SUB-PROCESADORES

Lista pública de sub-procesadores

Para operar XELIA cumplimos su servicio apoyándonos en proveedores especializados (telefonía, AI, pagos, hosting). Esta página enumera cada uno, qué datos acceden y dónde están geográficamente. Si modificamos esta lista, actualizamos la página y notificamos a los clientes con DPA firmado.

Última actualización: 6 de mayo de 2026.

Sub-procesadores con acceso a datos

Cada uno de los siguientes proveedores procesa datos de tu organización en el cumplimiento del servicio. Todos tienen DPA o equivalente vigente con XELIA y operan bajo cláusulas contractuales tipo (SCC) cuando aplica transferencia internacional.

Proveedor
Propósito
Región
Datos accedidos
Proveedor
Hetzner Online GmbH
Propósito
Hosting de cómputo (servidor productivo único)
Región
Alemania (Falkenstein) / EE. UU. (Ashburn)
Datos accedidos
Datos en reposo + en tránsito vía VPS dedicado
Proveedor
Cloudflare, Inc.
Propósito
CDN, WAF, DDoS, TLS 1.3 en el borde
Región
Global (red anycast)
Datos accedidos
Tráfico HTTP en tránsito; sin almacenamiento persistente
Proveedor
Telnyx LLC
Propósito
Telefonía (números MX/LATAM, voz, SIP)
Región
EE. UU.
Datos accedidos
Metadatos y media de llamadas que el tenant origina
Proveedor
Twilio, Inc.
Propósito
Telefonía legacy (en migración a Telnyx) y bridge WhatsApp histórico
Región
EE. UU.
Datos accedidos
Metadatos y media de llamadas (legacy)
Proveedor
Stripe, Inc.
Propósito
Procesamiento de pagos y suscripciones
Región
EE. UU. (PCI DSS Level 1)
Datos accedidos
Datos de tarjeta tokenizados; XELIA nunca ve PAN
Proveedor
Anthropic, PBC
Propósito
LLM (Claude) para razonamiento del Chat Command Center
Región
EE. UU.
Datos accedidos
Texto de prompts; no usa datos para entrenar (zero-retention enterprise)
Proveedor
OpenAI, L.L.C.
Propósito
LLM (GPT-4o) y Realtime API (voz fallback)
Región
EE. UU.
Datos accedidos
Texto de prompts y audio; opt-out de entrenamiento configurado
Proveedor
Deepgram, Inc.
Propósito
STT/TTS para voz en tiempo real (Aura/Nova)
Región
EE. UU.
Datos accedidos
Audio de llamadas en tránsito
Proveedor
Meta Platforms, Inc.
Propósito
WhatsApp Business Platform (envío y recepción de mensajes)
Región
EE. UU. / Irlanda
Datos accedidos
Metadatos y contenido de mensajes WhatsApp
Proveedor
Amazon Web Services, Inc.
Propósito
AWS SES — correo transaccional
Región
EE. UU.
Datos accedidos
Cabeceras y cuerpo de correos transaccionales en tránsito
Proveedor
Google LLC
Propósito
Google Calendar API (OAuth) y Google Indexing API
Región
EE. UU.
Datos accedidos
Metadatos de calendario solo si el usuario autoriza OAuth
Proveedor
Composio Inc.
Propósito
Bridge de integraciones de terceros (Gmail, etc.)
Región
EE. UU.
Datos accedidos
Tokens OAuth gestionados por el tenant

Componentes self-hosted

Los siguientes componentes se ejecutan dentro de la infraestructura productiva de XELIA. No envían datos a terceros; se enumeran por transparencia técnica.

Componente
Better Auth
Propósito
Autenticación de usuarios
Detalle
Self-hosted en nuestra infraestructura — sin envío de credenciales a terceros
Componente
LiteLLM
Propósito
Proxy unificado de LLMs y observabilidad de costos
Detalle
Self-hosted en Docker en el servidor productivo
Componente
PostgreSQL 16 + pgvector
Propósito
Base de datos relacional + búsqueda vectorial
Detalle
Bare-metal en servidor productivo XELIA
Componente
Redis
Propósito
Cache y colas (BullMQ)
Detalle
Self-hosted en Docker

Cambios en la lista de sub-procesadores

Antes de incorporar a un nuevo sub-procesador con acceso a datos personales de clientes, evaluamos su postura de seguridad y firmamos un DPA o cláusulas equivalentes. Para clientes con DPA firmado con XELIA, notificamos cualquier modificación con al menos 30 días de antelación al correo del Data Protection Officer registrado.

Para suscribirte a notificaciones de cambios o solicitar el DPA, escribe a dpo@xelia.ai.

Referencias relacionadas