Lista de Proveedores de Datos

I. Base Legal de las Transferencias de Datos a Proveedores

De conformidad con los artículos 36 y 37 de la LFPDPPP y los artículos 68 y 69 de su Reglamento, las transferencias de datos personales a los proveedores listados en este documento se fundamentan en las siguientes bases legales:

• Consentimiento del titular: Al aceptar la Política de Privacidad y los Términos y Condiciones de Walkies, usted otorga su consentimiento expreso e informado para que sus datos personales sean compartidos con los proveedores aquí listados, exclusivamente para las finalidades descritas.
• Ejecución contractual: Las transferencias de datos a estos proveedores son necesarias para la ejecución del servicio de paseo de mascotas que usted ha contratado. Sin estos proveedores, Walkies no podría operar la plataforma, procesar pagos, autenticar usuarios ni garantizar la seguridad del servicio.
• Cláusulas contractuales: Walkies mantiene contratos de prestación de servicios y/o acuerdos de procesamiento de datos con cada proveedor, que incluyen:
  • Obligaciones de confidencialidad y protección de datos personales.
  • Limitación del uso de datos exclusivamente para las finalidades contratadas.
  • Medidas de seguridad técnicas, administrativas y físicas equivalentes o superiores a las exigidas por la LFPDPPP.
  • Prohibición de transferir datos a terceros sin autorización de Walkies.
  • Obligación de notificar vulneraciones de seguridad.
  • Obligación de eliminar o devolver los datos al término de la relación contractual.
• Estándares internacionales: Los proveedores listados cumplen con estándares internacionales de seguridad de la información y protección de datos reconocidos, que garantizan un nivel de protección adecuado conforme a lo requerido por la LFPDPPP para transferencias internacionales.

II. Proveedores de Datos y Servicios

1. Amazon Web Services (AWS)

Empresa: Amazon Web Services, Inc.
País: Estados Unidos
Regiones de datos: us-east-1 (Virginia), us-west-2 (Oregon)
Sitio web: aws.amazon.com

Servicios utilizados:

• AWS Lambda: Procesamiento de funciones serverless (lógica del negocio).
• Amazon DynamoDB: Base de datos NoSQL (almacenamiento de perfiles, paseos, direcciones).
• Amazon S3: Almacenamiento de archivos (fotografías de perfil, evidencias de paseos).
• AWS AppSync: API GraphQL (comunicación entre la app y el backend, ubicación en tiempo real).
• Amazon Cognito: Autenticación y gestión de identidades de usuarios (registro, login, tokens).
• Amazon API Gateway: Endpoints HTTP para webhooks y servicios externos.
• Amazon CloudFront: Red de distribución de contenido (CDN) para imágenes.
• Amazon SNS: Servicio de notificaciones push.

Datos que pueden recibir:

• Todos los datos de cuenta y perfil del usuario.
• Datos de mascotas.
• Historial de paseos y rutas de ubicación.
• Fotografías y evidencias.
• Datos de autenticación (credenciales cifradas, tokens).
• Datos de ubicación en tiempo real durante paseos.

Medidas de seguridad:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
• Cumple con ISO 27001, SOC 1/2/3, PCI DSS, CSA STAR.
• Controles de acceso IAM con principio de mínimo privilegio.
• Monitoreo continuo y auditoría de accesos (CloudTrail).

Certificaciones: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, PCI DSS Nivel 1, CSA STAR, HIPAA.

Política de privacidad: https://aws.amazon.com/privacy/
Acuerdo de procesamiento de datos (DPA): https://aws.amazon.com/compliance/data-processing-addendum/

2. Stripe, Inc.

Empresa: Stripe, Inc.
País: Estados Unidos
Sitio web: stripe.com

Servicios utilizados:

• Stripe Payments: Procesamiento de pagos con tarjeta de crédito y débito para Usuarios.
• Stripe Connect Express: Gestión de cuentas de pago para Paseadores (recepción de ingresos por paseos).
• Stripe SetupIntents: Almacenamiento seguro de métodos de pago.
• Stripe Elements / PaymentSheet: Interfaz segura de captura de datos de pago en la app.

Datos que pueden recibir:

• Nombre del titular de la tarjeta.
• Número de tarjeta (procesado por Stripe, Walkies NO almacena este dato).
• Fecha de vencimiento y CVV (procesado por Stripe).
• Dirección de facturación.
• Correo electrónico.
• Para Paseadores: Nombre, CURP, datos bancarios (CLABE), dirección, identificación oficial.
• Historial de transacciones.
• Datos del dispositivo para prevención de fraude.

Medidas de seguridad:

• Certificación PCI DSS Nivel 1 (el más alto nivel de seguridad en la industria de pagos).
• Cifrado de extremo a extremo.
• Tokenización de datos de tarjeta.
• Detección y prevención de fraude (Stripe Radar).

Certificaciones: PCI DSS Nivel 1, SOC 1, SOC 2, ISO 27001.

Política de privacidad: https://stripe.com/privacy
Acuerdo de procesamiento de datos (DPA): https://stripe.com/legal/dpa

3. Apple (Servicios de Mapas y Plataforma)

Empresa: Apple Inc.
País: Estados Unidos
Sitio web: apple.com

Servicios utilizados:

• Apple MapKit: Mapas, geolocalización, cálculo de rutas y distancias.
• Apple Push Notification Service (APNs): Envío de notificaciones push.
• App Store: Distribución de la aplicación.
• App Store Connect: Gestión de la app y analítica de descargas.

Datos que pueden recibir:

• Datos de ubicación (para renderizado de mapas y cálculo de rutas).
• Tokens de notificación push (identificadores anónimos del dispositivo).
• Datos de descarga y uso agregados (a través de App Store Connect).

Medidas de seguridad:

• Los datos de ubicación se procesan localmente en el dispositivo cuando es posible.
• Las notificaciones push se envían cifradas.
• Apple no recibe datos personales identificables a través de MapKit.

Certificaciones: ISO 27001, ISO 27018, SOC 2, SOC 3.

Política de privacidad: https://www.apple.com/legal/privacy/

III. Responsabilidades de los Proveedores en Caso de Incumplimiento

3.1. Obligaciones contractuales de los proveedores:

Cada proveedor está contractualmente obligado a:

• Tratar los datos personales únicamente conforme a las instrucciones de Walkies y para las finalidades contratadas.
• Implementar y mantener medidas de seguridad técnicas, administrativas y físicas adecuadas para proteger los datos personales.
• Notificar a Walkies de cualquier vulneración de seguridad que afecte datos personales de los usuarios de Walkies, dentro de los plazos establecidos contractualmente (generalmente 72 horas o menos).
• No transferir datos personales a terceros sin autorización previa y por escrito de Walkies, salvo que sea requerido por ley.
• Eliminar o devolver los datos personales al término de la relación contractual, salvo obligación legal de conservación.

3.2. En caso de incumplimiento por parte de un proveedor:

• Walkies exigirá al proveedor la corrección inmediata del incumplimiento y la implementación de medidas correctivas.
• Si el incumplimiento resulta en una vulneración de datos personales, Walkies:
  • Notificará a los titulares afectados dentro de las 72 horas siguientes a tener conocimiento del hecho.
  • Notificará al INAI cuando la vulneración sea significativa conforme a la LFPDPPP.
  • Implementará medidas de mitigación para reducir el impacto en los titulares afectados.
  • Documentará el incidente y las medidas adoptadas.
• Si el incumplimiento es grave o reiterado, Walkies podrá:
  • Suspender las transferencias de datos al proveedor incumplido.
  • Rescindir el contrato con el proveedor.
  • Migrar los datos a un proveedor alternativo que cumpla con los estándares requeridos.
• Walkies mantendrá la responsabilidad ante los titulares de los datos conforme a la LFPDPPP, independientemente de que el incumplimiento haya sido cometido por un proveedor. Walkies ejercerá las acciones legales correspondientes contra el proveedor responsable.

3.3. Responsabilidad de Walkies:

Conforme a la LFPDPPP, Walkies es el responsable del tratamiento de los datos personales y mantiene la responsabilidad ante los titulares aun cuando los datos sean procesados por terceros. Walkies ha adoptado las medidas necesarias para garantizar que los proveedores cumplan con un nivel de protección equivalente al exigido por la legislación mexicana.

IV. Evaluación y Supervisión de Proveedores

4.1. Obligación de evaluación:

De conformidad con los artículos 36 y 37 de la LFPDPPP y los artículos 52 y 53 de su Reglamento, Walkies tiene la obligación de verificar que los terceros a quienes transfiere datos personales cumplan con un nivel de protección adecuado. En cumplimiento de esta obligación, Walkies lleva a cabo los siguientes procesos:

a) Evaluación previa a la contratación:

Antes de contratar a un nuevo proveedor que procesará datos personales, Walkies evalúa:

• Las certificaciones de seguridad y cumplimiento del proveedor (ISO 27001, SOC, PCI DSS, etc.).
• Su política de privacidad y sus prácticas de protección de datos.
• Las medidas de seguridad técnicas, administrativas y físicas que implementa.
• Su historial de vulneraciones de seguridad y la forma en que fueron atendidas.
• La legislación aplicable en el país donde se almacenan los datos y si ofrece un nivel de protección adecuado.
• La existencia de acuerdos de procesamiento de datos (DPA) disponibles.

b) Supervisión continua:

Una vez contratado, Walkies supervisa a sus proveedores mediante:

• Revisión periódica de las certificaciones de seguridad vigentes del proveedor.
• Monitoreo de comunicaciones del proveedor sobre incidentes de seguridad o cambios en sus políticas.
• Evaluación del cumplimiento de los acuerdos contractuales de protección de datos.
• Revisión de las actualizaciones a las políticas de privacidad del proveedor.

c) Reevaluación:

Walkies reeevalúa a sus proveedores cuando:

• El proveedor reporta una vulneración de seguridad significativa.
• Cambian las certificaciones o estándares de seguridad del proveedor.
• Cambia la legislación aplicable en materia de protección de datos.
• Se renueva o modifica el contrato con el proveedor.

4.2. Documentación:

Walkies mantiene un registro documentado de las evaluaciones realizadas a cada proveedor, incluyendo los criterios de evaluación, los resultados y las acciones tomadas, conforme a lo establecido en el Reglamento de la LFPDPPP.

V. Notas Adicionales

• Subprocesadores: Cada proveedor puede utilizar sus propios subprocesadores conforme a sus políticas. Los principales proveedores (AWS, Stripe) publican listas de subprocesadores en sus sitios web. Walkies exige contractualmente que los subprocesadores cumplan con estándares de protección equivalentes.
• Cambios de proveedores: Walkies se reserva el derecho de cambiar, agregar o eliminar proveedores de servicios. Cualquier cambio significativo será reflejado en una actualización de este documento y notificado conforme a nuestra Política de Privacidad. Todos los nuevos proveedores serán evaluados conforme al proceso descrito en la Sección IV antes de recibir datos personales.
• Sin acceso a datos completos de pago: Walkies NO tiene acceso a números completos de tarjetas de crédito, CVV ni datos bancarios completos de los Paseadores. Esta información es procesada y almacenada exclusivamente por Stripe bajo los más altos estándares de seguridad de la industria (PCI DSS Nivel 1).
• Todos los proveedores cumplen con estándares internacionales de seguridad de la información y han sido evaluados conforme a la obligación de Walkies bajo la LFPDPPP.

VI. Contacto

Para consultas sobre los proveedores de datos o para ejercer tus derechos ARCO en relación con datos compartidos con proveedores:

Walkies Technologies S.A. de C.V.
Correo: contacto@walkies.mx
Domicilio: Ciudad de México, México

Para mayor información sobre tus derechos como titular de datos personales, consulta la Política de Privacidad de Walkies.