Protección de datos en EduShield

Esta página resume cómo protegemos los datos personales que se tratan en EduShield (identidad, contacto, actividad educativa y metadatos asociados al servicio). Los fines del tratamiento, la base jurídica cuando corresponda y el detalle de categorías figuran en la política de privacidad; aquí nos centramos en medidas técnicas y organizativas, encargados y continuidad que afectan a la confidencialidad e integridad de esa información.

HTTPS
Acceso al servicio cifrado
Roles
Acceso acotado a datos personales
CR
Responsable en Costa Rica
Profesional revisando sistemas de datos

Medidas para la protección de datos personales

Confidencialidad, integridad y control de acceso sobre la información que identifica o hace identificables a las personas usuarias de la plataforma educativa

En Costa Rica procuramos orientar la seguridad de la plataforma y la respuesta ante incidentes de forma coherente con el marco de referencia del CSIRT-CR (Centro de Respuesta de Incidentes de Seguridad Informática) y con los lineamientos de la Estrategia Nacional de Ciberseguridad, en la línea de lo que el MICITT publica en materia de ciberseguridad. No implica certificación, supervisión ni aval por parte de esas instancias; es una alineación voluntaria a buenas prácticas nacionales.

Cifrado en tránsito y en reposo

El acceso al servicio web se realiza por HTTPS (TLS). Los datos personales en bases de datos y ficheros alojados en sistemas de terceros se benefician del cifrado en reposo y de la gestión de claves que describe cada proveedor en su documentación pública.

  • TLS entre el navegador y el servicio
  • Cifrado en reposo en los sistemas de datos del encargado
  • Copias técnicas y retención en respaldo según políticas del proveedor que aloja el dato

Control de acceso

El acceso a datos personales y académicos se basa en roles y permisos para que cada persona vea solo lo necesario según su función en el centro, reduciendo exposición innecesaria.

  • Autenticación reforzada cuando aplica
  • Permisos granulares en la aplicación
  • Gestión de sesión y cierre por inactividad

Supervisión y resiliencia

Revisamos el funcionamiento del servicio y las alertas de los proveedores que alojan datos personales, con el fin de detectar a tiempo fallos o usos anómalos que puedan comprometer la confidencialidad o la disponibilidad del tratamiento.

  • Registros y avisos según las capacidades del producto y del proveedor
  • Revisiones internas de configuración y dependencias que afectan al tratamiento
  • Plan de respuesta ante incidentes descrito más abajo en esta página

Transparencia, textos legales y derechos

Los fines del tratamiento, las categorías de datos, los plazos de conservación y el ejercicio de derechos (acceso, rectificación, cancelación u oposición cuando la ley lo reconozca) se desarrollan en la política de privacidad y en el resto de páginas legales de edushield.net. Esta página complementa ese marco con medidas de seguridad e incidentes.

  • Política de privacidad como referencia principal sobre el tratamiento
  • Eliminación autogestionada de datos de cuenta en Eliminar mis datos
  • Listado de encargados del tratamiento en la sección siguiente
Infraestructura de centro de datosSala de servidores segura

Conservación, ubicación y buenas prácticas

Los datos personales se conservan el tiempo necesario para las finalidades descritas en la política de privacidad y en los acuerdos con el centro educativo cuando existan. El alojamiento técnico recae en encargados que figuran más abajo; la región y la duración en sistemas de respaldo dependen de su configuración y de sus políticas públicas.

Ubicación y disponibilidad

La región de tratamiento y la replicación que afectan a sus datos personales siguen la configuración del proyecto en los encargados que alojan la base de datos y los ficheros; conviene revisar allí la ubicación efectiva y las garantías contractuales aplicables.

Minimización de datos

Solo tratamos los datos necesarios para prestar el servicio educativo. Los plazos de conservación y borrado se ajustan a la política de privacidad del producto y a la normativa aplicable.

Confidencialidad en reposo

La confidencialidad de los datos en reposo depende de las medidas que aplican los encargados que alojan la información; los detalles técnicos y de cumplimiento se encuentran en la documentación de cada proveedor enlazada en la sección de encargados.

Conservación

Los plazos concretos de conservación de expedientes o cuentas inactivas figuran en la política de privacidad y en las herramientas legales del sitio; pueden variar según el centro y la normativa que aplique.

Encargados del tratamiento

Quién trata datos personales en nuestro nombre o de forma auxiliar, con qué finalidad y qué categorías de información toca cada servicio

Alojamiento de la aplicación y de los datos

Activo

Los datos personales tratados en el servicio residen en sistemas gestionados por terceros: principalmente base de datos y almacenamiento integrado en Supabase, y ficheros configurados como objetos en Cloudflare R2 cuando aplica. La interfaz pública se sirve como aplicación web (desarrollada con Next.js/React); desde privacidad, lo relevante es quién accede a qué dato y con qué finalidad, recogido en la política de privacidad.

Finalidad:Ejecución del tratamiento educativo: cuentas, expedientes, comunicaciones y ficheros asociados al servicio
Ubicación de datos:Según región del proyecto en Supabase y buckets R2 según configuración
Documentación:Supabase, Cloudflare (R2) y documentación del despliegue web

Correo electrónico

Activo

Los correos transaccionales (por ejemplo verificación o avisos del sistema) se envían a través de proveedores de envío que aplican transporte cifrado y condiciones de tratamiento acordes a buenas prácticas de confidencialidad.

Finalidad:Notificaciones y mensajes del sistema
Datos tratados:Dirección de correo y metadatos necesarios para el envío
Conservación:La mínima necesaria en registros del proveedor de envío

Analítica

Activo

Si se utilizan herramientas de medición de uso, se configuran para limitar datos personales y favorecer métricas agregadas o anonimizadas cuando el producto lo permita.

Finalidad:Mejora de rendimiento y estabilidad
Datos compartidos:Preferentemente agregados o con identificadores técnicos
Almacenamiento de datos personales:Reducido al mínimo necesario

Pagos

Activo

Los pagos se procesan a través de Tilopay (ecosistema de pagos digitales descrito en tilopay.com). El tratamiento de la tarjeta y los datos sensibles del pago ocurre en la infraestructura de Tilopay; EduShield no almacena el número completo de tarjeta en sus sistemas propios.

Finalidad:Altas, suscripciones o cobros asociados al servicio
Datos compartidos:Datos necesarios para la transacción (importe, referencia)
Proveedor:tilopay.com (Tilopay)

Nuestro compromiso

Formalizamos el tratamiento con encargados mediante acuerdos o condiciones contractuales estándar del sector. Revisamos periódicamente la idoneidad de los proveedores y podemos sustituirlos si dejan de ser adecuados al servicio.

Copias y datos personales

Copias de seguridad y recuperación de datos

EduShield no mantiene una copia paralela de los datos personales fuera de los entornos de los encargados indicados arriba. Las copias automáticas, el tiempo en que un dato puede seguir recuperable tras un borrado y los procedimientos de restauración los define cada proveedor según su producto; eso puede influir en cuánto permanece rastro técnico de una información ya eliminada a nivel de aplicación.

Datos
Registros y metadatos en base de datos

Copias, puntos de recuperación y retención en sistemas de respaldo del servicio de base de datos las establece Supabase. Para plazos concretos y opciones de restauración, consulte su documentación oficial vigente.

Objetos
Ficheros en almacenamiento de objetos

Cuando existan ficheros en almacenamiento de objetos (R2), versionado, ciclo de vida y eliminación definitiva dependen de la configuración del bucket y de las políticas de Cloudflare para ese servicio.

Normativa
Transparencia y documentación externa

EduShield no publica aquí SLA ni plazos de purga ajenos a su control; el interesado puede contrastar garantías y subencargados en la documentación de cada proveedor y en la política de privacidad.

Qué implica para el titular del dato

1

Integridad y disponibilidad

Las copias existen para restaurar el servicio y la coherencia de la información educativa ante fallos; no sustituyen el ejercicio de derechos, que se gestiona según la política de privacidad y las herramientas del sitio.

2

Plazos y residuos técnicos

Un borrado solicitado en la aplicación puede tardar en reflejarse por completo en todas las capas técnicas (cachés, respaldos, registros operativos). Los límites dependen del proveedor y de la operación del producto.

3

Documentación de referencia

Los parámetros definitivos de restauración y retención están en la documentación de Supabase y de Cloudflare (R2); esta página no los sustituye.

Visualización de sistema de copias de seguridad
TLS
Confidencialidad en el acceso al servicio
Plazos
Recuperación y purga según política del encargado

Respuesta ante incidentes de datos

Pasos orientativos (no plazos legales vinculantes) para contener, analizar y comunicar un incidente que comprometa datos personales tratados en EduShield.

0–1 h

Detección y contención

Se activa un canal interno, se revisan alertas de los servicios donde reside el producto (base de datos, objetos y despliegue de la aplicación) y se aplican contenciones inmediatas que permitan la configuración y el código.

  • Revocación o rotación de credenciales y suspensión de accesos en proveedores cuando proceda
  • Conservación de trazas útiles para el análisis posterior
1–6 h

Investigación y evaluación

Se delimita qué sistemas y datos quedaron expuestos o alterados, con estimación del volumen de personas afectadas. Con ese insumo se contrasta con asesoramiento jurídico si hace falta qué notificaciones aplican en Costa Rica y en qué plazos.

  • Línea técnica con proveedores para reconstruir la cadena del incidente
  • Conclusión interna sobre severidad y próximos pasos de comunicación
6–24 h

Notificación y comunicación

Si el marco aplicable lo exige, se notifica a las personas interesadas y, cuando corresponda, a la autoridad de protección de datos personales en Costa Rica, respetando plazos y contenido mínimo que indique la normativa o el asesoramiento recibido. El mensaje resume qué ocurrió, qué datos podrían verse afectados y qué medidas de mitigación o recomendaciones son razonables con la información disponible en ese momento.

Continuo

Corrección y prevención

Tras estabilizar el servicio, se priorizan parches, revisión de dependencias y endurecimiento de reglas o permisos. Se documenta en interno qué falló y qué controles se reforzaron para reducir riesgos parecidos.

  • Seguimiento de cambios en código, infraestructura como código y paneles de proveedores
  • Registro breve de lecciones aprendidas accesible al equipo responsable del producto

Compromiso de transparencia

En incidentes con impacto para interesados, la información útil y permitida se comunicará por los canales habituales del servicio o mediante actualizaciones a la política de privacidad y textos legales en edushield.net, sin sustituir el asesoramiento que cada persona pueda recibir por su cuenta.

Responsable y derechos del interesado

Información sobre el tratamiento y los derechos reconocidos en la legislación de protección de datos personales vigente en Costa Rica, cuando proceda

Tus datos

El resto de información sobre el tratamiento figura en la política de privacidad y en las demás páginas legales. No mantenemos un buzón dedicado de Delegado de Protección de Datos ni un servicio de contacto comercial para consultas de privacidad en esta página.

Documentación
Política de privacidad y demás textos legales en edushield.net
Actualización
Este texto se revisa cuando cambia el producto o la normativa aplicable

El interesado puede borrar siempre sus datos personales asociados a la cuenta usando la página Eliminar mis datos en edushield.net, sin trámites adicionales en esta sección.

Equipo de apoyo profesional
Legal
Política de privacidad y avisos en el sitio
CR
Responsable del tratamiento en Costa Rica