Acuerdo de Procesamiento de Datos
Amazon Web Services (AWS)
Última actualización: 11 de noviembre de 2025
Controlador de Datos: Miguel Eduardo Romero Ruiz (Aura)
Procesador de Datos: Amazon Web Services, Inc.
Servicios Utilizados:
- AWS Rekognition (Verificación biométrica facial)
- AWS DynamoDB (Almacenamiento de vectores faciales)
Contacto Aura: miguel@nitbit.mx
1. Propósito del Procesamiento
Aura utiliza los servicios de AWS para los siguientes fines críticos de seguridad y verificación:
1.1 AWS Rekognition
- Verificación de identidad biométrica: Análisis de selfies de usuarios para confirmar que son personas reales y únicas.
- Detección de duplicados: Comparación de vectores faciales para prevenir cuentas duplicadas del mismo usuario.
- Detección de usuarios baneados: Identificación de usuarios previamente baneados que intentan crear nuevas cuentas.
- Liveness detection: Verificación de que la imagen proviene de una persona viva (no fotografías o videos).
1.2 AWS DynamoDB
- Almacenamiento de vectores faciales: Guardar representaciones matemáticas (vectores) de rostros de usuarios verificados.
- Almacenamiento de vectores de usuarios baneados: Mantener vectores faciales de usuarios permanentemente baneados para prevenir reincorporación.
- Comparación rápida: Permitir búsquedas eficientes de rostros similares durante el proceso de verificación.
2. Categorías de Datos Biométricos Procesados
⚠️ DATOS SENSIBLES - CATEGORÍA ESPECIAL
Los datos procesados incluyen datos biométricos, considerados datos sensibles bajo la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México).
| Tipo de Dato |
Descripción |
Servicio AWS |
Retención |
| Selfie (imagen facial) |
Fotografía de rostro del usuario |
AWS Rekognition |
Procesado en tiempo real, NO almacenado |
| Vector facial |
Representación matemática única del rostro (512 dimensiones) |
DynamoDB |
Permanente (usuarios verificados) |
| Vector facial (baneados) |
Vectores de usuarios permanentemente baneados |
DynamoDB |
Permanente (prevención de fraude) |
| Metadatos de verificación |
Confianza de detección, calidad de imagen, timestamp |
DynamoDB |
Vinculado al usuario (eliminado si se elimina cuenta) |
| ID de sesión |
Identificador único de la sesión de verificación |
DynamoDB |
90 días después de eliminación de cuenta |
Datos NO Almacenados:
- Imágenes faciales originales: Las selfies se procesan en tiempo real y se descartan inmediatamente después de extraer el vector facial.
- Fotografías completas: AWS Rekognition no almacena las imágenes enviadas para análisis.
- Información personal identificable: Los vectores faciales no se vinculan con nombres, correos u otros datos de contacto en AWS.
3. Flujo de Procesamiento Biométrico
- Captura: Usuario toma selfie en la app Aura (iOS)
- Envío seguro: Selfie se envía a Firebase Cloud Function mediante HTTPS (TLS 1.3)
- Procesamiento AWS Rekognition:
- Detección de rostro en la imagen
- Verificación de liveness (persona viva)
- Extracción de vector facial (512 dimensiones)
- Imagen original descartada inmediatamente
- Comparación DynamoDB:
- Vector facial se compara con todos los vectores existentes
- Detección de similitud superior al 80% = rostro duplicado
- Verificación contra base de usuarios baneados
- Almacenamiento (si verificación exitosa):
- Vector facial almacenado en DynamoDB
- Vinculado al User ID de Firestore
- Metadatos de confianza y calidad guardados
4. Retención de Datos en AWS
| Tipo de Dato |
Período de Retención |
Justificación |
| Vectores faciales (usuarios activos) |
Permanente |
Necesario para verificación de identidad continua y prevención de duplicados |
| Vectores faciales (cuenta eliminada) |
90 días |
Prevenir creación inmediata de cuentas duplicadas tras eliminación |
| Vectores faciales (usuarios baneados) |
Permanente |
Protección de la comunidad contra usuarios que violaron gravemente las normas |
| Metadatos de verificación |
Vinculado al usuario |
Auditoría y resolución de disputas |
| Imágenes faciales (selfies) |
0 días (no se almacenan) |
Minimización de datos - solo se conserva el vector matemático |
5. Medidas de Seguridad
5.1 Seguridad Técnica de AWS
- Cifrado en tránsito: TLS 1.3 para todas las comunicaciones con AWS Rekognition y DynamoDB
- Cifrado en reposo: Todos los datos en DynamoDB se cifran con AES-256 mediante AWS KMS (Key Management Service)
- Aislamiento de datos: Vectores faciales almacenados en tabla DynamoDB dedicada, separada de otros datos de usuario
- Autenticación: Acceso mediante AWS IAM roles con permisos mínimos necesarios
- Auditoría: AWS CloudTrail registra todos los accesos a datos biométricos
5.2 Controles de Acceso
- Solo Firebase Cloud Functions autorizadas pueden invocar AWS Rekognition
- Credenciales AWS rotadas automáticamente cada 90 días
- Acceso humano a DynamoDB restringido solo a administradores autorizados
- Autenticación multifactor (MFA) requerida para acceso a consola AWS
- Logs de acceso monitoreados para detectar actividad anómala
5.3 Minimización de Datos
- Las selfies originales NUNCA se almacenan en AWS
- Solo se conserva el vector matemático (no reconstruible a imagen)
- Vectores NO vinculados con nombres, correos o números telefónicos en AWS
- Metadatos limitados estrictamente a lo necesario para verificación
6. Transferencias Internacionales de Datos
Región de AWS Utilizada:
us-east-1 (Virginia del Norte, Estados Unidos)
Los datos biométricos de usuarios mexicanos se transfieren y almacenan en servidores ubicados en Estados Unidos.
6.1 Mecanismo de Transferencia
La transferencia de datos biométricos desde México a Estados Unidos se realiza bajo las siguientes garantías:
- Consentimiento explícito: Los usuarios aceptan explícitamente la transferencia internacional al marcar el checkbox de consentimiento biométrico en la app.
- Cláusulas Contractuales Estándar: AWS cumple con las EU Standard Contractual Clauses (SCC) 2021.
- Certificaciones: AWS cuenta con certificación ISO 27001, SOC 2 Type II, y cumplimiento con marcos de privacidad internacionales.
- Data Processing Addendum (DPA): Aura mantiene un DPA firmado con AWS según los términos de AWS Customer Agreement.
6.2 Garantías Adicionales
- Los datos nunca se transfieren fuera de la región us-east-1
- AWS no tiene acceso a los vectores faciales (cifrados con claves controladas por Aura)
- No se realiza procesamiento secundario de datos biométricos por parte de AWS
7. Derechos ARCO de los Interesados
Los usuarios pueden ejercer los siguientes derechos respecto a sus datos biométricos:
7.1 Acceso
- Solicitar confirmación de si sus datos biométricos están almacenados en AWS DynamoDB
- Obtener información sobre el propósito del procesamiento y retención
- Recibir copia de los metadatos de verificación (NO el vector facial, ya que es incomprensible para humanos)
7.2 Rectificación
- Solicitar nueva verificación biométrica si consideran que el vector almacenado es inexacto
- Actualizar información vinculada al vector (metadatos)
7.3 Cancelación
- Eliminar su cuenta de Aura, lo que marca el vector facial para eliminación en 90 días
- Solicitar eliminación inmediata mediante petición escrita (sujeto a verificación de identidad)
- Excepción: Vectores de usuarios baneados se conservan permanentemente por seguridad de la comunidad
7.4 Oposición
- Rechazar verificación biométrica (resultará en cuenta no verificada con funcionalidades limitadas)
- Solicitar eliminación anticipada de datos si ya no desean estar verificados
Para ejercer derechos ARCO: Enviar solicitud a miguel@nitbit.mx con asunto "Derechos ARCO - Datos Biométricos". Respuesta en máximo 20 días hábiles.
8. Sub-Procesadores de AWS
AWS puede utilizar sub-procesadores para operar sus servicios. Aura ha revisado y acepta los siguientes:
| Sub-Procesador |
Servicio |
Propósito |
Ubicación |
| AWS Key Management Service (KMS) |
Cifrado |
Gestión de claves de cifrado para DynamoDB |
us-east-1 |
| AWS CloudTrail |
Auditoría |
Registro de accesos a datos biométricos |
us-east-1 |
| Amazon S3 (temporal) |
Almacenamiento transitorio |
Buffers internos de AWS (datos cifrados, eliminados en < 24h) |
us-east-1 |
Lista completa de sub-procesadores disponible en: https://aws.amazon.com/compliance/sub-processors/
9. Notificación de Violaciones de Seguridad
9.1 Compromiso de AWS
Según el AWS Customer Agreement, AWS se compromete a:
- Notificar a Aura dentro de las 72 horas del descubrimiento de cualquier violación de seguridad que afecte datos biométricos
- Proporcionar detalles sobre la naturaleza de la violación, datos afectados y medidas de mitigación
- Cooperar con Aura en la investigación y respuesta al incidente
9.2 Compromiso de Aura
En caso de violación que afecte datos biométricos:
- Aura evaluará el impacto en usuarios mexicanos dentro de 24 horas
- Notificará a usuarios afectados mediante la app y correo electrónico
- Reportará a autoridades mexicanas (INAI) según lo requiere la LFPDPPP
- Implementará medidas correctivas inmediatas
- Publicará reporte post-mortem dentro de 30 días (si aplica)
⚠️ Historial de Incidentes
Ninguna violación de seguridad ha afectado datos biométricos de Aura desde el inicio del servicio.
Última revisión: 11 de noviembre de 2025
10. Auditorías y Cumplimiento
10.1 Certificaciones de AWS
- ISO/IEC 27001:2013 (Seguridad de información)
- ISO/IEC 27017:2015 (Seguridad en la nube)
- ISO/IEC 27018:2019 (Protección de datos personales en la nube)
- SOC 2 Type II (Controles de seguridad, disponibilidad y confidencialidad)
- PCI DSS Level 1 (aunque Aura no procesa pagos en AWS)
10.2 Auditorías de Aura
Aura se reserva el derecho de:
- Revisar logs de AWS CloudTrail trimestralmente
- Solicitar reportes SOC 2 anuales de AWS
- Realizar auditorías de cumplimiento mediante revisión de documentación
- Contratar auditores externos para evaluar la configuración de seguridad en AWS
11. Responsabilidad y Garantías
Modelo de Responsabilidad Compartida
AWS es responsable de:
- Seguridad de la infraestructura física (centros de datos, red, hardware)
- Seguridad de los servicios gestionados (Rekognition, DynamoDB)
- Cifrado en tránsito y en reposo
- Disponibilidad del servicio según SLA (99.9% mensual)
Aura es responsable de:
- Configuración correcta de permisos y controles de acceso
- Implementación de políticas de retención de datos
- Gestión de claves de cifrado
- Obtención de consentimiento válido de usuarios
- Cumplimiento con LFPDPPP y otras leyes mexicanas
- Notificación a usuarios en caso de violaciones
11.1 Limitaciones de Responsabilidad
- AWS NO es responsable por uso indebido de datos por parte de Aura
- AWS NO revisa el contenido de los vectores faciales almacenados
- AWS NO toma decisiones sobre verificación o baneo de usuarios (es responsabilidad exclusiva de Aura)
12. Terminación del Acuerdo
Este Acuerdo de Procesamiento de Datos permanece vigente mientras Aura utilice los servicios de AWS. Aura puede:
12.1 Suspensión del Servicio
- Suspender el uso de AWS Rekognition en cualquier momento
- Exportar todos los vectores faciales de DynamoDB antes de la terminación
- Solicitar eliminación de todos los datos dentro de 30 días de la terminación del servicio
12.2 Migración a Otro Proveedor
- Aura puede migrar a otro proveedor de verificación biométrica sin previo aviso a AWS
- Los vectores faciales pueden ser exportados y re-procesados con otro sistema
- Usuarios serán notificados de cambios materiales en el procesamiento de datos biométricos
13. Modificaciones al Acuerdo
Este Acuerdo puede ser modificado en las siguientes circunstancias:
- Cambios en los servicios de AWS que afecten el procesamiento de datos
- Actualizaciones en la legislación mexicana (LFPDPPP)
- Mejoras en las medidas de seguridad de Aura
- Cambios en el propósito del procesamiento de datos biométricos
Los usuarios serán notificados de cambios materiales con al menos 30 días de anticipación mediante:
- Notificación push en la aplicación
- Correo electrónico (si proporcionaron uno)
- Actualización de la fecha en este documento
14. Contacto y Preguntas
Controlador de Datos (Aura):
Miguel Eduardo Romero Ruiz
RFC: RORM950517FW9
Sur 19 # 62 Col. Centro
Orizaba, Veracruz, México
Email: miguel@nitbit.mx
Asunto para Datos Biométricos: "Datos Biométricos - DPA AWS"
Procesador de Datos (AWS):
Amazon Web Services, Inc.
410 Terry Avenue North
Seattle, WA 98109
Estados Unidos
Privacy: https://aws.amazon.com/privacy/
DPA AWS: AWS GDPR DPA (PDF)
15. Documentos Relacionados
← Volver a Política de Privacidad
← Volver al Inicio