Principios

Gravenos trata los datos bajo el principio de recopilar el mínimo necesario para prestar el servicio, conservarlos durante el período mínimo compatible con dicha prestación y protegerlos con los controles que un profesional razonable esperaría.

No vendemos datos. No compartimos datos con socios de marketing. No utilizamos publicidad conductual. No son afirmaciones promocionales; son compromisos arquitectónicos, evidentes por la ausencia en nuestro código de cualquier integración que los desmintiera.

Qué datos conservamos

En el sitio web corporativo (gravenos.com) recogemos las direcciones de correo electrónico de los suscriptores del boletín y el contenido de los envíos del formulario de contacto. En la plataforma Drusus (drusus.ai) conservamos los datos requeridos para operar un producto de suscripción: identidad de la cuenta (correo electrónico y hash de contraseña), contenidos de cartera que el usuario haya optado por registrar, listas de seguimiento, configuraciones de alertas e historial analítico.

Los datos de pago son procesados por Stripe. Gravenos no almacena en sus servidores números de tarjeta, CVC ni datos completos de cuentas bancarias. La integración está diseñada de modo que esos datos no transitan en absoluto por nuestros sistemas.

Infraestructura

Nuestra base de datos y la capa de autenticación están operadas por Supabase, en la región eu-north-1. La plataforma Drusus y el sitio gravenos.com se despliegan sobre Vercel. El correo electrónico se envía a través de Resend. Los dominios están registrados a través de Cloudflare. Los pagos los procesa Stripe.

Cada uno de estos proveedores opera conforme a un estándar de seguridad reconocido. Ninguno de ellos es exclusivo de Gravenos; los hemos seleccionado por ser las opciones consolidadas y solventes en sus respectivas categorías. La contrapartida implícita en esta elección es que nuestra postura de seguridad depende, en parte, de la suya. Comunicamos los incidentes ocurridos en cualquiera de estos proveedores que tengan alguna incidencia plausible sobre nuestros usuarios (véase la sección de actualidad).

Autenticación

Las cuentas de la plataforma Drusus se autentican mediante correo electrónico y contraseña. Las contraseñas se almacenan como hashes con sal; no recuperamos, ni podemos recuperar, la contraseña en texto plano de un usuario. Está disponible el inicio de sesión único a través de proveedores principales. La autenticación multifactor se introducirá antes del lanzamiento público.

Posición regulatoria

Gravenos está registrada en el Reino Unido. La plataforma Drusus produce comentario analítico, modelos de escenarios y cálculos de riesgo; no produce asesoramiento de inversión en el sentido del perímetro regulatorio de la FCA. En su momento iniciaremos contactos con el Innovation Hub de la FCA para recabar la confirmación formal de esta posición de perímetro. Hasta que dicho proceso concluya, la posición aquí declarada es nuestra mejor evaluación profesional, respaldada por la revisión de nuestro Aviso legal financiero por parte de letrados.

El cumplimiento en materia de protección de datos se rige por el UK GDPR y la Data Protection Act 2018. La inscripción ante la Information Commissioner's Office se halla en curso.

Comunicación de incidentes

En caso de un incidente de seguridad que afecte a sistemas de Gravenos, o que afecte a cualquier proveedor externo de un modo que tenga incidencia plausible sobre los usuarios de Gravenos, publicaremos un aviso en la sección de Actualidad de este sitio web tan pronto como los hechos lo permitan, y actualizaremos dicho aviso conforme avance la investigación.

No suscribimos la práctica de emitir avisos iniciales tan vagamente redactados que no transmiten nada. Cuando los hechos sean inciertos, así lo diremos; cuando los datos puedan o no haber sido afectados, diremos cuáles; cuando el alcance sea desconocido, diremos qué se sabe y qué no. La consecuencia es que nuestros avisos pueden resultar más extensos que la norma del sector. Estimamos que es la contrapartida correcta.

Comunicación de vulnerabilidades

Si considera haber identificado una vulnerabilidad de seguridad en cualquier sistema de Gravenos, le pedimos que escriba a legal@gravenos.com con los detalles. Acusaremos recibo de su informe y, cuando proceda, reconoceremos públicamente el hallazgo una vez resuelta la cuestión.