$ cat /etc/internalhost/privacy

Política de privacidad

Versión 1.0 · Última actualización: 19-05-2026 · En vigor desde ya

TL;DR

Recopilamos lo mínimo necesario para entregarte un servidor y mandarte una factura. Sin tracking, sin redes publicitarias, sin reventa de datos. Estamos en la UE, aplica el RGPD, y nunca compartimos tus datos con terceros salvo obligación legal.

1. Quiénes somos

InternalHost es un autónomo (KvK neerlandés 90174720), titularidad de Xaviero Kajafas, con sede en Amsterdam. Domicilio social: Bijlmerdreef 910, 1103 DV Amsterdam. Oficina (con cita previa): Nieuwe Hemweg 26, 1013 CX Amsterdam. Somos el "responsable del tratamiento" según el RGPD para los datos personales que nos confías como cliente.

2. Qué recopilamos

Tres categorías, nada más:

  • Datos de cuenta: nombre, email, nombre de empresa (opcional), número de IVA (opcional, para B2B). Los facilitas tú al registrarte.
  • Datos de facturación: dirección de facturación, método de pago (no guardamos números de tarjeta — los tiene Mollie/Revolut), historial de pagos. Obligatorios por la fiscalidad neerlandesa + RGPD art. 6(1)(b) (contrato).
  • Datos técnicos: IP de sesión, user-agent del navegador, marcas de tiempo de inicio de sesión. Necesarios para seguridad (CrowdSec, fail2ban) y prevención de fraude. Base jurídica: art. 6(1)(f) (interés legítimo).

No recopilamos: cookies de tracking de terceros, píxeles de redes sociales, IDs publicitarios, geolocalización más allá de la IP, analítica de comportamiento, mouse tracking ni ninguna otra tecnología de vigilancia.

3. Para qué lo usamos

  • Prestar el servicio que has pagado (provisionar servidores, mandarte correo, soporte).
  • Generar y enviarte facturas.
  • Detectar y frenar abusos en nuestra infraestructura (ver AUP).
  • Cumplir obligaciones legales de conservación (fiscalidad NL: facturas 7 años).

No lo usamos para: perfilado, publicidad personalizada, reventa, entrenamiento de modelos de IA ni ningún otro chanchullo paralelo.

4. Durante cuánto lo conservamos

  • Datos de cuenta: mientras seas cliente + 30 días tras la baja para posibles reclamaciones.
  • Facturas: 7 años (fiscalidad neerlandesa).
  • Logs de inicio de sesión: 90 días (forense de seguridad).
  • Datos del servidor (contenido de tu VPS): mientras esté activo el servicio. Tras la baja, 14 días de recuperación y después borrado permanente.
  • Tickets de soporte: 2 años.

5. Con quién compartimos

Lista corta. Todos son encargados del tratamiento bajo jurisdicción UE:

  • Mollie (NL): pasarela de pago. Recibe tu nombre, importe de factura y email. Privacidad de Mollie.
  • Revolut Business (LT, UE): pasarela de pago alternativa. Mismo alcance que Mollie.
  • Cloudflare (US, región de datos UE): CDN/DDoS para esta web. Procesa tu IP + huella del navegador para anti-bot. Aplican las SCCs estándar. Privacidad de Cloudflare.
  • Qupra DC (NL): datacenter. Acceso físico a nuestro hardware, sin acceso lógico a los datos.
  • OpenProvider (NL): registrador de dominios — solo aplica si registras un dominio con nosotros. Recibe los datos de contacto WHOIS.

Y ya está. Sin píxeles de tracking, sin plataformas publicitarias, sin "analítica" SaaS.

6. Tus derechos (RGPD)

Tienes derecho a:

  • Acceder a todos tus datos.
  • Corregirlos.
  • Pedir su supresión (salvo cuando aplique conservación legal).
  • Recibir una copia legible por máquina (portabilidad).
  • Oponerte al tratamiento basado en interés legítimo.
  • Presentar una reclamación ante la Autoridad Neerlandesa de Protección de Datos (o tu autoridad local).

Escribe a [email protected]. Respondemos en 30 días, normalmente en 5.

7. Seguridad

  • TLS en todo (HSTS preloaded).
  • Contraseñas guardadas con bcrypt, nunca en texto plano.
  • SSH de producción solo con claves ed25519, autenticación por contraseña desactivada.
  • MFA obligatorio para cuentas de admin.
  • CrowdSec + fail2ban en todos los endpoints públicos.
  • Copias de seguridad cifradas diarias de los datos de cliente.
  • Acceso restringido: solo Nick y Jarreth tienen shell en producción, solo Xavi tiene admin Filament.

¿Brecha de datos? Notificamos a la APD y a los clientes afectados en 72 horas, según RGPD art. 33-34.

8. Contacto + cambios

Dudas, peticiones o reclamaciones: [email protected] o Signal (enlace en el footer). Nos reservamos el derecho a modificar esta política. Los cambios sustanciales se notifican por email a los clientes activos con al menos 30 días de antelación.