Última actualización: 15 de mayo de 2026 Versión: 1.0 URL pública: talvora.io/subprocesadores
¿Qué es esta página?
Talvora trabaja con un conjunto cuidadosamente seleccionado de proveedores externos que nos ayudan a operar la Plataforma. Algunos de ellos tratan datos personales por nuestra cuenta para cumplir con funciones específicas (hosting, pagos, correos, facturación, etc.). A estos proveedores los llamamos subprocesadores.
Esta página enumera de manera transparente quiénes son, qué hacen, dónde se ubican y cómo nos aseguramos de que tus datos estén protegidos.
Esta lista es parte integral del Aviso de Privacidad y del Contrato de Encargo del Tratamiento (DPA) que rigen tu relación con Talvora.
Compromiso de Talvora con los subprocesadores
Antes de incorporar a cualquier subprocesador, verificamos que:
- Tenga medidas técnicas y organizativas adecuadas para proteger los datos personales conforme a estándares de la industria.
- Acepte por contrato las mismas obligaciones de confidencialidad y protección de datos que Talvora se compromete contigo.
- Esté autorizado a operar desde su jurisdicción de origen y cumpla con las normas aplicables en materia de transferencias internacionales.
- Use los datos exclusivamente para los fines instruidos por Talvora, sin destinarlos a finalidades propias incompatibles con la prestación del servicio.
Subprocesadores activos
A la fecha de esta versión, los subprocesadores de Talvora son los siguientes:
Infraestructura y servicios técnicos
| Subprocesador | Sede legal | Servicio prestado | Ubicación de los datos |
|---|---|---|---|
| Google LLC (Google Cloud Platform) | Mountain View, California, EE. UU. | Hosting, base de datos (Firestore), almacenamiento (Cloud Storage), funciones (Cloud Functions), monitoreo y registros técnicos (Cloud Logging y Cloud Monitoring) | Estados Unidos (configuración multi-regional nam5) |
| Google LLC (Firebase Authentication) | Mountain View, California, EE. UU. | Autenticación e inicio de sesión de usuarios, incluyendo inicio de sesión con cuenta Google | Estados Unidos |
| Google LLC (Google Workspace) | Mountain View, California, EE. UU. | Correo corporativo del dominio @talvora.io y herramientas asociadas para operación interna | Estados Unidos |
Inteligencia artificial
| Subprocesador | Sede legal | Servicio prestado | Ubicación de los datos |
|---|---|---|---|
| Google LLC (Gemini API, servicio de pago) | Mountain View, California, EE. UU. | Procesamiento de las conversaciones con el asistente conversacional Velita. Las conversaciones no son utilizadas por Google para entrenar o mejorar sus modelos, conforme a los términos aplicables a sus servicios de pago. | Estados Unidos |
Pagos y facturación
| Subprocesador | Sede legal | Servicio prestado | Ubicación de los datos |
|---|---|---|---|
| Stripe Payments Mexico, S. de R.L. de C.V. | Ciudad de México, México (filial mexicana de Stripe, Inc.) | Procesamiento de pagos con tarjeta de crédito y débito, administración de suscripciones, cobros recurrentes, gestión de reembolsos. Cumple con el estándar de seguridad PCI-DSS Nivel 1. Talvora no almacena datos de tarjetas en sus propios servidores. | Infraestructura global de Stripe |
| Facturapi, S.A.P.I. de C.V. | Ciudad de México, México | Emisión, timbrado y entrega de Comprobantes Fiscales Digitales por Internet (CFDI), tanto nominativos como globales, conforme al Código Fiscal de la Federación. Talvora opera como Persona Física con Actividades Empresariales y Profesionales. | México |
Comunicaciones
| Subprocesador | Sede legal | Servicio prestado | Ubicación de los datos |
|---|---|---|---|
| Twilio Inc. (SendGrid) | San Francisco, California, EE. UU. | Envío de correos transaccionales (invitaciones al espacio de trabajo, recuperación de contraseña, recordatorios de cobro fallido, avisos operativos, recibos, confirmaciones de soporte). | Estados Unidos |
| The Rocket Science Group LLC (Mailchimp, propiedad de Intuit Inc.) | Atlanta, Georgia, EE. UU. | Plataforma de correo de marketing. Configurada pero sin uso activo a la fecha de publicación de este documento. Se activará únicamente con consentimiento explícito de cada destinatario (doble opt-in) y con notificación previa en esta lista. | Estados Unidos |
Sobre las transferencias internacionales
Como puedes observar, la mayoría de los subprocesadores operan desde Estados Unidos. Esto implica que tus datos personales son transferidos internacionalmente.
Estas transferencias se realizan bajo:
- Necesidad contractual: sin la infraestructura de estos proveedores no sería posible prestarte el servicio que contrataste.
- Cláusulas contractuales de protección de datos firmadas con cada proveedor (DPA – Data Processing Addendum), que obligan a estándares equivalentes a los exigidos por la legislación mexicana.
- Tu consentimiento expreso al aceptar el Aviso de Privacidad al registrarte.
Una única excepción: Facturapi opera con infraestructura en México, por lo que el tratamiento de tus datos fiscales (cuando solicitas factura nominativa) ocurre dentro del territorio nacional.
Cambios en la lista de subprocesadores
Talvora puede modificar esta lista para incorporar nuevos subprocesadores, reemplazar proveedores o ajustar la descripción de los servicios. Los cambios se rigen por las siguientes reglas:
Notificación previa
Cuando un nuevo subprocesador comience a tratar datos personales de los clientes, lo anunciaremos en esta página con al menos 30 días naturales de anticipación.
Adicionalmente, los clientes con plan activo recibirán una notificación al correo asociado a su cuenta cuando se trate de un cambio sustancial (por ejemplo: incorporación de un proveedor en una jurisdicción distinta, reemplazo de un proveedor crítico, cambio en la categoría de datos tratados).
Derecho de objeción
Si tienes una objeción razonable y justificada respecto a un nuevo subprocesador (por ejemplo, por motivos regulatorios aplicables a tu propio negocio), puedes comunicarla por escrito a legal@talvora.io dentro de los 30 días naturales siguientes a la notificación.
Talvora revisará tu objeción y, en caso de no encontrar una alternativa razonable que satisfaga ambas partes, podrás cancelar tu suscripción sin penalidad y solicitar el reembolso proporcional del periodo no consumido, conforme a la Política de Reembolsos vigente.
Cambios urgentes por seguridad
En caso de incidentes de seguridad o riesgos urgentes que requieran la sustitución inmediata de un proveedor, Talvora podrá hacerlo sin el preaviso de 30 días, notificándolo en cuanto sea operativamente viable.
Subprocesadores futuros previstos
Esta sección lista proveedores que aún no son subprocesadores activos pero que Talvora prevé incorporar en el corto o mediano plazo. Su mención aquí no constituye un compromiso de uso, sino transparencia anticipada. Cuando alguno comience a operar efectivamente, se moverá a la sección anterior con la fecha de incorporación.
| Subprocesador previsto | Servicio probable | Estado |
|---|---|---|
| Plataforma de analítica de producto (por definir) | Métricas agregadas de uso del producto, sin datos personales identificables | Sin proveedor seleccionado a la fecha |
| Plataforma de soporte/CRM externa (por definir) | Eventual sustitución del soporte interno construido sobre Firestore por una herramienta especializada | Sin proveedor seleccionado a la fecha |
Cómo verificamos a nuestros subprocesadores
Aunque esta sección no es legalmente exigida, la incluimos por transparencia adicional.
Antes de incorporar a un subprocesador revisamos:
- Reputación pública y antecedentes en el manejo de datos personales (incidentes históricos, sanciones regulatorias, certificaciones).
- Documentación contractual disponible: existencia de DPA estándar, cláusulas contractuales de protección de datos, política de subprocesamiento del propio proveedor.
- Certificaciones de seguridad cuando aplique (SOC 2, ISO 27001, PCI-DSS, según el tipo de servicio).
- Compromisos de no uso de datos para fines propios incompatibles (por ejemplo, no entrenamiento de modelos de IA con datos de clientes en el caso de Velita).
- Ubicación de los datos y cumplimiento con regulaciones de transferencia internacional.
Esta evaluación se realiza al momento de la incorporación y se revisa al menos anualmente.
Si eres un titular cuyos datos están en Talvora
Si eres una persona cuyos datos personales fueron cargados en Talvora por uno de nuestros clientes (por ejemplo, porque eres cliente final o proveedor de un negocio que usa Talvora para gestionar su operación), debes saber:
- Talvora actúa como Encargado del tratamiento sobre esos datos, no como Responsable.
- El Responsable es el cliente de Talvora que cargó tus datos en su espacio de trabajo.
- Para ejercer tus derechos sobre esos datos, debes dirigirte directamente a ese cliente.
- Si nos contactas a
legal@talvora.io, te orientaremos para que identifiques al responsable correcto y podamos colaborar con tu solicitud cuando sea procedente.
Esto está explicado con más detalle en el Aviso de Privacidad Integral, sección 7.1.
Cómo notificarte de cambios en esta lista
Te recomendamos:
- Suscribirte a las actualizaciones de esta página (cuando habilitemos esta función).
- Revisar esta página periódicamente si tu negocio tiene obligaciones de compliance específicas.
- Confirmar que el correo asociado a tu cuenta esté actualizado para recibir notificaciones sustanciales.
El historial completo de versiones de esta lista se publica al final de esta misma página.
Historial de versiones
| Versión | Fecha | Cambios principales |
|---|---|---|
| 1.0 | 15 de mayo de 2026 | Versión inicial de la lista. Subprocesadores: Google Cloud Platform, Google Workspace, Firebase Authentication, Google Gemini API (paid), Stripe Payments Mexico, Facturapi, Twilio SendGrid, Mailchimp (configurado, sin uso activo). |
Contacto
¿Tienes preguntas sobre algún subprocesador o quieres más información sobre nuestras prácticas de gestión de terceros?
Escríbenos a legal@talvora.io.
Talvora — Lista pública de Subprocesadores v1.0 Fecha de publicación: 15 de mayo de 2026 Próxima revisión programada: Continua. Esta lista se actualiza al incorporar, modificar o retirar cualquier subprocesador.