Subprocesadores de Structura Pro
1. Infraestructura y datos (críticos)
Reciben datos operativos de los proyectos, autenticación y contenido cargado por los usuarios.
| Proveedor | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| Supabase Inc. Crítico |
Base de datos Postgres del producto (proyectos, APUs, presupuestos, bitácora, hallazgos, órdenes, avance). Autenticación de usuarios. Almacenamiento (Storage) para adjuntos y fotos de bitácora. Edge Functions (Deno) para lógica server-side. Datos personales tratados: correo, nombre, atributos SAML, contenido cargado. | Estados Unidos (us-east-1) | SOC 2 Type II · HIPAA · CCPA | supabase.com/privacy |
| Cloudflare Inc. Crítico |
Hosting estático del landing (structura.build) y de la aplicación SPA (app.structura.build) en Cloudflare Pages. CDN global. WAF y protección anti-DDoS. Cloudflare Email Routing para enrutamiento de @structura.build hacia buzones administrativos. Cloudflare Turnstile para verificación anti-bot en el signup. |
Global (edge nodes) | SOC 2 Type II · ISO 27001 · PCI DSS | cloudflare.com/privacypolicy |
2. Inteligencia artificial
Recibe únicamente el contenido que el usuario envía voluntariamente a una función de IA (Plano IA, IFC/BIM, DXF, Diagnóstico, Comparador, Copiloto Stru-IA, Generador de APUs).
| Proveedor | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| Anthropic PBC Crítico Proveedor único IA |
Modelos Claude (Opus, Sonnet, Haiku) via API comercial. Procesa las entradas y devuelve las salidas de las 7 funciones IA activas. Bajo los Anthropic Commercial Terms of Service, los inputs y outputs de usuarios no son utilizados por Anthropic para entrenar sus modelos. No coloca cookies en el navegador del usuario. | Estados Unidos | SOC 2 Type II · HIPAA (via BAA opcional) | anthropic.com/legal/privacy |
Si en el futuro se incorporan otros proveedores de IA, esta página se actualizará antes de la activación y se notificará por correo a las cuentas Corporate con mínimo 15 días de antelación.
3. Pasarelas de pago
Reciben los datos necesarios para procesar la suscripción: correo del pagador, monto, método, últimos 4 dígitos y token de la transacción. Structura Pro nunca almacena números completos de tarjeta ni CVV.
| Proveedor | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| Wompi (Grupo Bancolombia) | Pasarela de pagos en COP. Aparece sólo si el usuario abre el checkout en pesos colombianos. Datos: correo, monto, método (PSE, tarjeta, Nequi, Bancolombia a la mano), últimos 4 dígitos. | Colombia | PCI DSS Nivel 1 · Vigilada por la Superfinanciera | wompi.co |
| MercadoPago | Pasarela de pagos LATAM (COP, MXN, ARS, PEN, CLP, BRL). Aparece sólo si el usuario abre el checkout en LATAM fuera de Colombia. Datos: correo, monto, método, últimos 4 dígitos. | Argentina + regionales | PCI DSS Nivel 1 | mercadopago.com |
| Lemon Squeezy LLC | Pasarela de pagos internacionales (USD, EUR). Aparece sólo para clientes Empresa / Corporate fuera de LATAM. Datos: correo, monto, moneda, últimos 4 dígitos. Actúa como Merchant of Record (facturación e impuestos internacionales gestionados por LS). | Estados Unidos | PCI DSS · SOC 2 | lemonsqueezy.com/privacy |
4. Comunicaciones y monitoreo
| Proveedor | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| Resend | Envío de correo transaccional: confirmación de cuenta, restablecimiento de contraseña, invitaciones a organización, notificaciones operativas del producto. Datos: correo del destinatario, asunto, cuerpo del mensaje. | Estados Unidos | SOC 2 · GDPR | resend.com/legal/privacy-policy |
| Sentry Opcional | Monitoreo de errores y trazas anónimas del navegador y de las edge functions. Se envían stack traces y metadata técnica. Datos personales solo si aparecen accidentalmente en el mensaje de error; se aplica scrubbing best-effort. | Estados Unidos | SOC 2 Type II · ISO 27001 | sentry.io/privacy |
| cron-job.org | Programador externo que dispara pings periódicos a Supabase para mantener el proyecto activo (anti-pausa del tier free). No procesa datos de usuarios. | Alemania (UE) | GDPR | cron-job.org/privacy |
5. Proveedores de identidad SSO/SAML (sólo Corporate)
Aplican únicamente a organizaciones Corporate que activan SSO/SAML federado. La elección del proveedor de identidad (IdP) la hace el cliente Corporate en su propia infraestructura; Structura Pro sólo recibe los atributos SAML del token firmado por el IdP.
| Proveedor típico | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| Okta | Autenticación federada. Datos recibidos vía SAML 2.0 u OIDC: correo, nombre visible, grupos/roles del IdP. La sesión y credenciales viven en la infraestructura del cliente Corporate. | Según el cliente Corporate | Según el proveedor (típicamente SOC 2 + ISO 27001) | okta.com |
| Microsoft Azure AD / Entra ID | Según el cliente Corporate | SOC 2 · ISO 27001 | microsoft.com/privacy | |
| Google Workspace | Según el cliente Corporate | SOC 2 · ISO 27001 | policies.google.com/privacy | |
| OneLogin | Según el cliente Corporate | SOC 2 · ISO 27001 | onelogin.com/privacy | |
| JumpCloud | Según el cliente Corporate | SOC 2 | jumpcloud.com/privacy | |
| Duo (Cisco) | Según el cliente Corporate | SOC 2 · ISO 27001 | duo.com/legal/privacy-notice |
6. Terceros embebidos (opcionales, dependen de la acción del usuario)
| Proveedor | Qué procesa | País del servidor | Certificaciones | Política |
|---|---|---|---|---|
| YouTube (Google LLC) Opcional | Reproducción de videos embebidos de la Academia (cursos + instructivos). Sólo si el usuario da play. Los videos se sirven desde el modo de privacidad extendida (youtube-nocookie.com) cuando el embed lo soporta. |
Estados Unidos (Google Cloud) | SOC 2 · ISO 27001 | policies.google.com/privacy |
7. Transferencias internacionales
Algunos subprocesadores están ubicados fuera de Colombia. Conforme al artículo 26 de la Ley 1581 de 2012 y a las causales de transferencia autorizadas por la Superintendencia de Industria y Comercio (SIC), estas transferencias se realizan a países con niveles de protección adecuados o bajo cláusulas contractuales equivalentes (Standard Contractual Clauses de la Comisión Europea, o su equivalente aplicable). El detalle está en la Política de Privacidad.
8. Cambios al listado · notificación previa
Este listado es vivo. Cuando activemos un nuevo subprocesador o retiremos uno existente:
- Actualizaremos esta página en
structura.build/subprocesadores.html. - Notificaremos por correo electrónico a las cuentas Corporate con mínimo 15 días de antelación a la activación.
- Para cuentas Empresa y menores, la notificación será mediante aviso dentro de la aplicación al iniciar sesión.
- Si el cambio implica una nueva categoría de datos o una nueva jurisdicción, la Política de Privacidad se actualizará explícitamente y se avisará adicionalmente por correo.
Los clientes Corporate que se opongan a un cambio material pueden cancelar su suscripción durante la ventana de aviso previo con reembolso prorrateado.
9. Contacto
Para preguntas específicas sobre subprocesadores, para solicitar el DPA (Data Processing Agreement) del plan Corporate o para reportar una preocupación de seguridad:
- Correo: soporte@structura.build
- WhatsApp: +57 320 482 9370
- Dirección postal: LC2P Ingeniería · Cúcuta, Norte de Santander, Colombia.
Última actualización: 3 de julio de 2026 · Vigencia: hasta nuevo aviso · Documentos relacionados: Política de Privacidad · Términos y Condiciones · Política de uso de IA · Política de cookies