Iniciar sesión
Política de privacidad NoKycVPS — sin registros, GDPR, anonimato total
Privacidad · Vigente desde Jun 27, 2026

Lo que recopilamos — y lo que no.

Tratamos sus datos como querríamos que trataran los nuestros: recopilados con moderación, conservados brevemente y nunca compartidos a demanda. Esta es la lista completa.

Resumen rápido Leer los términos completos
En un párrafo

Recopilamos un correo electrónico, un hash de contraseña, su saldo de cuenta, la configuración de su servidor y lo estrictamente necesario para mantener sus servicios en funcionamiento. No recopilamos nombres, direcciones, teléfonos, documentos de identidad, huellas digitales del navegador ni datos analíticos. No vendemos, alquilamos ni compartimos sus datos. No utilizamos rastreadores. Eliminamos casi todo rápidamente. La única circunstancia en la que cualquiera de estos datos abandona nuestra infraestructura es una orden judicial válida de un tribunal competente — y aun así, se le notifica antes de que actuemos.

01

Qué recopilamos

Por cuenta:

  • Dirección de correo electrónico. Una por cuenta. Aceptamos cualquier dirección que reciba correo, incluidas las bandejas de entrada desechables. Le enviamos avisos de servicio y advertencias previas a acciones.
  • Hash de contraseña. Almacenado como bcrypt con coste 12. Nunca vemos ni almacenamos la contraseña en texto plano.
  • Saldo de cuenta. Su crédito actual en USD.
  • Marca de tiempo de inicio de sesión. La fecha y hora del inicio de sesión más reciente. Se utiliza para mostrar «última vez visto» en su configuración y para detectar actividad inusual.

Por servicio desplegado:

  • Producto (VPS o dedicado), plan, región, imagen del SO y ciclo de facturación — la configuración que eligió.
  • Contraseña root cifrada. AES-256-CBC en reposo, derivada de un secreto exclusivo del servidor que no exponemos. No podemos descifrarla para una consulta casual; el aprovisionador la descifra en el momento del despliegue y el valor se elimina de la memoria del proceso.
  • Estado del servicio (pendiente, activo, suspendido, terminado), IPv4 asignada (una vez asignada), marcas de tiempo de creación y renovación.

Por pago:

  • Referencia de pedido, importe solicitado, criptomoneda elegida, dirección de depósito generada por nuestro hub de pagos, ID de transacción una vez confirmada y marca de tiempo de confirmación.
  • No registramos su dirección de cartera emisora. No vinculamos los pagos a ninguna identidad externa.
02

Qué no recopilamos

  • Ningún nombre real. Nunca.
  • Ninguna dirección física. Ni de facturación ni de envío.
  • Ningún número de teléfono. Ni para verificación, ni para recuperación, ni «por si hay problemas urgentes».
  • Ningún documento de identidad gubernamental. Sin escaneos de pasaporte, sin licencias de conducir, sin números fiscales.
  • Ninguna huella digital del navegador. No ejecutamos bibliotecas de huellas digitales en nuestras páginas.
  • Sin analíticas. Sin Google Analytics, sin Plausible, sin Matomo, sin píxel interno. No sabemos cuántos de ustedes leen esta página.
  • Sin rastreadores de terceros. Sin Facebook Pixel, sin Hotjar, sin widget de chat que llame a casa. Los únicos recursos externos que cargamos son las tipografías de Google Fonts y un conjunto de iconos de criptomonedas de un CDN público — ambos porque se almacenan en caché de forma agresiva en toda la web y ahorrar 200 ms de negociación TLS no justifica mantener nuestro propio servidor de fuentes. Si se opone a eso, navegue a través de Tor; las páginas se renderizan perfectamente sin ellos.
  • Sin datos bancarios ni de tarjeta. No aceptamos esos métodos de pago.
  • Sin contenido de su servidor. No indexamos, escaneamos, duplicamos ni muestreamos lo que se ejecuta allí.
03

Registros del lado del servidor

El servidor web (nginx) escribe una entrada de registro de acceso para cada solicitud HTTP — URL, código de estado, marca de tiempo, agente de usuario e IP de origen tras el desempaquetado de Cloudflare. Usamos estos registros para una sola cosa: limitar la tasa de bots y rastrear problemas de infraestructura. Se rotan y eliminan después de 7 días. Nunca abandonan el host.

Los registros de aplicación (errores, advertencias) se escriben en un archivo separado, también rotado después de 7 días. No contienen credenciales ni contenido de mensajes.

No registramos dentro de su servidor. Haga lo que haga su servicio, no lo vemos.

04

Cookies

Establecemos exactamente una cookie cuando inicia sesión: PHPSESSID, un identificador de sesión opaco. Es HttpOnly, Secure, SameSite=Lax, y dura treinta días salvo que cierre sesión. No hay cookie de seguimiento, ni cookie publicitaria, ni banner de consentimiento porque no hay nada a lo que consentir. Si ha cerrado sesión, no se establece ninguna cookie.

05

Cifrado

  • En tránsito: TLS 1.2+ en cada conexión, HSTS precargado, solo suites de cifrado modernas. Sin fallback HTTP.
  • En reposo: El disco de la base de datos utiliza cifrado de disco completo LUKS. Las contraseñas root de los servidores desplegados están adicionalmente cifradas con AES-256-CBC a nivel de fila. Las copias de seguridad se cifran antes de abandonar el host.
  • Contraseñas: bcrypt con coste 12. No podemos recuperarlas, solo verificarlas.
06

Con quién compartimos datos

Por defecto, nadie. Ni otros proveedores, ni fuerzas del orden, ni «socios de confianza».

Las excepciones limitadas:

  • Hub de pagos (simsms.co). Cuando recarga su cuenta, enviamos el importe solicitado y la criptomoneda a nuestro hub de pagos para que pueda generar una dirección de depósito y verificar las confirmaciones. Enviamos: la referencia del pedido, el importe en USD, la criptomoneda elegida. No enviamos su correo electrónico ni su ID de cuenta.
  • CDNs a los que enlazamos. Google Fonts y jsDelivr (para el conjunto de iconos de criptomonedas y nuestro conjunto de banderas de idiomas) ven las IPs de los visitantes que obtienen esos recursos. No intercambiamos datos con ellos — simplemente sirven archivos estáticos.
  • Proveedores de hosting/tránsito. Nuestros proveedores de centros de datos tienen acceso físico técnico a las máquinas. No pueden leer los volúmenes cifrados sin nuestras claves, que no se almacenan en disco.
  • Órdenes judiciales. Consulte las condiciones de servicio. Solo actuamos sobre órdenes ejecutables, de alcance limitado, con notificación previa a usted.
07

Cuánto tiempo conservamos los datos

  • Registro de cuenta: durante toda la vida de la cuenta, más 30 días después de la cancelación definitiva para resolver disputas. Luego eliminado de la base de datos en producción.
  • Registros de pago: 13 meses después de la confirmación con fines contables, luego eliminados permanentemente.
  • Registros del servidor: 90 días después de la cancelación, luego eliminados. Los volúmenes de disco asociados se borran en el momento de la cancelación.
  • Registros de acceso de nginx: 7 días, luego rotados.
  • Registros de sesión: hasta la expiración de la sesión (30 días de inactividad) o el cierre de sesión, lo que ocurra primero.
  • Copias de seguridad: 14 días cifradas, luego rotadas.
08

Su control

Desde su panel de control puede: cambiar su contraseña, ver los servicios activos, consultar su libro mayor de facturación completo, cancelar cualquier servicio y cerrar sesión en el navegador actual. La cancelación de la cuenta se realiza en autoservicio desde el panel de configuración.

No hay botón «eliminar mis datos» porque no existe ninguna base de datos adicional que almacene sus datos. Cancele sus servicios, retire el saldo restante mediante una última recarga y habrá terminado efectivamente. La ventana de gracia de 30 días existe por si cambia de opinión.

Si su jurisdicción le otorga un derecho de acceso (GDPR, CCPA o similares), el panel ya expone todo lo que tenemos sobre usted. No existe un almacén externo al sistema que inspeccionar.

09

Cambios

Los cambios sustanciales — cualquier cambio que amplíe lo que recopilamos, reduzca sus ventanas de retención en su perjuicio o agregue un nuevo destinatario de datos — se anuncian con 30 días de antelación, por correo electrónico y en la página /canary.

Los cambios no sustanciales (aclaraciones, erratas) entran en vigor de inmediato. La fecha «vigente» en la parte superior de esta página siempre refleja la última actualización.