Legal
Política de privacidad
Gnesis recopila solo lo que necesitamos para operar tu cuenta y servir a tus clientes. Esta página explica exactamente qué recopilamos, por qué, dónde vive y cómo eliminarlo.
Qué recopilamos
Datos de cuenta (correo, nombre, organización), datos de facturación (Stripe maneja los números de tarjeta; conservamos el id de cliente y los últimos cuatro dígitos), y telemetría de producto (las conversaciones que tienes con Shakeeb, los builds que disparas, los despliegues que apruebas). No vendemos ni compartimos telemetría con nadie.
Dónde vive
Todos los datos de clientes viven en PostgreSQL de la UE (Hetzner Falkenstein y Helsinki). Los artefactos de build viven en almacenamiento de objetos en la misma región. Stripe retiene datos de tarjeta y fiscales por su infraestructura conforme a PCI. No transferimos datos fuera de la UE sin consentimiento explícito.
Tus derechos (GDPR)
Puedes exportar todo lo que tenemos sobre ti en JSON legible por máquina. Puedes eliminar tu cuenta; la eliminación es una ventana de enfriamiento de 30 días durante la cual puedes restaurar, tras la cual todo se purga del almacenamiento primario y los espejos de replicación en 7 días. Envía un correo a [email protected] para iniciar cualquiera de los flujos, o usa Ajustes ← Cuenta ← Privacidad desde dentro del producto.
Subprocesadores
Hetzner (hosting), Cloudflare (DNS + CDN + DDoS), Stripe (facturación), Resend (correo transaccional), OpenRouter (inferencia de modelos). La lista actual está publicada; damos 30 días de aviso antes de agregar a alguien.
Contacto
Preguntas de privacidad: [email protected]. Divulgaciones de seguridad: [email protected]. Ambas bandejas son monitoreadas por una persona real, no un bot, durante horario laboral europeo.
Términos del servicio
Estos términos aplican a cualquiera que use Gnesis. Están escritos en lenguaje simple; si algo no está claro, escribe a [email protected] y lo reescribiremos.
Uso aceptable
No uses Gnesis para construir productos que violen la ley donde operas o donde están tus usuarios. No uses Gnesis para atacar deliberadamente otros sistemas. Nos reservamos el derecho de suspender cuentas que creamos que hacen cualquiera de los dos, tras un aviso escrito excepto en el caso de riesgo inmediato de seguridad.
Quién es dueño de qué
Tú eres dueño del código que Gnesis genera para tu proyecto. Tú eres dueño de los datos que tus clientes crean dentro de ese proyecto. Nosotros somos dueños de Aleph y de la plataforma Gnesis; no obtienes licencia para redistribuir ninguno.
Facturación
Las suscripciones se pagan mensualmente por adelantado. Las solicitudes de IA fallidas se excluyen de tu factura (Regla de Dominio 2). Si tu suscripción caduca, los builds se pausan pero los datos quedan en solo lectura; nada se elimina (Regla de Dominio 3). Los reembolsos son a nuestra discreción y somos generalmente generosos con ellos.
Terminación
Puedes cancelar en cualquier momento desde Ajustes. La cancelación surte efecto al final del período de facturación actual; los reembolsos prorrateados se emiten cuando la causa está de nuestro lado (interrupción extendida, función central rota).
Política de seguridad
Publicamos cómo Gnesis está asegurado porque la seguridad por oscuridad no escala. Si encuentras una vulnerabilidad, envía un correo a [email protected] — confirmamos en 24 horas y pagamos recompensas post-lanzamiento.
Aislamiento de inquilinos
Cada organización cliente es un inquilino Postgres aplicado vía seguridad a nivel de fila (Regla de Dominio 5). El código de usuario generado se ejecuta en contenedores efímeros aislados, nunca en servidores de plataforma (Regla de Dominio 6). Aleph nunca se expone al código de usuario — ni API, ni ruta de archivo, ni mensaje de error (Regla de Dominio 7).
Postura de cumplimiento
GDPR (consentimiento, eliminación, portabilidad), SOC 2 (registros de auditoría, controles de acceso, cifrado), preparado para HIPAA (estándares seguidos; certificación no completada todavía). La recompensa de vulnerabilidades se pone de pie post-lanzamiento; las pruebas de penetración siguen cuando la mezcla de clientes lo justifique.
Respuesta a incidentes
La rotación de guardia cubre todos los incidentes de severidad 1 en 30 minutos durante horario laboral europeo, en 2 horas en otros momentos. Las post-mortem para cualquier incidente de más de 30 minutos se publican en /status dentro de 7 días. Los incidentes que afectan al cliente disparan notificación por correo + dentro de la app.
Divulgación coordinada
Envía reportes de vulnerabilidad a [email protected] con una reproducción clara. Confirmamos en 24 horas, compartimos un cronograma de corrección en 7 días, y te acreditamos en el registro de cambios (opcional). Los pagos de recompensa comienzan una vez que Stripe en modo live esté listo.