Sección 01
Propósito y Alcance
Este documento describe las prácticas técnicas y operativas de Eon App SAS para el manejo, procesamiento, almacenamiento, transferencia y eliminación de datos dentro de la plataforma Eon.
Complementa la Política de Privacidad con detalles técnicos específicos, dirigidos a:
- Usuarios finales que desean entender cómo se manejan sus datos.
- Empresas que requieren auditar las prácticas de su proveedor.
- Auditores y reguladores que verifican el cumplimiento normativo.
- Equipos internos que necesitan referencia operativa.
Sección 02
Arquitectura de Datos
2.1 Colecciones en Firestore
| Colección | Datos almacenados | Acceso |
|---|---|---|
demo_requests | Nombre, email, teléfono, tipo de uso, empresa, mensaje, referido | Solo Eon (admin) |
counters | Contadores agregados (ej: total pre-registros) | Lectura pública / escritura restringida |
users/{uid} | Perfil del usuario, preferencias, plan, rol | Solo el propietario |
users/{uid}/bill-analyses | Facturas analizadas, datos extraídos, huella de carbono | Solo el propietario |
users/{uid}/footprint-calculations | Cálculos de huella de carbono | Solo el propietario |
users/{uid}/chat-history | Historial de conversaciones con EVA | Solo el propietario |
users/{uid}/reports | Reportes ESG generados | Solo el propietario |
mail | Cola de correos transaccionales | Solo Eon (servidor) |
audit_logs | Registros de actividad sensible | Solo Eon (admin) |
2.2 Almacenamiento de Archivos (Firebase Storage)
| Ruta | Contenido | Acceso |
|---|---|---|
user-uploads/{uid}/{analysisId}/ | Facturas de usuarios autenticados | Solo el propietario |
demo-ai-uploads/{analysisId}/ | Facturas de usuarios no autenticados | Solo Eon (admin) |
reports/{uid}/{reportId}/ | Reportes PDF/XLSX generados | Solo el propietario |
avatars/{uid}/ | Imágenes de perfil | Lectura pública / escritura propietario |
2.3 Reglas de Seguridad
Toda la lógica de acceso se valida en Firestore Security Rules y Storage Rules, complementadas por Firebase App Check para mitigación de abuso. Los entornos de producción y desarrollo están segregados en proyectos de Google Cloud independientes.
Sección 03
Flujo: Procesamiento de Facturas
- Usuario sube archivo (PDF/imagen) a Firebase Storage en su ruta privada.
- Cloud Function detecta el nuevo archivo vía trigger Eventarc.
- Genkit Flow
extractBillData(Vertex AI / Gemini) extrae los datos del documento. - Validación contra esquema Zod y normalización de unidades (kWh, m³).
saveBillAnalysiscalcula la huella de carbono y persiste en Firestore.- El cliente recibe actualizaciones en tiempo real vía
onSnapshot. - Notificación opcional al usuario por email/push según preferencias.
Tiempo estimado: 3–15 segundos según calidad del archivo y carga del modelo.
El archivo original se conserva cifrado en Storage. El usuario puede eliminarlo en cualquier momento desde su panel, eliminando también todos los análisis derivados.
Sección 04
Flujo: Cálculo de Huella de Carbono
- Usuario completa el formulario de huella personal o corporativa.
- El frontend valida los inputs con esquemas Zod compartidos.
- El flujo
runConversationalAgent(Genkit / Vertex AI) calcula kgCO₂e por categoría aplicando factores de emisión auditables (IPCC, GHG Protocol, DEFRA). - Se generan recomendaciones personalizadas basadas en el perfil.
saveFootprintCalculationalmacena los resultados con timestamp y versión del modelo.- Visualización en dashboards con tendencia histórica.
Los factores de emisión utilizados se documentan en metadatos del cálculo, garantizando trazabilidad para auditorías ESG.
Sección 05
Flujo: Envío de Correos
Eon utiliza la extensión Firebase Extensions: Trigger Email sobre SMTP autenticado:
- Al ocurrir un evento (pre-registro, análisis completo, alerta), se crea un documento en la colección
mail. - La extensión procesa la cola y envía el correo vía SMTP TLS.
- El estado de envío se actualiza en el documento (
SUCCESS,ERROR,PROCESSING). - El documento se conserva 30 días para auditoría y luego se elimina automáticamente.
Los correos transaccionales no contienen pixels de seguimiento ni links de tracking de terceros. Las comunicaciones de marketing incluyen siempre un link de "darse de baja".
Sección 06
Procesamiento por IA (Genkit + Vertex AI)
Eon ejecuta sus flujos de IA mediante Genkit sobre Vertex AI / Gemini:
- Los datos se transmiten cifrados a la región de procesamiento configurada (preferentemente
us-central1). - Google Cloud opera bajo política de no entrenamiento con datos de clientes empresariales (Vertex AI default).
- No se almacenan logs de prompts en la infraestructura del proveedor más allá de la ventana técnica de operación.
- Las respuestas del modelo se validan contra esquemas Zod antes de persistirse.
- Se aplica guardrails y filtrado de contenido sensible.
Sección 07
Retención y Eliminación de Datos
| Tipo de dato | Período de retención | Proceso |
|---|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa | Eliminación a solicitud del usuario |
| Cuenta eliminada | 30 días (gracia para recuperación) + obligaciones legales | Eliminación automática segura |
| Facturas y análisis | 3 años (uso analítico) o hasta eliminación manual | Eliminación automática / a petición |
| Historial de chat con EVA | 1 año desde la última interacción | Automática o a petición |
| Reportes ESG generados | 5 años (auditoría) | Conservación contractual |
Correos en cola (mail) | 30 días | Eliminación automática (TTL) |
| Datos de demo (no autenticados) | 30 días | Eliminación automática (TTL) |
| Logs del sistema | 90 días | Google Cloud Logging |
| Audit logs (acciones sensibles) | 2 años | Conservación obligatoria |
| Documentación contable y tributaria | 10 años | Conservación legal (Colombia) |
| Backups cifrados | 30 días rolling | Sobrescritura automática |
Sección 08
Acceso Interno a los Datos
El acceso a datos personales por parte del personal de Eon se rige por el principio de mínimo privilegio:
| Rol | Acceso | Auditoría |
|---|---|---|
| Desarrolladores (producción) | Sin acceso directo. Usan entornos sandbox con datos sintéticos. | N/A |
| Administradores de sistema (SRE) | Solo lectura de metadatos para diagnóstico, MFA obligatorio. | Logs Cloud Audit |
| Equipo de soporte | Datos mínimos necesarios para resolver el ticket reportado por el usuario. | Logs por ticket |
| Equipo de IA/ML | Acceso a datos agregados y anonimizados para entrenamiento interno. | Logs de pipeline |
| Compliance / Legal | Acceso bajo requerimiento documentado, con aprobación del DPO. | Logs de DPO |
Todos los accesos a sistemas críticos requieren MFA, generan registros inmutables de auditoría y se revisan trimestralmente por el equipo de Compliance.
Sección 09
Transferencia de Datos a Terceros
| Proveedor | Datos compartidos | Propósito | Ubicación |
|---|---|---|---|
| Google Firebase / Cloud | Todos los datos del Servicio | Infraestructura, BD, autenticación | EE.UU. / EU |
| Google Vertex AI / Gemini | Contenido para análisis (en tránsito) | Análisis de IA | EE.UU. |
| Stripe | Datos de pago tokenizados | Procesamiento de pagos | EE.UU. / EU (PCI-DSS) |
| SendGrid / Resend | Email del destinatario + contenido | Correos transaccionales | EE.UU. |
| Cloudflare | Tráfico HTTP/HTTPS | CDN, WAF, mitigación DDoS | Global |
| Sentry / Logging | Errores anonimizados | Monitoreo de fallas | EE.UU. / EU |
Eon no comparte datos con plataformas de publicidad, data brokers, redes de rastreo cross-site ni terceros sin contrato de procesamiento de datos (DPA) válido y vigente.
Sección 10
Infraestructura y Cifrado
- Cifrado en tránsito: TLS 1.3 obligatorio en todos los endpoints públicos.
- Cifrado en reposo: AES-256 administrado por Google Cloud KMS para Firestore, Storage y backups.
- Aislamiento: proyectos separados para producción, staging y desarrollo.
- Redundancia: almacenamiento multi-zona con failover automático.
- Backups: diarios, cifrados, con retención de 30 días.
- App Check: verificación de integridad de cliente para mitigar tráfico fraudulento.
- WAF: reglas en Cloudflare para mitigación de OWASP Top 10.
- Rate limiting: cuotas por usuario y por endpoint.
Sección 11
Respuesta a Incidentes
En caso de brecha de seguridad o incidente que afecte datos personales:
- Detección: alertas automáticas en monitoreo continuo (Sentry, Cloud Monitoring).
- Contención: aislamiento del componente afectado en menos de 1 hora.
- Evaluación: análisis del alcance y severidad en máximo 24 horas.
- Notificación interna: activación del equipo de respuesta y CISO.
- Notificación externa: a usuarios afectados y autoridades de control en máximo 72 horas (GDPR), conforme a la normativa aplicable.
- Reporte regulatorio: a la SIC (Colombia) y demás autoridades cuando corresponda.
- Remediación: aplicación de parches, rotación de credenciales, mejoras estructurales.
- Análisis post-mortem: documentación pública del incidente y lecciones aprendidas.
Sección 12
Portabilidad y Exportación de Datos
Puedes solicitar una exportación completa de todos tus datos en formatos estructurados (JSON o CSV) escribiendo a privacy@eonapp.co.
- Tiempo de respuesta: máximo 15 días hábiles (Colombia) / 30 días (GDPR).
- Formato: archivo cifrado descargable mediante enlace temporal con autenticación.
- Contenido: perfil, facturas, análisis, cálculos, historial de chat, reportes.
- Archivos binarios: incluidos en su formato original (PDF/imagen).
Para empresas con planes profesionales, la exportación está disponible en autoservicio desde el panel de administración.
Sección 13
Anonimización y Datos Agregados
Eon puede utilizar datos agregados y anonimizados para mejorar el Servicio, generar benchmarks de industria y realizar investigación interna sin comprometer la identidad del Titular.
- La anonimización es irreversible: se eliminan identificadores directos e indirectos.
- Se aplican técnicas de k-anonimato y agregación geográfica/temporal.
- Los datasets anonimizados pueden conservarse indefinidamente con fines estadísticos.
- No se realiza re-identificación bajo ninguna circunstancia.
Sección 14
Soberanía y Localización de Datos
Los datos se almacenan principalmente en regiones de Google Cloud ubicadas en Estados Unidos y, según el plan y jurisdicción, en regiones de la Unión Europea.
- Para clientes empresariales en jurisdicciones con requisitos de soberanía, Eon ofrece configuración de región específica como complemento del plan.
- Las transferencias internacionales se realizan bajo SCC y otras salvaguardas reconocidas (ver Política de Privacidad, sección 6).
- Los logs y backups respetan la región principal del proyecto.
Sección 15
Cumplimiento Normativo y Certificaciones
15.1 Certificaciones de la Infraestructura
Eon opera sobre infraestructura certificada por proveedores de primer nivel:
- Google Cloud / Firebase: ISO 27001, ISO 27017 (cloud security), ISO 27018 (PII en cloud), ISO 27701 (privacy), SOC 1/2/3, PCI-DSS, HIPAA-ready, FedRAMP High.
- Vertex AI: ISO 27001, ISO 42001 (AI Management), políticas de no-entrenamiento sobre datos del cliente.
- Stripe: PCI-DSS Nivel 1, SOC 1/2 Tipo II, ISO 27001.
- Cloudflare: ISO 27001, ISO 27018, SOC 2 Tipo II, PCI-DSS.
- SendGrid / Resend: SOC 2 Tipo II, ISO 27001.
Eon (programa interno): implementación de SGSI bajo ISO 27001 en marco PDCA, evaluaciones de impacto en privacidad (PIA/EIVP), auditorías internas trimestrales y pen-tests anuales por terceros independientes.
15.2 Cumplimiento Normativo por Jurisdicción
Colombia 🇨🇴
- Ley Estatutaria 1581 de 2012, Decreto 1377 de 2013, Decreto 1074 de 2015 (Cap. 25), Decreto 090 de 2018, Decreto 255 de 2022, Circular Externa 002 de 2015 SIC.
- Registro ante el RNBD (Registro Nacional de Bases de Datos) cuando supera umbrales.
- Política interna de tratamiento de datos publicada y conocida por los Titulares.
- Designación de responsable de la atención de peticiones, consultas y reclamos (PQR).
- Implementación del régimen sancionatorio del art. 23 de la Ley 1581 (hasta 2.000 SMMLV).
- Facturación electrónica conforme a Resoluciones DIAN.
México 🇲🇽
- Cumplimiento de la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad publicados en el DOF.
- Aviso de Privacidad integral, simplificado y corto disponible en el sitio.
- Procedimiento ARCO (Acceso, Rectificación, Cancelación y Oposición) operativo.
- Designación de departamento de datos personales y oficial de privacidad.
- Mecanismos para ejercicio de derechos en máximo 20 días hábiles, prorrogables 20 más.
- Cumplimiento de NOM-151-SCFI-2016 sobre conservación de mensajes de datos.
- IVA digital conforme al Código Fiscal de la Federación cuando aplique.
Canadá 🇨🇦
- Cumplimiento de los 10 fair information principles de PIPEDA.
- Notificación de brechas al OPC y a los individuos cuando exista real risk of significant harm (RROSH).
- Quebec — Loi 25: Evaluación de Factores de Privacidad (EFVP), portabilidad, consentimiento expreso, designación de Responsable de la Protección de Datos.
- CASL: gestión de consentimientos para envíos comerciales electrónicos, mecanismo de baja claro y registros de consentimiento.
- Cumplimiento del Quebec — Charte de la langue française (Loi 96) en interfaces y comunicaciones contractuales en francés.
- GST/HST/QST/PST según la provincia del Usuario.
Estados Unidos 🇺🇸
- FTC Act §5: políticas y prácticas alineadas con la guía de la FTC contra prácticas desleales o engañosas.
- CCPA/CPRA (California): derechos a saber, eliminar, corregir, optar por no venta/compartir, limitar uso de información sensible. Procedimiento de respuesta en 45 días. Eon respeta señales Global Privacy Control (GPC).
- VCDPA, CPA, CTDPA, UCPA, TDPSA y demás leyes estatales: derechos equivalentes adaptados al residente del estado.
- SHIELD Act (NY): implementación de reasonable security measures y notificación de brechas.
- COPPA: el Servicio no está dirigido a menores de 13 años.
- HIPAA: Eon no es covered entity ni business associate; si una empresa cliente requiere BAA, debe contactar al área legal.
- CAN-SPAM: los correos comerciales incluyen identificación del remitente, asunto no engañoso y mecanismo de baja.
- State sales tax: recaudación según nexo económico (post-Wayfair) en estados aplicables.
Unión Europea / EEE 🇪🇺
- Cumplimiento integral del GDPR: bases jurídicas documentadas, registro de actividades de tratamiento (RAT), evaluaciones de impacto (DPIA) cuando proceda.
- Designación de DPO (cuando los criterios del art. 37 GDPR resultan aplicables).
- Transferencias internacionales bajo SCC 2021/914 con TIA (Transfer Impact Assessment).
- Notificación de brechas a la autoridad de control en 72 horas.
- Cumplimiento de la Directiva ePrivacy mediante banners de consentimiento de cookies.
15.3 Auditorías y Reportes
- Revisiones internas de seguridad trimestrales por equipo de Compliance.
- Pen-tests anuales realizados por terceros independientes.
- Auditorías de cumplimiento normativo anuales por jurisdicción.
- Informes de transparencia disponibles bajo solicitud para clientes empresariales.
- Programa de divulgación responsable de vulnerabilidades (responsible disclosure).
Sección 16
Contacto Técnico y DPO
Para asuntos técnicos, ejercicio de derechos y reclamaciones relacionados con datos:
- DPO (Data Protection Officer): dpo@eonapp.co
- Privacidad: privacy@eonapp.co
- Seguridad / Reportes de vulnerabilidades: security@eonapp.co
- Soporte técnico: support@eonapp.co
Eon App SAS · Bogotá D.C., Colombia · Operación: Colombia · Canadá · Estados Unidos.
© 2024–2026 Eon App SAS. Bogotá D.C., Colombia. Documento técnico actualizado periódicamente.