operativo.

Documentación pública del proveedor: https://policies.google.com/privacy.

2.8 Cloudflare Turnstile u otro captcha/antiabuso

Servicio: verificación antiabuso, prevención de spam, protección de formularios, seguridad y validación humana.

Datos tratados: token de verificación, IP, user-agent, datos técnicos del navegador, resultado de validación y metadatos necesarios para prevenir abuso.

Finalidad: proteger formularios comerciales, signup, contacto, pricing o endpoints públicos contra spam, automatización abusiva y fraude.

Estado: el código de landing y app contempla captcha configurable; su activación depende de llaves y configuración del entorno.

Documentación pública del proveedor: https://www.cloudflare.com/privacypolicy/.

2.9 Google o Microsoft SSO

Servicio: autenticación federada opcional.

Datos tratados: identificadores de cuenta, nombre, correo, proveedor de identidad, tokens de autenticación temporales o metadatos necesarios para login.

Finalidad: permitir acceso con proveedores de identidad autorizados cuando el cliente o el entorno habiliten SSO.

Estado: SSO Google/Microsoft está previsto por configuración, pero solo opera cuando se configuran credenciales del proveedor.

2.10 WordPress CMS del blog

Servicio: administración editorial del blog público, contenido, categorías, autores, assets, SEO editorial y publicación de artículos cuando el CMS esté activo.

Datos tratados: contenido editorial, datos de autores o administradores, imágenes, metadatos SEO, logs técnicos, tokens o credenciales de integración y datos técnicos asociados a publicación.

Finalidad: mantener el blog público de Momentum, separar contenido editorial del frontend principal y operar flujos de publicación controlados.

Estado: el CMS de blog puede operar en un subdominio o hosting separado. Debe configurarse como CMS operativo no indexable cuando corresponda y conectarse a la landing mediante contratos de publicación seguros.

2.11 GitHub, repositorio y automatización de despliegue

Servicio: control de versiones, revisión de cambios, automatización de build/deploy, webhooks de publicación, trazabilidad técnica y colaboración de desarrollo.

Datos tratados: código, documentación, cambios, issues o mensajes técnicos; en principio no debe usarse para almacenar bases de contactos, credenciales productivas, secretos, SMS, datos completos de clientes finales ni información sensible. Puede contener evidencia técnica limitada o referencias cuando se documentan incidencias, siempre procurando reducir PII.

Finalidad: mantener el software, publicar cambios, operar pipelines y conservar trazabilidad técnica.

Responsabilidad: Axon Learning debe evitar subir secretos o datos personales innecesarios al repositorio. Los secretos deben manejarse por variables de entorno, gestores de secretos o configuración protegida.

2.12 OpenAI u otros servicios de IA configurables

Servicio: clasificación, asistencia operativa, análisis de texto, soporte a flujos internos o capacidades de automatización cuando se habiliten mediante API key y configuración.

Datos tratados: contenido de mensajes, respuestas, etiquetas, texto operativo, metadatos mínimos o datos de contexto necesarios para la función específica, solo cuando la funcionalidad de IA esté activada y sea necesaria para operar el caso de uso.

Finalidad: clasificar intención, priorizar respuestas, asistir workflows, mejorar operación o apoyar tareas autorizadas por el Cliente o por Axon Learning conforme al alcance contratado.

Estado: el uso de IA depende de configuración y puede no estar activo para todos los tenants. Momentum debe minimizar datos enviados, evitar secretos, evitar datos sensibles innecesarios y documentar cualquier flujo de IA que trate datos personales relevantes antes de activarlo en producción amplia.

3. Operadores, carriers y redes de telecomunicaciones

Para entregar SMS, LabsMobile u otro proveedor SMS puede interactuar con agregadores, carriers, operadores móviles, proveedores de rutas y redes de telecomunicaciones nacionales o internacionales. Estos terceros pueden recibir número de destino, contenido o fragmentos del mensaje, remitente, timestamps, ruta, estado de entrega y metadatos mínimos necesarios para cursar el SMS.

El Cliente reconoce que la entrega SMS depende de proveedores y operadores externos, y que ciertas reglas, filtros, retenciones, jurisdicciones o rechazos pueden ser determinados por dichos terceros.

4. Proveedores del Cliente e integraciones autorizadas

Cuando el Cliente conecta CRM, ERP, helpdesk, hojas de cálculo, APIs, webhooks, sistemas internos o herramientas de terceros, dichos sistemas tratan datos bajo responsabilidad del Cliente. El Cliente debe configurar permisos, finalidades, credenciales, seguridad, retención y avisos correspondientes.

Momentum puede transmitir datos hacia esos sistemas únicamente conforme a instrucciones, integraciones o configuraciones autorizadas por el Cliente.

5. Categorías de datos compartidos

Según el proveedor y la funcionalidad, pueden tratarse las siguientes categorías:

• Datos de cuenta, tenant, usuarios, roles y configuración.
• Datos de contacto, teléfonos, emails, nombres, etiquetas, segmentos y listas.
• Contenido de SMS, plantillas, respuestas, DLR, errores, bajas y evidencia.
• Datos de billing, pagos, suscripciones, impuestos y referencias de Stripe.
• Datos técnicos, IP, user-agent, headers, logs, eventos, tokens, IDs y métricas.
• Datos de navegación, cookies, UTM, analítica, captcha y formularios.
• Datos de soporte, tickets, adjuntos, capturas, notas e incidencias.

Momentum procura limitar los datos compartidos con cada proveedor a lo razonablemente necesario para su función.

6. Cambios de subprocesadores

Momentum podrá agregar, sustituir o retirar subprocesadores por cambios técnicos, comerciales, legales, operativos, de seguridad, disponibilidad, proveedor, jurisdicción, soporte, continuidad o mejora del servicio.

Los cambios materiales se publicarán en esta página y, cuando corresponda, se notificarán por correo, dentro de la aplicación, en el sitio, durante onboarding o por otros medios razonables.

Salvo que un contrato específico indique otro plazo, los clientes con cuenta activa podrán objetar por escrito un nuevo subprocesador material dentro de los 15 días naturales siguientes a la publicación o notificación del cambio, explicando el fundamento razonable de su objeción. Momentum evaluará la objeción y podrá proponer medidas alternativas, limitar una funcionalidad, mantener la configuración previa cuando sea viable o permitir la terminación del servicio afectado conforme a los Términos.

7. Diligencia y controles

Momentum procurará que los proveedores relevantes estén sujetos a obligaciones contractuales, técnicas u organizativas razonables, incluyendo confidencialidad, seguridad, acceso limitado, tratamiento conforme a finalidad, soporte, disponibilidad, retención o eliminación según aplique.

La selección y evaluación de proveedores puede considerar criticidad del servicio, tipo de datos tratados, ubicación, reputación, documentación pública, seguridad, continuidad, soporte, cumplimiento contractual y capacidad operativa.

8. Responsabilidad del Cliente

El Cliente es responsable de:

• Contar con base legal para cargar datos y usar proveedores a través de Momentum.
• Informar a titulares sobre los encargados, subprocesadores, transferencias o terceros cuando la ley lo requiera.
• Evaluar si su industria, jurisdicción, contrato o caso de uso exige autorizaciones adicionales.
• Mantener coherencia entre sus propios avisos de privacidad, contratos, sistemas de registro y uso de Momentum.
• Revisar cambios de subprocesadores cuando sus obligaciones internas lo requieran.

9. Contacto

Para dudas sobre subprocesadores, proveedores, cambios, objeciones o privacidad, puedes escribir a legal@momentumsms.com.