Vigente desde 26 de abril de 2026 Actualizado 21 de abril de 2026

Acuerdo de Procesamiento de Datos — Amazon Web Services

Este DPA describe cómo Aura utiliza AWS Rekognition y DynamoDB para verificar la identidad biométrica facial de los usuarios, prevenir duplicados y bloquear el re-registro de cuentas baneadas. Los selfies nunca se almacenan: solo el vector matemático del rostro.

Proveedor
Amazon Web Services, Inc.
Rekognition + DynamoDB — verificación biométrica facial
i
Partes del acuerdo

Controlador de Datos: Miguel Eduardo Romero Ruiz (Aura)
Procesador de Datos: Amazon Web Services, Inc.

Servicios utilizados:

  • AWS Rekognition (Verificación biométrica facial)
  • AWS DynamoDB (Almacenamiento de vectores faciales)

Contacto Aura: privacidad@aurasocial.mx

1. Propósito del Procesamiento

Aura utiliza los servicios de AWS para los siguientes fines críticos de seguridad y verificación:

1.1. AWS Rekognition

  • Verificación de identidad biométrica: Análisis de selfies de usuarios para confirmar que son personas reales y únicas.
  • Detección de duplicados: Comparación de vectores faciales para prevenir cuentas duplicadas del mismo usuario.
  • Detección de usuarios baneados: Identificación de usuarios previamente baneados que intentan crear nuevas cuentas.
  • Liveness detection: Verificación de que la imagen proviene de una persona viva (no fotografías o videos).

1.2. AWS DynamoDB

  • Almacenamiento de vectores faciales: Guardar representaciones matemáticas (vectores) de rostros de usuarios verificados.
  • Almacenamiento de vectores de usuarios baneados: Mantener vectores faciales de usuarios permanentemente baneados para prevenir reincorporación.
  • Comparación rápida: Permitir búsquedas eficientes de rostros similares durante el proceso de verificación.

2. Categorías de Datos Biométricos Procesados

!
DATOS SENSIBLES — CATEGORÍA ESPECIAL

Los datos procesados incluyen datos biométricos, considerados datos sensibles bajo la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México).

Tipo de Dato Descripción Servicio AWS Retención
Selfie (imagen facial) Fotografía de rostro del usuario AWS Rekognition Procesado en tiempo real, NO almacenado
Vector facial Representación matemática única del rostro (512 dimensiones) DynamoDB Permanente (usuarios verificados)
Vector facial (baneados) Vectores de usuarios permanentemente baneados DynamoDB Permanente (prevención de fraude)
Metadatos de verificación Confianza de detección, calidad de imagen, timestamp DynamoDB Vinculado al usuario (eliminado si se elimina cuenta)
ID de sesión Identificador único de la sesión de verificación DynamoDB 90 días después de eliminación de cuenta
!
Datos NO almacenados
  • Imágenes faciales originales: Las selfies se procesan en tiempo real y se descartan inmediatamente después de extraer el vector facial.
  • Fotografías completas: AWS Rekognition no almacena las imágenes enviadas para análisis.
  • Información personal identificable: Los vectores faciales no se vinculan con nombres, correos u otros datos de contacto en AWS.

3. Flujo de Procesamiento Biométrico

  1. Captura: Usuario toma selfie en la app Aura (iOS)
  2. Envío seguro: Selfie se envía a Firebase Cloud Function mediante HTTPS (TLS 1.3)
  3. Procesamiento AWS Rekognition:
    • Detección de rostro en la imagen
    • Verificación de liveness (persona viva)
    • Extracción de vector facial (512 dimensiones)
    • Imagen original descartada inmediatamente
  4. Comparación DynamoDB:
    • Vector facial se compara con todos los vectores existentes
    • Detección de similitud superior al 80% = rostro duplicado
    • Verificación contra base de usuarios baneados
  5. Almacenamiento (si verificación exitosa):
    • Vector facial almacenado en DynamoDB
    • Vinculado al User ID de Firestore
    • Metadatos de confianza y calidad guardados

4. Retención de Datos en AWS

Tipo de Dato Período de Retención Justificación
Vectores faciales (usuarios activos) Permanente Necesario para verificación de identidad continua y prevención de duplicados
Vectores faciales (cuenta eliminada) 90 días Prevenir creación inmediata de cuentas duplicadas tras eliminación
Vectores faciales (usuarios baneados) Permanente Protección de la comunidad contra usuarios que violaron gravemente las normas
Metadatos de verificación Vinculado al usuario Auditoría y resolución de disputas
Imágenes faciales (selfies) 0 días (no se almacenan) Minimización de datos — solo se conserva el vector matemático

5. Medidas de Seguridad

5.1. Seguridad Técnica de AWS

  • Cifrado en tránsito: TLS 1.3 para todas las comunicaciones con AWS Rekognition y DynamoDB
  • Cifrado en reposo: Todos los datos en DynamoDB se cifran con AES-256 mediante AWS KMS (Key Management Service)
  • Aislamiento de datos: Vectores faciales almacenados en tabla DynamoDB dedicada, separada de otros datos de usuario
  • Autenticación: Acceso mediante AWS IAM roles con permisos mínimos necesarios
  • Auditoría: AWS CloudTrail registra todos los accesos a datos biométricos

5.2. Controles de Acceso

  • Solo Firebase Cloud Functions autorizadas pueden invocar AWS Rekognition
  • Credenciales AWS rotadas automáticamente cada 90 días
  • Acceso humano a DynamoDB restringido solo a administradores autorizados
  • Autenticación multifactor (MFA) requerida para acceso a consola AWS
  • Logs de acceso monitoreados para detectar actividad anómala

5.3. Minimización de Datos

  • Las selfies originales NUNCA se almacenan en AWS
  • Solo se conserva el vector matemático (no reconstruible a imagen)
  • Vectores NO vinculados con nombres, correos o números telefónicos en AWS
  • Metadatos limitados estrictamente a lo necesario para verificación

6. Transferencias Internacionales de Datos

i
Región de AWS utilizada

us-east-1 (Virginia del Norte, Estados Unidos)

Los datos biométricos de usuarios mexicanos se transfieren y almacenan en servidores ubicados en Estados Unidos.

6.1. Mecanismo de Transferencia

La transferencia de datos biométricos desde México a Estados Unidos se realiza bajo las siguientes garantías:

  • Consentimiento explícito: Los usuarios aceptan explícitamente la transferencia internacional al marcar el checkbox de consentimiento biométrico en la app.
  • Cláusulas Contractuales Estándar: AWS cumple con las Standard Contractual Clauses (SCC) 2021.
  • Certificaciones: AWS cuenta con certificación ISO 27001, SOC 2 Type II, y cumplimiento con marcos de privacidad internacionales.
  • Data Processing Addendum (DPA): Aura mantiene un DPA firmado con AWS según los términos de AWS Customer Agreement.

6.2. Garantías Adicionales

  • Los datos nunca se transfieren fuera de la región us-east-1
  • AWS no tiene acceso a los vectores faciales (cifrados con claves controladas por Aura)
  • No se realiza procesamiento secundario de datos biométricos por parte de AWS

7. Derechos ARCO de los Interesados

Los usuarios pueden ejercer los siguientes derechos respecto a sus datos biométricos:

7.1. Acceso

  • Solicitar confirmación de si sus datos biométricos están almacenados en AWS DynamoDB
  • Obtener información sobre el propósito del procesamiento y retención
  • Recibir copia de los metadatos de verificación (NO el vector facial, ya que es incomprensible para humanos)

7.2. Rectificación

  • Solicitar nueva verificación biométrica si consideran que el vector almacenado es inexacto
  • Actualizar información vinculada al vector (metadatos)

7.3. Cancelación

  • Eliminar su cuenta de Aura, lo que marca el vector facial para eliminación en 90 días
  • Solicitar eliminación inmediata mediante petición escrita (sujeto a verificación de identidad)
  • Excepción: Vectores de usuarios baneados se conservan permanentemente por seguridad de la comunidad

7.4. Oposición

  • Rechazar verificación biométrica (resultará en cuenta no verificada con funcionalidades limitadas)
  • Solicitar eliminación anticipada de datos si ya no desean estar verificados

Para ejercer derechos ARCO: Enviar solicitud a privacidad@aurasocial.mx con asunto "Derechos ARCO - Datos Biométricos". Respuesta en máximo 20 días hábiles.

8. Sub-Procesadores de AWS

AWS puede utilizar sub-procesadores para operar sus servicios. Aura ha revisado y acepta los siguientes:

Sub-Procesador Servicio Propósito Ubicación
AWS Key Management Service (KMS) Cifrado Gestión de claves de cifrado para DynamoDB us-east-1
AWS CloudTrail Auditoría Registro de accesos a datos biométricos us-east-1
Amazon S3 (temporal) Almacenamiento transitorio Buffers internos de AWS (datos cifrados, eliminados en < 24h) us-east-1

Lista completa de sub-procesadores disponible en: https://aws.amazon.com/compliance/sub-processors/

9. Notificación de Violaciones de Seguridad

9.1. Compromiso de AWS

Según el AWS Customer Agreement, AWS se compromete a:

  • Notificar a Aura dentro de las 72 horas del descubrimiento de cualquier violación de seguridad que afecte datos biométricos
  • Proporcionar detalles sobre la naturaleza de la violación, datos afectados y medidas de mitigación
  • Cooperar con Aura en la investigación y respuesta al incidente

9.2. Compromiso de Aura

En caso de violación que afecte datos biométricos:

  1. Aura evaluará el impacto en usuarios mexicanos dentro de 24 horas
  2. Notificará a usuarios afectados mediante la app y correo electrónico
  3. Reportará a autoridades mexicanas (INAI) según lo requiere la LFPDPPP
  4. Implementará medidas correctivas inmediatas
  5. Publicará reporte post-mortem dentro de 30 días (si aplica)
!
Historial de incidentes

Ninguna violación de seguridad ha afectado datos biométricos de Aura desde el inicio del servicio.

Última revisión: 21 de abril de 2026

10. Auditorías y Cumplimiento

10.1. Certificaciones de AWS

  • ISO/IEC 27001:2013 (Seguridad de información)
  • ISO/IEC 27017:2015 (Seguridad en la nube)
  • ISO/IEC 27018:2019 (Protección de datos personales en la nube)
  • SOC 2 Type II (Controles de seguridad, disponibilidad y confidencialidad)
  • PCI DSS Level 1 (aunque Aura no procesa pagos en AWS)

10.2. Auditorías de Aura

Aura se reserva el derecho de:

  • Revisar logs de AWS CloudTrail trimestralmente
  • Solicitar reportes SOC 2 anuales de AWS
  • Realizar auditorías de cumplimiento mediante revisión de documentación
  • Contratar auditores externos para evaluar la configuración de seguridad en AWS

11. Responsabilidad y Garantías

!
Modelo de responsabilidad compartida

AWS es responsable de:

  • Seguridad de la infraestructura física (centros de datos, red, hardware)
  • Seguridad de los servicios gestionados (Rekognition, DynamoDB)
  • Cifrado en tránsito y en reposo
  • Disponibilidad del servicio según SLA (99.9% mensual)

Aura es responsable de:

  • Configuración correcta de permisos y controles de acceso
  • Implementación de políticas de retención de datos
  • Gestión de claves de cifrado
  • Obtención de consentimiento válido de usuarios
  • Cumplimiento con LFPDPPP y otras leyes mexicanas
  • Notificación a usuarios en caso de violaciones

11.1. Limitaciones de Responsabilidad

  • AWS NO es responsable por uso indebido de datos por parte de Aura
  • AWS NO revisa el contenido de los vectores faciales almacenados
  • AWS NO toma decisiones sobre verificación o baneo de usuarios (es responsabilidad exclusiva de Aura)

12. Terminación del Acuerdo

Este Acuerdo de Procesamiento de Datos permanece vigente mientras Aura utilice los servicios de AWS. Aura puede:

12.1. Suspensión del Servicio

  • Suspender el uso de AWS Rekognition en cualquier momento
  • Exportar todos los vectores faciales de DynamoDB antes de la terminación
  • Solicitar eliminación de todos los datos dentro de 30 días de la terminación del servicio

12.2. Migración a Otro Proveedor

  • Aura puede migrar a otro proveedor de verificación biométrica sin previo aviso a AWS
  • Los vectores faciales pueden ser exportados y re-procesados con otro sistema
  • Usuarios serán notificados de cambios materiales en el procesamiento de datos biométricos

13. Modificaciones al Acuerdo

Este Acuerdo puede ser modificado en las siguientes circunstancias:

  • Cambios en los servicios de AWS que afecten el procesamiento de datos
  • Actualizaciones en la legislación mexicana (LFPDPPP)
  • Mejoras en las medidas de seguridad de Aura
  • Cambios en el propósito del procesamiento de datos biométricos

Los usuarios serán notificados de cambios materiales con al menos 30 días de anticipación mediante:

  • Notificación push en la aplicación
  • Correo electrónico (si proporcionaron uno)
  • Actualización de la fecha en este documento

14. Contacto y Preguntas

i
Controlador de Datos (Aura)

Miguel Eduardo Romero Ruiz
RFC: RORM950517FW9
Sur 19 # 62 Col. Centro
Orizaba, Veracruz, México
Email: privacidad@aurasocial.mx
Asunto para datos biométricos: "Datos Biométricos - DPA AWS"

i
Procesador de Datos (AWS)

Amazon Web Services, Inc.
410 Terry Avenue North
Seattle, WA 98109
Estados Unidos
Privacy: https://aws.amazon.com/privacy/
DPA AWS: AWS GDPR DPA (PDF)