Centro de Confianza

CENTRO DE CONFIANZA Y SEGURIDAD (TRUST CENTER) Fecha de vigencia: 02-14-2026 Última actualización: 02-14-2026 Este Centro de Confianza y Seguridad describe, a nivel general, cómo BrightImpact Capital LLC (“Inverzy”, “nosotros” o la “Compañía”) protege la información y opera controles de seguridad para el sitio y la plataforma Inverzy (el “Servicio”). Este documento no modifica ni amplía garantías; se complementa con los Términos de Servicio y la Política de Privacidad. 1) Principios y alcance Inverzy está diseñado para ayudar a usuarios a construir, analizar y exportar modelos financieros y reportes. Para ello, tratamos: • Datos de cuenta (email, autenticación, preferencias). • Datos de uso (eventos, logs, métricas técnicas). • Customer Data (datos, supuestos y archivos que el usuario carga en proyectos). Importante: • No accedemos a cuentas bancarias ni solicitamos credenciales bancarias para operar el Servicio. • Los pagos se procesan mediante un procesador de pagos externo; en el curso ordinario no almacenamos números completos de tarjeta en nuestros sistemas. 2) Modelo de responsabilidad compartida La seguridad es una responsabilidad compartida: Inverzy / Compañía • Protege la plataforma, infraestructura lógica, controles de acceso, monitoreo y respuesta a incidentes. • Selecciona proveedores externos y aplica medidas razonables para reducir riesgo. Usuario • Protege credenciales, habilita medidas adicionales (p. ej., MFA si está disponible), y controla qué datos carga al sistema. • Verifica Outputs/Resultados antes de tomar decisiones. 3) Controles de seguridad (resumen) Aplicamos medidas técnicas y organizativas razonables orientadas a reducir riesgo de acceso no autorizado, pérdida de datos y abuso. Entre ellas: 3.1 Cifrado y transporte seguro • Cifrado en tránsito mediante protocolos estándar (p. ej., TLS/HTTPS) para comunicaciones con el Servicio. • Uso de controles de cifrado/seguridad proporcionados por nuestros proveedores de infraestructura en la nube para almacenamiento y procesamiento cuando corresponda. 3.2 Control de acceso y privilegios • Principio de mínimo privilegio para accesos internos. • Segregación de entornos (p. ej., producción/pruebas) cuando aplica. • Revocación/rotación de accesos y credenciales según políticas internas. 3.3 Registro, monitoreo y prevención de abuso • Logs técnicos y de seguridad (p. ej., autenticaciones, fallos de login, eventos relevantes del sistema). • Detección y mitigación de patrones de abuso (p. ej., rate-limiting, bloqueo por actividad anómala) cuando sea aplicable. Nota: Los logs técnicos y de seguridad no constituyen “Datos del Cliente” (Customer Data). Pueden conservarse por períodos más largos cuando sea necesario para seguridad, auditoría, prevención de fraude/abuso y/o cumplimiento, conforme a la Política de Privacidad. 3.4 Backups y continuidad • Prácticas razonables de respaldo y restauración para continuidad operativa. • Mantenimiento planificado y procedimientos de recuperación ante incidentes de disponibilidad. • Copias residuales en backups: Los respaldos pueden contener copias residuales por un tiempo limitado conforme a nuestros ciclos de retención estándar de backups y necesidades de seguridad, auditoría y/o cumplimiento. La retención y eliminación de los Datos del Cliente se rige por los Términos de Servicio y, cuando aplique, el Anexo de Tratamiento de Datos (DPA). Nota: Ningún sistema puede garantizarse 100% seguro o disponible. Ver también “Limitaciones” (Sección 10). 4) Seguridad de cuenta (recomendaciones al usuario) Para reducir riesgos, el usuario debe: • Usar contraseñas fuertes y únicas. • Evitar reutilizar credenciales. • Activar MFA cuando esté disponible. • Cerrar sesión en dispositivos compartidos y mantener sistemas actualizados. Si sospecha acceso no autorizado, debe notificarlo de inmediato (ver Sección 12). 5) Datos sensibles y buenas prácticas de carga Para minimizar exposición: • No cargue datos de tarjetas (PAN completo, CVV), credenciales bancarias, IDs gubernamentales completos, o datos médicos, salvo que el Servicio lo solicite explícitamente mediante campos seguros designados. • Si necesita modelar información sensible, use datos agregados o anonimizados cuando sea posible. 6) Proveedores externos (subprocesadores) Subprocesadores clave (Key Subprocessors): • Stripe, Inc. — procesamiento de pagos. • Google LLC (Google Cloud) — infraestructura de alojamiento, almacenamiento y servicios relacionados. Inverzy puede utilizar Subprocesadores adicionales para prestar el Servicio. Esta lista es informativa y no exhaustiva, puede cambiar, y constituye la lista vigente de Subprocesadores a efectos del DPA. Para más información, consulte también la Política de Privacidad — Sección 6 ‘Lista de subprocesadores clave (actual)’. 7) Respuesta a incidentes y notificación Inverzy notificará los Incidentes de Seguridad según lo establecido en los Términos del Servicio y, cuando aplique, el Anexo de Tratamiento de Datos (DPA), y conforme lo exija la ley aplicable. 8) Solicitudes de autoridades y preservación Podemos responder a requerimientos legales válidos (p. ej., citaciones, órdenes judiciales) cuando corresponda, y preservaremos información cuando sea razonablemente necesario para: • cumplir la ley, • proteger derechos y seguridad, • prevenir fraude/abuso, • resolver disputas. 9) Disponibilidad, mantenimiento y soporte • El Servicio puede experimentar mantenimiento planificado, cambios, actualizaciones o interrupciones no planificadas. • Salvo que se acuerde expresamente lo contrario por escrito en un plan empresarial, no ofrecemos SLA contractual en este Trust Center. • Soporte: ver canales de contacto (Sección 12). 10) Limitaciones y descargos (importante) Aunque implementamos medidas razonables, no podemos garantizar: • ausencia total de vulnerabilidades, • operación ininterrumpida, • que terceros nunca logren accesos no autorizados, • que el Servicio esté libre de errores. El uso del Servicio está sujeto a los Términos de Servicio, incluyendo exenciones de garantía y limitaciones de responsabilidad. 11) Divulgación responsable de vulnerabilidades Si usted identifica una vulnerabilidad de seguridad: • Repórtela inmediatamente a: support@inverzy.com • Incluya: pasos de reproducción, evidencia, alcance, y cualquier mitigación sugerida. Condiciones de divulgación responsable (safe harbor básico): • No explotar más allá de lo necesario para demostrar el hallazgo. • No acceder a datos de otros usuarios ni interrumpir el Servicio. • No divulgar públicamente hasta que tengamos oportunidad razonable de investigar y remediar. 12) Contacto Legal: legal@inverzy.com

ANEXO DE TRATAMIENTO DE DATOS (DPA) Vigente desde: 02-14-2026 Última actualización: 02-14-2026 Este Anexo de Tratamiento de Datos (el “DPA”) forma parte de los Términos de Servicio de Inverzy (el “Acuerdo”) entre BrightImpact Capital LLC (“Inverzy” o el “Proveedor”) y el cliente que contrata el Servicio (“Cliente”). Aplica solo en la medida en que Inverzy trate Datos Personales en nombre del Cliente como Encargado/Processor (por ejemplo, cuando el Cliente carga al Servicio datos personales de terceros dentro de sus modelos). Si no existe un Acuerdo válido, este DPA no aplica. 1) Definiciones 1.1. “Leyes de Protección de Datos”: todas las leyes aplicables relacionadas con privacidad y protección de datos (incluyendo, cuando aplique, GDPR/UK GDPR, CCPA/CPRA y equivalentes estatales). 1.2. “Datos Personales”: información que identifica o puede identificar a una persona, según la ley aplicable. 1.3. “Tratamiento/Procesamiento”: cualquier operación realizada sobre Datos Personales (recoger, almacenar, usar, divulgar, eliminar, etc.). 1.4. “Datos del Cliente”: contenido que el Cliente carga o genera en el Servicio, incluyendo datos y supuestos. 1.5. “Incidente de Seguridad”: evento que resulte en destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a Datos Personales tratados por Inverzy como Encargado/Processor. 2) Roles de las partes 2.1. Cliente como Responsable/Controller. El Cliente es el Responsable de los Datos Personales que carga o pone a disposición en el Servicio, y determina fines y medios del tratamiento. 2.2. Inverzy como Encargado/Processor. Inverzy actúa como Encargado/Processor respecto de esos Datos Personales, tratándolos solo conforme a este DPA y a las instrucciones documentadas del Cliente. 2.3. Inverzy como Responsable independiente. Inverzy actúa como Responsable respecto de datos que procesa para sus propios fines (p. ej., administración de cuentas, facturación, seguridad, soporte, prevención de fraude), conforme a la Política de Privacidad. 3) Objeto, duración, naturaleza y finalidad (instrucciones) 3.1. Objeto. Inverzy provee una plataforma SaaS de modelado y reportes financieros; el tratamiento consiste en alojar, procesar, transmitir y permitir la gestión de Datos Personales contenidos en los Datos del Cliente, según el uso del Servicio. 3.2. Duración. Durante la vigencia del Acuerdo y, tras su terminación, durante el período razonable necesario para devolución/eliminación según Sección 11. 3.3. Finalidad. Prestar el Servicio al Cliente, incluyendo soporte técnico, continuidad, seguridad y mejoras operativas limitadas. 3.4. Instrucciones del Cliente. El Cliente instruye a Inverzy a tratar Datos Personales: (a) para operar el Servicio y funciones solicitadas por el Cliente/usuarios autorizados; (b) para prevenir o abordar incidentes de seguridad, abuso o fraude; (c) para cumplir con requerimientos legales aplicables al Proveedor; y (d) mantener, asegurar y mejorar de forma limitada el Servicio (por ejemplo, diagnóstico de errores, optimización de rendimiento, seguridad, prevención de fraude y análisis de uso), en la medida compatible con las instrucciones del Cliente y la Ley de Protección de Datos aplicable; y, cuando sea posible, realizar dichas mejoras sobre datos agregados, anonimizados o razonablemente desidentificados, de modo que no identifiquen al Titular de los Datos. Las instrucciones adicionales deben ser documentadas. Si Inverzy considera que una instrucción infringe la ley, lo notificará (cuando esté permitido) y podrá suspender su ejecución. 4) Obligaciones del Cliente El Cliente declara y garantiza que: 4.1. Tiene base legal y autoridad para proporcionar Datos Personales a Inverzy y para emitir instrucciones. 4.2. Ha proporcionado avisos y obtenido consentimiento cuando sea requerido. 4.3. No cargará datos altamente sensibles (p. ej., números completos de tarjeta, credenciales bancarias, IDs gubernamentales completos, datos médicos) salvo que el Servicio lo solicite expresamente mediante campos seguros designados y exista base legal. 4.4. Mantendrá controles razonables sobre sus usuarios autorizados y credenciales. 5) Confidencialidad Inverzy asegurará que su personal autorizado que trate Datos Personales: • esté sujeto a obligaciones de confidencialidad (contractuales o legales), y • acceda solo bajo el principio de mínimo privilegio. 6) Medidas de seguridad 6.1. Inverzy implementará medidas técnicas y organizativas razonables para proteger Datos Personales contra acceso no autorizado, pérdida o alteración, considerando el estado de la técnica, costos de implementación y naturaleza del tratamiento. 6.2. Las medidas mínimas se describen en el Anexo B (Medidas de Seguridad), y pueden evolucionar para mejorar la seguridad sin reducir materialmente el nivel de protección. 7) Subencargados (Subprocesadores)/Subprocessors 7.1 Autorización General. El Cliente autoriza expresamente a Inverzy a utilizar los siguientes Subencargados (Subprocesadores) para prestar el Servicio: (a) proveedores de infraestructura en la nube; (b) procesadores de pagos; y (c) proveedores de servicios auxiliares. Inverzy mantiene y pone a disposición del Cliente una lista vigente de Subencargados (Subprocesadores) en el Centro de Confianza y Seguridad de Inverzy (Trust Center), la cual puede actualizarse ocasionalmente. El Anexo C incluye, a modo de referencia, la lista de Subencargados (Subprocesadores) vigentes a la Fecha de Entrada en Vigor. 7.2 Relación Contractual. Inverzy utilizará únicamente Subencargados (Subprocesadores) que ofrezcan garantías suficientes de cumplimiento con las leyes de protección de datos aplicables. Inverzy mantendrá los acuerdos aplicables con dichos Subencargados (Subprocesadores) según sus términos estándar disponibles públicamente. 7.3 Responsabilidad por Subencargados (Subprocesadores) Inverzy podrá contratar Subencargados (Subprocesadores) para tratar Datos Personales en nombre del Cliente. Inverzy suscribirá con cada Subencargado (Subprocesador) un acuerdo escrito (incluyendo, cuando corresponda, anexos o acuerdos estándar del proveedor) que imponga obligaciones sustancialmente equivalentes a este DPA, en la medida aplicable. En la medida requerida por la ley aplicable, Inverzy seguirá siendo responsable frente al Cliente por actos u omisiones de sus Subencargados (Subprocesadores) respecto del tratamiento de Datos Personales bajo este DPA, sujeto a las limitaciones/exclusiones del Acuerdo. Para evitar dudas, Inverzy no será responsable por servicios de terceros, productos o integraciones que el Cliente contrate directamente o habilite por su cuenta (incluyendo aquellos regidos por términos de terceros), y el Cliente será responsable de su relación con dichos proveedores. 7.4 Debida Diligencia. Inverzy selecciona Subencargados (Subprocesadores) basándose en su reputación en la industria, certificaciones de seguridad disponibles públicamente (ej., SOC 2, ISO 27001) y cumplimiento normativo público. El Cliente reconoce que esta es la extensión razonable de debida diligencia para una empresa del tamaño y recursos de Inverzy. 7.5 Notificación de Incidentes. Si Inverzy recibe notificación de un incidente de seguridad o incumplimiento por parte de un Subencargado, notificará al Cliente de acuerdo con la Sección 10 de este DPA. 7.6 Cambios en Subencargados (Subprocesadores). Inverzy podrá agregar, reemplazar o remover Subencargados (Subprocesadores). Cuando un cambio sea material, Inverzy notificará al Cliente con al menos quince (15) días de antelación mediante la actualización de la lista vigente de Subencargados (Subprocesadores) publicada en el Centro de Confianza y Seguridad (Trust Center) (o mediante otro aviso razonable). El Cliente podrá objetar razonablemente el cambio dentro de dicho plazo por motivos relacionados con la protección de datos. Si el Cliente objeta y Inverzy no puede proporcionar una alternativa comercialmente razonable, el Cliente podrá terminar el Servicio afectado (o, si corresponde, el Acuerdo) sin penalidad, mediante notificación por escrito. 8) Solicitudes de titulares de datos 8.1. Si Inverzy recibe una solicitud de un titular (acceso, eliminación, etc.) respecto de Datos Personales tratados como Encargado, Inverzy la redirigirá al Cliente cuando sea legalmente permitido. 8.2. Inverzy brindará asistencia razonable al Cliente para responder solicitudes, en la medida en que sea posible técnica y legalmente, y sujeto a tarifas razonables si la asistencia excede lo estándar. 9) Asistencia al Cliente (evaluaciones, consultas y DPIA) Cuando aplique, Inverzy proporcionará asistencia razonable al Cliente para: • consultas con autoridades, • evaluaciones de impacto (DPIA) relacionadas con el uso del Servicio, • implementación de medidas adecuadas, en la medida en que el Cliente no tenga acceso directo a la información pertinente y sujeto a restricciones de confidencialidad y seguridad. 10) Incidentes de seguridad Incidente de Seguridad significa una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a Datos Personales tratados por Inverzy como Encargado. 10.1. Inverzy notificará al Cliente sin demora indebida tras tener conocimiento y confirmar razonablemente un Incidente de Seguridad que afecte Datos Personales tratados como Encargado, e incluirá información disponible razonable sobre naturaleza del incidente, medidas de mitigación y pasos recomendados. 10.2. Inverzy podrá demorar notificación o limitar detalles si lo exige la ley (p. ej., por orden de autoridad competente). 10.3. El Cliente es responsable de determinar si debe notificar a titulares/autoridades, salvo que la ley imponga obligación directa a Inverzy. Nota: La notificación de un Incidente de Seguridad no constituye un reconocimiento de culpa o responsabilidad. 11) Devolución y eliminación de datos 11.1. Tras la terminación del Acuerdo, Inverzy: • permitirá al Cliente exportar los Datos del Cliente cuando la función esté disponible; y • eliminará o anonimizará los Datos Personales tratados como Encargado de nuestros sistemas de producción en un plazo máximo de noventa (90) días contados desde la fecha efectiva de terminación, salvo que la ley aplicable exija su conservación. Lo anterior no aplicará a dichos datos conservados en sistemas de archivo o copia de seguridad, los cuales serán aislados de forma segura y eliminados de acuerdo con nuestro ciclo de retención estándar de backups. 12) Transferencias internacionales 12.1. El Cliente reconoce que Inverzy y sus Subencargados (Subprocesadores) pueden tratar Datos Personales en Estados Unidos u otros países. 12.2. Cuando GDPR/UK GDPR aplique y se requieran mecanismos de transferencia, las partes acuerdan implementar mecanismos apropiados, incluyendo Cláusulas Contractuales Tipo (SCC) u otros instrumentos válidos. Si corresponde, las SCC se incorporan por referencia y se completan según roles. 13) Auditorías 13.1. A solicitud razonable, Inverzy proporcionará información general sobre su programa de seguridad (p. ej., este Trust Center y materiales de cumplimiento disponibles). 13.2. Si la ley aplicable concede al Cliente un derecho de auditoría como Responsable, cualquier auditoría presencial: • deberá ser razonable, con aviso previo de al menos 30 días, • limitada a información pertinente, • sujeta a confidencialidad, y • no deberá comprometer seguridad o datos de otros clientes. Inverzy puede ofrecer alternativas (p. ej., informes de terceros, cuestionarios) para satisfacer el objetivo de auditoría. 14) Términos de “service provider / processor” (EE. UU., si aplica) En la medida en que aplique CCPA/CPRA u otras leyes estatales similares: 14.1. Inverzy tratará los Datos Personales del Cliente solo para prestar el Servicio, y no los “venderá” ni los “compartirá” (según definiciones legales) para publicidad conductual inter-contexto, respecto de datos tratados como Encargado/Processor. 14.2. Inverzy no retendrá, usará o divulgará Datos Personales del Cliente fuera del propósito de prestar el Servicio, salvo lo permitido por leyes aplicables (p. ej., seguridad, prevención de fraude, cumplimiento legal). 15) Responsabilidad y prevalencia 15.1. Prevalencia. En caso de conflicto entre este DPA y el Acuerdo respecto de protección de datos, prevalecerá este DPA solo para ese conflicto. 15.2. Limitaciones. En la medida permitida por la ley, las limitaciones de responsabilidad y exclusiones del Acuerdo aplican a este DPA. Nada en este DPA limita responsabilidad que no pueda limitarse por ley aplicable. 15.3. Beneficiarios. Los Subencargados (Subprocesadores) no son beneficiarios de este DPA. 16) Contacto para privacidad Solicitudes relacionadas con este DPA: legal@inverzy.com ANEXO A — DETALLES DEL TRATAMIENTO Materia: provisión de plataforma SaaS de modelado financiero y reportes. Naturaleza: alojamiento, almacenamiento, organización, estructuración, consulta, transmisión, eliminación. Finalidad: prestación del Servicio, soporte, seguridad, continuidad, prevención de abuso/fraude, cumplimiento legal aplicable al Proveedor. Categorías de titulares: empleados, contratistas, clientes y/o proveedores del Cliente (según lo que el Cliente cargue). Tipos de Datos Personales: identificación básica (nombre, email), información laboral/organizacional, y cualquier dato personal incluido por el Cliente dentro de supuestos/modelos/reportes. Datos sensibles: no previstos/permitidos salvo instrucciones explícitas y base legal. ANEXO B — MEDIDAS DE SEGURIDAD (BASELINE) Cifrado en tránsito (TLS/HTTPS). Controles de acceso y autenticación; mínimo privilegio. Registro/monitoreo de eventos relevantes. Gestión de vulnerabilidades y parches razonables. Segregación lógica de entornos cuando aplique. Backups razonables y procedimientos de restauración. Controles organizativos: confidencialidad del personal, formación y procedimientos de respuesta a incidentes. ANEXO C — SUBENCARGADOS (SUBPROCESADORES) CLAVE (ACTUALES) Stripe, Inc. — Procesamiento de pagos y suscripciones (para datos de facturación/pago). Google Cloud (Google LLC) — Infraestructura en nube/hosting/almacenamiento.