1. Partes y roles
Para Customer Data capturado por la API de bot de reuniones, el cliente es responsable y meetbot es encargado. Para datos de cuenta, facturacion, prevencion de abuso y analitica, meetbot actua como responsable independiente segun la politica de privacidad.
2. Instrucciones de tratamiento
meetbot trata Customer Data solo para unirse a las reuniones que indiques, capturar los medios y metadatos solicitados, subir salidas al almacenamiento configurado, entregar webhooks firmados, dar soporte, proteger el servicio y cumplir obligaciones legales.
3. Medidas de seguridad
Produccion corre por defecto en Hetzner Falkenstein, los secretos quedan fuera del codigo, los tokens API se hashean, las firmas de webhook usan HMAC-SHA256, el acceso admin se limita a operadores nombrados y Sentry usa region UE con limpieza de PII.
5. Transferencias internacionales
El bot y el plano de control permanecen por defecto en el EEE. Cuando un subprocesador tiene matriz o ruta de tratamiento en EE.UU., meetbot usa las Clausulas Contractuales Tipo de la Comision Europea y una revision suplementaria de impacto.
6. Incidentes de seguridad
meetbot notificara a los clientes afectados sin demora indebida tras confirmar una brecha de datos personales que afecte a Customer Data, compartiendo alcance conocido, remediacion y detalles de seguimiento.
7. Solicitudes de interesados
Si un interesado contacta con meetbot sobre Customer Data, redirigimos la solicitud al cliente cuando la ley lo permite. Prestamos asistencia razonable para acceso, exportacion, correccion, restriccion, oposicion y borrado.
8. Devolucion y borrado
Las salidas de reuniones se escriben en el bucket controlado por el cliente. El almacenamiento temporal del bot se elimina por defecto tras completar la subida. El borrado de cuenta esta disponible en el dashboard y via DELETE /api/v1/consumers/me; los registros de factura exigidos por ley se conservan.
9. Soporte de auditoria
Hasta completar SOC 2, meetbot proporciona documentacion de seguridad, detalles de subprocesadores, notas de arquitectura y respuestas escritas razonables a preguntas de auditoria bajo NDA o confidencialidad equivalente.
10. Firma y contacto
Para firmar este DPA, pedir redlines o adjuntarlo a una orden enterprise, escribe a legal@meetbot.dev desde una direccion de titular de cuenta. Privacidad: privacy@meetbot.dev.
4. Subprocesadores
La lista siguiente es el anexo operativo de subprocesadores. Avisamos a titulares de cuenta al menos 30 dias antes de anadir un subprocesador que cambie materialmente el tratamiento de Customer Data.
| subprocesador | finalidad | jurisdiccion |
|---|---|---|
| Hetzner Online GmbH | Primary hosting (compute, Postgres, optional storage) | Germany |
| Stripe Payments Europe Ltd / Stripe Inc. | Payments, invoicing, customer-portal billing | Ireland (EU entity) + United States (parent) — SCCs in DPA |
| Cloudflare, Inc. | CDN, TLS termination, inbound email worker | United States — SCCs in DPA |
| Functional Software Inc. (Sentry) | Error tracking | Sentry EU region (Frankfurt, DE) selected; parent US — SCCs in DPA |
| PostHog Inc. (planned) | Product analytics on the marketing site (not live yet) | PostHog EU region (Frankfurt, DE); parent US — SCCs in DPA |
| Anthropic PBC | LLM inference for sample apps that use Claude (e.g. action-items-bot) | United States — SCCs in DPA; BAA path TBD; we do not route customer recordings to Anthropic for our own product |