Vigente desde 26 de abril de 2026 Actualizado 1 de junio de 2026

Acuerdo de Procesamiento de Datos — Amazon Web Services

Este DPA describe cómo Aura utiliza AWS Rekognition, Amazon S3 y DynamoDB para verificar la identidad biométrica facial de los usuarios, prevenir duplicados y bloquear el re-registro de cuentas baneadas. La selfie se conserva de forma temporal y cifrada (eliminación automática a las 24 horas); de forma permanente solo se conserva el vector matemático del rostro.

Proveedor
Amazon Web Services, Inc.
Rekognition + DynamoDB — verificación biométrica facial
i
Partes del acuerdo

Controlador de Datos: Miguel Eduardo Romero Ruiz (Aura)
Procesador de Datos: Amazon Web Services, Inc.

Servicios utilizados:

  • AWS Rekognition (verificación biométrica facial y almacenamiento del vector en la colección de rostros)
  • Amazon S3 (almacenamiento temporal y cifrado de la selfie, eliminación automática a las 24 h)
  • AWS DynamoDB (metadatos de intentos de verificación e identificadores de usuarios baneados)

Contacto Aura: privacidad@aurasocial.mx

1. Propósito del Procesamiento

Aura utiliza los servicios de AWS para los siguientes fines críticos de seguridad y verificación:

1.1. AWS Rekognition

  • Verificación de identidad biométrica: Análisis de selfies de usuarios para confirmar que son personas reales y únicas.
  • Detección de duplicados: Comparación de vectores faciales para prevenir cuentas duplicadas del mismo usuario.
  • Detección de usuarios baneados: Identificación de usuarios previamente baneados que intentan crear nuevas cuentas.
  • Detección de rostro: Confirmación de que la imagen contiene un rostro humano válido para la verificación.

1.2. AWS DynamoDB

  • Identificadores de usuarios baneados: Mantener los identificadores faciales (Face ID) de usuarios permanentemente baneados para prevenir su re-registro.
  • Metadatos de intentos de verificación: Registrar el resultado, nivel de confianza y calidad de cada intento, con expiración automática a los 90 días.

Nota: los vectores faciales de los usuarios verificados se almacenan en la colección de AWS Rekognition (no en DynamoDB).

2. Categorías de Datos Biométricos Procesados

!
DATOS SENSIBLES — CATEGORÍA ESPECIAL

Los datos procesados incluyen datos biométricos, considerados datos sensibles bajo la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México).

Tipo de Dato Descripción Servicio AWS Retención
Selfie (imagen facial) Fotografía de rostro del usuario, usada para extraer el vector y comparar Amazon S3 (aura-verification-prod, cifrado SSE-KMS) Eliminación automática a las 24 horas (lifecycle)
Vector facial (usuarios verificados) Representación matemática del rostro (512 dimensiones); no permite reconstruir la imagen AWS Rekognition (colección aura-faces-prod) Hasta la eliminación de la cuenta
Vector facial / Face ID (baneados) Identificador de rostro de usuarios permanentemente baneados DynamoDB (aura-banned-faces) Permanente (prevención de re-registro)
Metadatos de intento de verificación Resultado, nivel de confianza, calidad, timestamp, ID de sesión DynamoDB (aura-verification-attempts) 90 días (TTL automático)
!
Minimización de datos
  • Selfie de verificación: La imagen se conserva cifrada y de forma temporal en Amazon S3 únicamente durante el proceso de verificación, y se elimina automáticamente a las 24 horas mediante una política de ciclo de vida. No se conserva de forma permanente.
  • Solo se conserva el vector: Para verificaciones futuras y la detección de duplicados, AWS Rekognition conserva únicamente la representación matemática del rostro (vector de 512 dimensiones), que no permite reconstruir la fotografía original.
  • Sin datos de contacto en AWS: Los vectores faciales se asocian a un identificador interno (ID de usuario) y no se vinculan con nombres, correos ni teléfonos en AWS.

3. Flujo de Procesamiento Biométrico

  1. Captura: Usuario toma selfie en la app Aura (iOS)
  2. Envío seguro: Selfie se envía a Firebase Cloud Function mediante HTTPS (TLS 1.3)
  3. Procesamiento AWS Rekognition:
    • Detección de rostro en la imagen (confirmar que hay un rostro humano válido)
    • Extracción del vector facial (512 dimensiones)
    • AWS Rekognition no retiene la imagen original; solo procesa el vector
  4. Comparación en AWS Rekognition:
    • El vector se compara con los rostros existentes en la colección (SearchFacesByImage)
    • Una similitud por encima del umbral configurado se considera rostro duplicado
    • Verificación adicional contra la base de usuarios baneados (DynamoDB)
  5. Almacenamiento (si la verificación es exitosa):
    • El vector facial se indexa en la colección de AWS Rekognition (IndexFaces), asociado al ID de usuario
    • Los metadatos del intento (resultado, confianza, calidad, sesión) se registran en DynamoDB con expiración automática a 90 días
    • La selfie almacenada en Amazon S3 se elimina automáticamente a las 24 horas

4. Retención de Datos en AWS

Tipo de Dato Período de Retención Justificación
Vector facial (usuario activo · Rekognition aura-faces-prod) Mientras la cuenta exista Verificación de identidad continua y prevención de duplicados
Vector facial (cuenta eliminada) Se elimina al procesar la baja de la cuenta (DeleteFaces) Minimización de datos tras la baja
Vector facial / Face ID (usuario baneado · DynamoDB aura-banned-faces) Permanente Protección de la comunidad: impedir el re-registro de cuentas baneadas
Metadatos de intento (DynamoDB aura-verification-attempts) 90 días (TTL automático) Auditoría y resolución de disputas
Selfie de verificación (Amazon S3 aura-verification-prod) 24 horas (eliminación automática por lifecycle) Minimización — solo durante el proceso de verificación

5. Medidas de Seguridad

5.1. Seguridad Técnica de AWS

  • Cifrado en tránsito: TLS 1.3 para todas las comunicaciones con AWS Rekognition y DynamoDB
  • Cifrado en reposo: Todos los datos en DynamoDB se cifran con AES-256 mediante AWS KMS (Key Management Service)
  • Aislamiento de datos: Vectores faciales almacenados en tabla DynamoDB dedicada, separada de otros datos de usuario
  • Autenticación: Acceso mediante AWS IAM roles con permisos mínimos necesarios
  • Auditoría: AWS CloudTrail registra todos los accesos a datos biométricos

5.2. Controles de Acceso

  • Solo Firebase Cloud Functions autorizadas pueden invocar AWS Rekognition
  • Credenciales AWS rotadas automáticamente cada 90 días
  • Acceso humano a DynamoDB restringido solo a administradores autorizados
  • Autenticación multifactor (MFA) requerida para acceso a consola AWS
  • Logs de acceso monitoreados para detectar actividad anómala

5.3. Minimización de Datos

  • La selfie se conserva solo de forma temporal y cifrada en Amazon S3 (eliminación automática a las 24 horas); no se conserva de forma permanente
  • De forma permanente solo se conserva el vector matemático (no reconstruible a imagen)
  • Vectores NO vinculados con nombres, correos o números telefónicos en AWS
  • Metadatos limitados estrictamente a lo necesario para verificación

6. Transferencias Internacionales de Datos

i
Región de AWS utilizada

us-east-1 (Virginia del Norte, Estados Unidos)

Los datos biométricos de usuarios mexicanos se transfieren y almacenan en servidores ubicados en Estados Unidos.

6.1. Mecanismo de Transferencia

La transferencia de datos biométricos desde México a Estados Unidos se realiza bajo las siguientes garantías:

  • Consentimiento explícito: Los usuarios aceptan explícitamente la transferencia internacional al marcar el checkbox de consentimiento biométrico en la app.
  • Cláusulas Contractuales Estándar: AWS cumple con las Standard Contractual Clauses (SCC) 2021.
  • Certificaciones: AWS cuenta con certificación ISO 27001, SOC 2 Type II, y cumplimiento con marcos de privacidad internacionales.
  • Data Processing Addendum (DPA): Aura mantiene un DPA firmado con AWS según los términos de AWS Customer Agreement.

6.2. Garantías Adicionales

  • Los datos nunca se transfieren fuera de la región us-east-1
  • AWS no tiene acceso a los vectores faciales (cifrados con claves controladas por Aura)
  • No se realiza procesamiento secundario de datos biométricos por parte de AWS

7. Derechos ARCO de los Interesados

Los usuarios pueden ejercer los siguientes derechos respecto a sus datos biométricos:

7.1. Acceso

  • Solicitar confirmación de si sus datos biométricos están almacenados en AWS DynamoDB
  • Obtener información sobre el propósito del procesamiento y retención
  • Recibir copia de los metadatos de verificación (NO el vector facial, ya que es incomprensible para humanos)

7.2. Rectificación

  • Solicitar nueva verificación biométrica si consideran que el vector almacenado es inexacto
  • Actualizar información vinculada al vector (metadatos)

7.3. Cancelación

  • Eliminar su cuenta de Aura, lo que elimina el vector facial de AWS Rekognition al procesar la baja (DeleteFaces)
  • Solicitar eliminación inmediata mediante petición escrita (sujeto a verificación de identidad)
  • Excepción: Vectores de usuarios baneados se conservan permanentemente por seguridad de la comunidad

7.4. Oposición

  • Rechazar verificación biométrica (resultará en cuenta no verificada con funcionalidades limitadas)
  • Solicitar eliminación anticipada de datos si ya no desean estar verificados

Para ejercer derechos ARCO: Enviar solicitud a privacidad@aurasocial.mx con asunto "Derechos ARCO - Datos Biométricos". Respuesta en máximo 20 días hábiles.

8. Sub-Procesadores de AWS

AWS puede utilizar sub-procesadores para operar sus servicios. Aura ha revisado y acepta los siguientes:

Sub-Procesador Servicio Propósito Ubicación
AWS Key Management Service (KMS) Cifrado Gestión de claves de cifrado para DynamoDB us-east-1
AWS CloudTrail Auditoría Registro de accesos a datos biométricos us-east-1
Amazon S3 (temporal) Almacenamiento transitorio Buffers internos de AWS (datos cifrados, eliminados en < 24h) us-east-1

Lista completa de sub-procesadores disponible en: https://aws.amazon.com/compliance/sub-processors/

9. Notificación de Violaciones de Seguridad

9.1. Compromiso de AWS

Según el AWS Customer Agreement, AWS se compromete a:

  • Notificar a Aura dentro de las 72 horas del descubrimiento de cualquier violación de seguridad que afecte datos biométricos
  • Proporcionar detalles sobre la naturaleza de la violación, datos afectados y medidas de mitigación
  • Cooperar con Aura en la investigación y respuesta al incidente

9.2. Compromiso de Aura

En caso de violación que afecte datos biométricos:

  1. Aura evaluará el impacto en usuarios mexicanos dentro de 24 horas
  2. Notificará a usuarios afectados mediante la app y correo electrónico
  3. Reportará a la autoridad mexicana competente (Secretaría Anticorrupción y Buen Gobierno) según lo requiere la LFPDPPP
  4. Implementará medidas correctivas inmediatas
  5. Publicará reporte post-mortem dentro de 30 días (si aplica)
!
Historial de incidentes

Ninguna violación de seguridad ha afectado datos biométricos de Aura desde el inicio del servicio.

Última revisión: 21 de abril de 2026

10. Auditorías y Cumplimiento

10.1. Certificaciones de AWS

  • ISO/IEC 27001:2013 (Seguridad de información)
  • ISO/IEC 27017:2015 (Seguridad en la nube)
  • ISO/IEC 27018:2019 (Protección de datos personales en la nube)
  • SOC 2 Type II (Controles de seguridad, disponibilidad y confidencialidad)
  • PCI DSS Level 1 (aunque Aura no procesa pagos en AWS)

10.2. Auditorías de Aura

Aura se reserva el derecho de:

  • Revisar logs de AWS CloudTrail trimestralmente
  • Solicitar reportes SOC 2 anuales de AWS
  • Realizar auditorías de cumplimiento mediante revisión de documentación
  • Contratar auditores externos para evaluar la configuración de seguridad en AWS

11. Responsabilidad y Garantías

!
Modelo de responsabilidad compartida

AWS es responsable de:

  • Seguridad de la infraestructura física (centros de datos, red, hardware)
  • Seguridad de los servicios gestionados (Rekognition, DynamoDB)
  • Cifrado en tránsito y en reposo
  • Disponibilidad del servicio según SLA (99.9% mensual)

Aura es responsable de:

  • Configuración correcta de permisos y controles de acceso
  • Implementación de políticas de retención de datos
  • Gestión de claves de cifrado
  • Obtención de consentimiento válido de usuarios
  • Cumplimiento con LFPDPPP y otras leyes mexicanas
  • Notificación a usuarios en caso de violaciones

11.1. Limitaciones de Responsabilidad

  • AWS NO es responsable por uso indebido de datos por parte de Aura
  • AWS NO revisa el contenido de los vectores faciales almacenados
  • AWS NO toma decisiones sobre verificación o baneo de usuarios (es responsabilidad exclusiva de Aura)

12. Terminación del Acuerdo

Este Acuerdo de Procesamiento de Datos permanece vigente mientras Aura utilice los servicios de AWS. Aura puede:

12.1. Suspensión del Servicio

  • Suspender el uso de AWS Rekognition en cualquier momento
  • Exportar todos los vectores faciales de DynamoDB antes de la terminación
  • Solicitar eliminación de todos los datos dentro de 30 días de la terminación del servicio

12.2. Migración a Otro Proveedor

  • Aura puede migrar a otro proveedor de verificación biométrica sin previo aviso a AWS
  • Los vectores faciales pueden ser exportados y re-procesados con otro sistema
  • Usuarios serán notificados de cambios materiales en el procesamiento de datos biométricos

13. Modificaciones al Acuerdo

Este Acuerdo puede ser modificado en las siguientes circunstancias:

  • Cambios en los servicios de AWS que afecten el procesamiento de datos
  • Actualizaciones en la legislación mexicana (LFPDPPP)
  • Mejoras en las medidas de seguridad de Aura
  • Cambios en el propósito del procesamiento de datos biométricos

Los usuarios serán notificados de cambios materiales con al menos 30 días de anticipación mediante:

  • Notificación push en la aplicación
  • Correo electrónico (si proporcionaron uno)
  • Actualización de la fecha en este documento

14. Contacto y Preguntas

i
Controlador de Datos (Aura)

Miguel Eduardo Romero Ruiz
RFC: RORM950517FW9
Sur 19 # 62 Col. Centro
Orizaba, Veracruz, México
Email: privacidad@aurasocial.mx
Asunto para datos biométricos: "Datos Biométricos - DPA AWS"

i
Procesador de Datos (AWS)

Amazon Web Services, Inc.
410 Terry Avenue North
Seattle, WA 98109
Estados Unidos
Privacy: https://aws.amazon.com/privacy/
DPA AWS: AWS GDPR DPA (PDF)