CONFIANZA · SUB-PROCESADORES

Lista pública
de sub-procesadores.

RGPD Art. 28 exige transparencia sobre los sub-procesadores que utilizamos para prestarte el servicio. Aquí publicamos la lista completa, su ubicación, propósito y los acuerdos firmados con cada uno. Te notificamos por email con 30 días de antelación cualquier cambio.

Ver precios Suscribirse a notificaciones

Por qué publicamos esta lista

Como encargado de tratamiento de tus datos personales y los datos de inventario de tus endpoints, Itrion Software se compromete a no contratar sub-procesadores sin tu conocimiento. RGPD Art. 28(2) exige autorización previa específica o general por escrito antes de contratar otro encargado. Operamos bajo autorización general con notificación previa de 30 días, lo que te permite oponerte y, en su caso, terminar el contrato si no aceptas.

Esta lista está actualizada por última vez el 4 de mayo de 2026. Cualquier cambio (alta de nuevo sub-procesador, cambio de ubicación, terminación de un sub-procesador) se notifica por email a la dirección de contacto del DPO/CISO de tu organización registrada en el contrato. Si no nos has facilitado contacto técnico/legal, lo notificamos al administrador principal del tenant.

Para todos los sub-procesadores: contrato GDPR Art. 28 firmado, SCC (Standard Contractual Clauses) cuando aplica transferencia internacional, derecho de auditoría documental anual, requisito de reportar incidentes a Itrion en menos de 24h, requisito de cumplir mismo nivel de protección que Itrion ofrece a sus clientes.

SUB-PROCESADORES ACTUALES

Lista de sub-procesadores activos

Itrion Datacenter Madrid (PROD1)

Servidor dedicado en datacenter ITrion con conectividad 99.99%. Ubicación: Madrid, España. Propósito: hosting principal del cluster Kubernetes Itamite. Contrato Art. 28 + DPA estándar. Sin transferencia internacional.

Hetzner Online GmbH (Mirror Frankfurt)

Infraestructura cloud para nodo de réplica caliente del cluster. Ubicación: Frankfurt, Alemania. Propósito: failover y backup distribuido. Contrato Art. 28 + DPA Hetzner. Sin transferencia internacional (DE intra-UE).

OVHcloud (Backup Roubaix)

Almacenamiento S3-compatible para backups cifrados. Ubicación: Roubaix, Francia. Propósito: backup off-site cifrado AES-256. Contrato Art. 28 + DPA OVH + SCC. Sin transferencia fuera de UE (FR).

Mailcow (instancia propia ITrion)

Servidor de email autohospedado para envío de notificaciones del producto (alertas, informes, facturas). Ubicación: Madrid, España. Propósito: email transaccional y notificaciones. Sin terceros, sin transferencia internacional.

SMTP2GO Limited

Proveedor SMTP de respaldo para garantizar entregabilidad. Ubicación: New Zealand y Estados Unidos. Propósito: SMTP failover si Mailcow no entrega. Contrato Art. 28 + SCC + adequacy decision (NZ adequacy bajo revisión). Solo emails transaccionales del producto, no contenido de tenant.

Stripe Payments Europe Ltd

Pasarela de pago para procesamiento de tarjetas. Ubicación: Dublín, Irlanda (sede UE). Propósito: SOLO procesamiento de pagos puntuales (PaymentIntent + SetupIntent), no almacenamos tokens ni usamos Stripe Subscriptions. Contrato Art. 28 + SCC.

Sub-procesadores opcionales (Enterprise)

Para clientes Enterprise pueden activarse sub-procesadores adicionales según configuración elegida: AWS KMS / Azure Key Vault / GCP KMS para BYOK (gestión de claves de cifrado del cliente, ubicación elegida por el cliente). Datacenter sanitario certificado en Madrid o Frankfurt para HIPAA-eligible (+25% sobre tarifa). Hosting on-premise air-gapped (sin sub-procesadores externos, infraestructura del cliente). Para casos específicos: revisar contrato Enterprise individual.

  • Notificación email: 30 días antes de cualquier cambio
  • Contrato Art. 28 + DPA + SCC: firmado con todos los sub-procesadores
  • Auditoría documental: derecho anual de revisión
  • Sub-procesadores principales: 100% en territorio UE
  • Para Enterprise: revisión individual de cada nuevo sub-procesador
PREGUNTAS FRECUENTES

Dudas sobre sub-procesadores

¿Tengo que aceptar todos los sub-procesadores?
Por defecto sí (autorización general). Para Enterprise: tu DPA puede incluir cláusula de aceptación específica de cada sub-procesador. Si no aceptas un sub-procesador nuevo: tienes derecho de oposición y, si no ofrecemos alternativa, derecho a terminar el contrato sin penalización.
¿Cómo me notificáis cambios?
Por email a la dirección de DPO/CISO/contacto técnico registrada en tu contrato. Si no nos has facilitado contacto: al administrador principal del tenant. Notificación 30 días antes del cambio, con descripción del nuevo sub-procesador, ubicación, propósito y contrato firmado.
¿Puedo solicitar contrato Art. 28 con sub-procesadores específicos?
No directamente. El contrato Art. 28 lo firma Itrion con los sub-procesadores en tu nombre. Pero tienes derecho a revisar los contratos firmados (cláusula de auditoría documental). Bajo NDA podemos compartir copias para tu revisión legal.
¿Y si quiero un sub-procesador que no está en lista?
Para casos Enterprise: podemos integrar un sub-procesador específico si tu organización lo exige (BYOK con tu KMS, datacenter on-premise tuyo, integración con tu LDAP/SSO). Coste y plazo según caso. Contacto a enterprise@itamite.com.

Suscríbete a notificaciones

Recibe email automático cuando añadamos, cambiemos o demos de baja sub-procesadores. Cumplimiento RGPD garantizado.

Ver precios Suscribirse