Seguridad y manejo de datos

Screenshots.live es un servicio operado desde Alemania. Esta página describe cómo se almacenan, procesan y protegen los datos de tu cuenta, las plantillas y las capturas de pantalla renderizadas. Última actualización: 2026-05-05.

¿Dónde se aloja la información?

Los servidores de aplicación y el pipeline de renderizado se ejecutan en infraestructura cloud con sede en la UE (principalmente Hetzner, regiones de Frankfurt y Helsinki). La instancia primaria de PostgreSQL, la caché Redis y el almacenamiento de objetos compatible con S3 residen en la UE. Ningún dato de cliente sale de la UE en operación normal.

¿Cómo se cifran los datos?

Todo el tráfico entre tu cliente y Screenshots.live es TLS 1.3. Las conexiones de la base de datos desde los servidores de aplicación a PostgreSQL usan TLS. El almacenamiento de objetos usa HTTPS. Las copias de seguridad están cifradas en reposo. Las claves de API se almacenan como hashes bcrypt; solo el prefijo (por ejemplo sa_live_…) se conserva en texto claro para mostrarlo.

¿Dónde se almacenan las capturas de pantalla renderizadas?

Los renders se escriben en un bucket compatible con S3 en Hetzner bajo un prefijo por usuario. Cada render tiene una URL firmada única, válida durante 24 horas por defecto. Los renders del plan Trial se eliminan a las 24 horas. Los renders de los planes Standard y Pro se conservan durante 30 días. Puedes eliminar cualquier render manualmente vía la API o el panel.

¿Qué pasa cuando elimino una cuenta?

La eliminación de la cuenta elimina todos los datos de la cuenta (registro de usuario, plantillas, elementos, renders, fuentes, claves de API) en un plazo de 24 horas. Un trabajo nocturno de limpieza de huérfanos elimina cualquier objeto de almacenamiento que ya no esté referenciado por un registro activo. La retención de copias de seguridad es de 30 días; los datos dentro de las copias de seguridad se purgan en la rotación estándar.

¿Cuál es tu postura GDPR?

Screenshots.live procesa los datos de la cuenta bajo el artículo 6(1)(b) del GDPR (necesidad contractual). Firmamos Acuerdos de Procesamiento de Datos (DPA) bajo petición; contacta a eric.isensee@icloud.com. Los derechos del interesado (acceso, rectificación, supresión, portabilidad) pueden ejercerse vía el panel o enviando un correo a la misma dirección.

¿Recopilas analíticas?

Las analíticas del sitio de marketing (Microsoft Clarity, GA4 opcional) se cargan solo tras el consentimiento explícito de cookies y respetan prefers-reduced-motion y las señales Do-Not-Track. La telemetría del lado de la aplicación se limita a métricas operativas (tasa de solicitudes, duración del renderizado, recuento de errores) y no rastrea el comportamiento individual de los usuarios.

¿Cómo manejas los incidentes?

Los incidentes en producción se rastrean internamente; las interrupciones significativas y cualquier incidente relacionado con datos se comunican a los usuarios afectados por correo electrónico en un plazo de 72 horas tras el impacto confirmado. Actualmente no mantenemos una página de estado pública; contacta al correo de contacto si observas un comportamiento degradado.

¿Hay procesadores externos?

Los subprocesadores incluyen Hetzner (hosting), Stripe (pagos) y Microsoft Clarity (analíticas opcionales). Stripe solo recibe el correo de facturación y el token del método de pago; los datos de la tarjeta de pago nunca tocan los servidores de Screenshots.live. La lista completa de subprocesadores está disponible bajo petición.

¿Qué hay de SOC 2 / ISO 27001?

Screenshots.live no está actualmente certificado SOC 2 ni ISO 27001. Para clientes empresariales que requieren garantías formales, estaremos encantados de revisar nuestros controles internos y firmar un cuestionario de seguridad personalizado. Envía un correo a eric.isensee@icloud.com para iniciar esa conversación.

¿Cómo reporto una vulnerabilidad?

Envía un correo a eric.isensee@icloud.com con los detalles. Nos comprometemos a confirmar la recepción en un plazo de 48 horas y a trabajar con los reporteros de buena fe. Actualmente no operamos un programa de bug bounty remunerado, pero acreditaremos públicamente a los reporteros con su permiso.