Founders$49 única vez → 2 años de Pro ($98 de valor)Ser Founder →
ClauLock

Privacidad

Qué recolectamos, qué no.

ClauLock es un gestor de secretos local-first. El producto (daemon, CLI, servidor MCP, hooks) hace cero peticiones de red por defecto — tus secretos nunca salen de tu máquina. El sitio web (claulock.com) es una superficie aparte: sirve páginas de marketing y usa una pequeña cantidad de analítica para saber qué documentación funciona. Esta página lista cada destinatario de datos, exactamente.

Última actualización: 2026-04-28

La versión corta

  • El producto nunca llama a casa. Daemon, CLI, servidor MCP, hooks — cero peticiones de red salientes por defecto. Sin analytics, sin crash reporter, sin update pings.
  • El sitio usa Plausible (anónimo, agregado, sin cookies, sin tracking individual) — corre siempre, no requiere consentimiento bajo GDPR/PECR.
  • Google Analytics 4 solo carga después de que hagas clic en Aceptar en el banner de consentimiento. Si haces clic en Rechazar, o tienes Do Not Track activado, GA4 nunca se descarga ni se establece cookie de Google.
  • Sin cuentas en el sitio de marketing. No pedimos email para descargar. El checkout de pricing lo maneja Stripe — ver su política abajo.

El producto (daemon, CLI, MCP, hooks)

El código del producto ClauLock es local-first por diseño estructural. El daemon abre un socket Unix scoped a tu usuario, el vault es un archivo local en ~/.clsec/vault.clsec, y las claves viven en memoria mlockeada que se zerea al apagar. No hay componente SaaS, no hay canal de telemetría opcional, no hay crash reporter, no hay servidor de updates. No podemos recibir tus datos porque no hay endpoint para recibirlos.

El pipeline de releases publica binarios firmados con builds reproducibles y un SBOM público para que puedas verificar esta promesa de extremo a extremo.

El sitio web (claulock.com)

Plausible Analytics

Usamos Plausible, un servicio de analítica open-source hospedado en la UE que registra page views y referrers solo en agregado. No usa cookies, ni localStorage, ni fingerprinting; las IPs de visitantes se hashean con una sal rotada diariamente que se descarta al final del día, así las sesiones no pueden reconstruirse. Plausible cumple con GDPR/PECR/CCPA por diseño y no requiere consentimiento. Corre en cada página independientemente de tu elección en el banner.

Google Analytics 4 (opt-in)

Si haces clic en Aceptar en el banner de consentimiento, además cargamos Google Analytics 4 (gtag.js) para insights de audiencia y conversion más ricos. Configuramos GA4 con anonymize_ip: true, allow_google_signals: false, y allow_ad_personalization_signals: false — esto significa que Google no debería usar estos datos para personalización de anuncios o profiling cross-site. Cookies que se establecen: _ga, _ga_* (IDs estándar de analytics de Google).

Si haces clic en Rechazar, gtag.js nunca se descarga, no se escribe ninguna cookie de Google, y Google no recibe nada. Lo mismo aplica si tienes el setting Do Not Track de tu navegador activado — honramos DNT como opt-out absoluto, incluso si previamente aceptaste.

Cloudflare (edge y seguridad)

El sitio se sirve a través de Cloudflare. Cloudflare loguea metadata de petición (IP, user agent, ASN, país) en el edge para protección DDoS y prevención de abuso; según su política, estos datos se retienen por motivos de seguridad y no se venden.

Stripe (pagos)

Los CTAs de pricing redirigen a Stripe Payment Links hospedados en stripe.com. No manejamos, ni vemos, ni almacenamos ningún dato de pago. El manejo de datos de Stripe se rige por su política de privacidad.

Assets self-hospedados

Las fuentes (Inter), el favicon y las imágenes de preview OG se sirven directamente desde claulock.com — sin Google Fonts CDN, sin loaders de fuentes/imágenes de terceros. Los CTAs de descarga redirigen a través de /download/<asset> a GitHub Releases; mantenemos un conteo agregado de descargas por asset para planificación de capacidad, sin retención por IP.

Tus controles

  • Rechaza el banner. GA4 nunca carga. Tu decisión se guarda en localStorage.cl_consent; no la leemos para ningún otro propósito.
  • Activa Do Not Track en tu navegador. Lo honramos como opt-out fuerte: GA4 nunca se carga incluso si previamente aceptaste, y el banner no reaparece.
  • Reabre el banner. Borra cl_consent del localStorage de este sitio (DevTools → Application → Local Storage) y recarga. Tu decisión previa se olvida y el banner vuelve a aparecer.
  • Derechos GDPR / CCPA. Si estás en la UE/EEE, Reino Unido o California, tienes derecho a acceder, corregir o eliminar los datos personales que tenemos sobre ti. Escribe a [email protected] y responderemos dentro de 30 días.

Responsable de datos y contacto

ClauLock es operado por Jesús E. Viera (San Juan, Puerto Rico, EE.UU.). Para preguntas de privacidad, solicitudes de opt-out o ejercicio de derechos como sujeto de datos, escribe a [email protected]. Para temas de seguridad, ver /es/security o escribe a [email protected].

Cambios materiales a esta política se anunciarán en el changelog.