# Anexo de Tratamiento de Datos FERPA **Spire Ledgers, Inc. — DPA de Referencia para Distritos Escolares K-12** *Versión 1.0 — Vigente a partir del 2026-05-04* > Este documento es una referencia en lenguaje claro basada en la > plantilla DPA del Consortium for School Networking (CoSN). No es el > contrato firmado. Los distritos que requieran un DPA ejecutado en > papel del distrito o sobre la plantilla NDPA del SDPC pueden escribir > a **districts@spireledgers.com** — firmamos ambos. Esta referencia se > proporciona para que las áreas legal, de tecnología y de negocios del > distrito puedan revisar nuestras prácticas antes de la negociación. --- ## 1. Propósito Spire Ledgers, Inc. ("el Proveedor," "Spire") proporciona software de contabilidad por fondos y administración financiera basado en la nube ("el Servicio") a agencias locales de educación K-12 ("LEAs," "Distritos"). Cuando un Distrito utiliza el Servicio, Spire trata Registros Educativos y otros datos relacionados con estudiantes por cuenta del Distrito y únicamente conforme a las instrucciones documentadas del Distrito. El Distrito sigue siendo la única "agencia o institución educativa" conforme a la Family Educational Rights and Privacy Act ("FERPA," 20 U.S.C. §1232g; 34 CFR Parte 99). Spire actúa como "funcionario escolar" con un interés educativo legítimo conforme al 34 CFR §99.31(a)(1)(i)(B), prestando servicios para los cuales el Distrito de otra forma utilizaría a sus propios empleados, bajo el control directo del Distrito respecto al uso y mantenimiento de los Registros Educativos, y obligado por los límites de uso y redivulgación del 34 CFR §99.33(a). El tratamiento que Spire hace de los Registros Educativos también está sujeto, según corresponda, a la Children's Online Privacy Protection Act ("COPPA," 15 U.S.C. §6501 y siguientes) y a cualquier ley estatal de privacidad de datos estudiantiles que aplique al Distrito (incluyendo sin limitación: California SOPIPA, New York Ed Law §2-d, Connecticut Public Act 16-189, Illinois SOPPA, Texas Ed Code §32.151 y siguientes, Colorado SB 18-187 y normas similares). ## 2. Flujo de Datos ### 2.1 Categorías de datos que Spire trata El rol contable de Spire significa que los Registros Educativos fluyen por el Servicio de manera incidental, asociados a transacciones financieras. Las categorías de datos relacionados con estudiantes que el Servicio puede tratar son: - **Identificadores de fondos de actividades estudiantiles**: nombre del estudiante y grado/grupo cuando se asocian a un club, equipo deportivo o ingreso/desembolso de un fondo. - **Metadatos de ingresos y desembolsos**: la transacción financiera misma (fecha, monto, fondo, código de cuenta, método de pago) incluida cualquier nota de texto libre que un empleado del Distrito ingrese. - **Información de pago de padres / tutores**: nombre y correo electrónico de contacto y el instrumento de pago tokenizado por Stripe utilizado para pagar una cuota estudiantil. Los números de tarjeta completos nunca se transmiten ni almacenan en Spire. - **Indicadores de comidas gratuitas / a precio reducido**: solo si el Distrito decide marcar un registro de fondo de actividades estudiantiles. Spire no trata datos de elegibilidad para comidas gratuitas/precio reducido para los programas NSLP/SBP del Distrito. - **Registros de empleados del Distrito**: el personal de la oficina de negocios del Distrito que tiene cuentas de inicio de sesión en Spire. Estos son PII del personal, no PII del estudiante. El Servicio **no** recopila ni trata: calificaciones de estudiantes, registros de asistencia, registros de educación especial, contenido de planes IEP/504, registros disciplinarios, registros de salud ni datos biométricos recopilados directamente. Esas clases de datos están fuera de alcance. ### 2.2 Dónde se almacenan los datos Los datos de producción se almacenan en centros de datos comerciales de infraestructura en la nube ubicados en los Estados Unidos continentales. Ningún dato del Distrito se almacena ni se trata intencionalmente fuera de los Estados Unidos. Los respaldos están cifrados y se conservan en la misma jurisdicción. ### 2.3 Subprocesadores Spire contrata a los siguientes subprocesadores nombrados. Cada uno está obligado por un contrato escrito que limita el uso de los datos del Distrito a la prestación de servicios a Spire y prohíbe la transferencia posterior con fines de venta o mercadeo: | Subprocesador | Propósito | Alcance de los datos | Notas FERPA | |-------------------|------------------------------------------------------|--------------------------|------------------------------------------------------------| | **Stripe, Inc.** | Procesamiento de pagos y facturación de suscripciones | Datos de pago tokenizados, contacto de facturación | PCI DSS Nivel 1; obligado por el DPA de Stripe. Sin contenido de Registro Educativo. | | **Plaid Inc.** *(opcional)* | Agregación de movimientos bancarios para cuentas operativas del Distrito | Número de cuenta bancaria, número de ruta, descripciones de transacciones | Se utiliza únicamente cuando el Distrito opta por activarlo. Plaid no ve datos de estudiantes. | | **Anthropic, PBC** *(alerta)* | Asistente de IA ("Gwen") para ayuda en producto y resumen de reportes | Indicaciones de texto libre que escribe el usuario; el reporte o pantalla que el usuario está visualizando | **Marcado para revisión del Distrito.** Las funciones de IA del lado del Distrito están desactivadas por defecto para clientes K-12 y deben ser habilitadas por un administrador autorizado del Distrito. Anthropic tiene contractualmente prohibido entrenar con indicaciones del Distrito. La PII se enmascara del lado del cliente antes de la transmisión. | | Proveedor de infraestructura en la nube | Cómputo, almacenamiento y red para el Servicio | Todos los datos del Distrito | Obligado por el DPA estándar de nube; auditado SOC 2 Tipo II. | | Proveedor de correo transaccional | Recibos, restablecimientos de contraseña, notificaciones | Correo del destinatario + cuerpo del mensaje | El cuerpo del correo nunca contiene contenido de registro estudiantil más allá del detalle del recibo que el Distrito imprimiría y entregaría a un padre. | Spire dará al Distrito al menos **treinta (30) días de aviso por escrito** antes de agregar o reemplazar cualquier subprocesador que trate Registros Educativos. El Distrito podrá objetar por escrito durante el período de aviso; si el Distrito objeta y las partes no logran llegar a un acuerdo, el Distrito podrá dar por terminada la porción afectada del Servicio por causa justificada y recibir un reembolso prorrateado. ## 3. Conservación - **Durante la vigencia**: Spire conserva los datos del Distrito mientras la cuenta del Distrito se mantenga activa, más las ventanas de conservación que el Distrito configure dentro del producto (por ejemplo, 7 años para asientos contables por defecto). - **Después de la terminación**: Spire conserva los datos del Distrito por un mínimo de tres (3) años posteriores a la terminación, conforme al piso federal de conservación de registros del 2 CFR §200.334. Si el Distrito está sujeto a una auditoría activa, retención por litigio o solicitud abierta de registros públicos al término de esa ventana, Spire continuará conservando los registros afectados hasta que el Distrito libere por escrito la retención. - **Respaldos**: Los respaldos cifrados se conservan en un ciclo móvil de 35 días durante la vigencia y a lo largo de la ventana de conservación posterior a la terminación; las eliminaciones individuales surten efecto en la base de datos de producción de inmediato y se propagan fuera de los respaldos a medida que las generaciones de respaldo antiguas expiran. ## 4. Notificación de Incidentes En caso de que Spire confirme un incidente de seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos del Distrito, Spire notificará al Distrito dentro de las **cuarenta y ocho (48) horas** posteriores a la confirmación. Lo anterior es consistente con la mejor práctica FERPA (recordkeeping del 34 CFR §99.32(a)(5) por divulgación no autorizada) y cumple o supera la ventana de notificación más corta prevista en la legislación estatal actualmente aplicable a la base de clientes de Spire (Texas: "tan rápido como sea posible," Tex. Bus. & Com. Code §521.053; Connecticut: 60 días, Conn. Gen. Stat. §10-234dd; Illinois SOPPA: 30 días, 105 ILCS 85/30). La notificación de incidente de Spire incluirá, en la medida de lo conocido al momento del aviso y actualizándose conforme avance la investigación: la fecha y naturaleza del incidente, las categorías de datos afectados, los registros específicos del Distrito implicados (cuando sean determinables), las medidas de remediación adoptadas y los pasos recomendados que el Distrito debería considerar. Spire no notificará a padres, estudiantes ni al público afectados por cuenta del Distrito — esa decisión y el momento de cualquier notificación externa corresponden al Distrito como responsable del tratamiento. ## 5. Derechos de Acceso de Padres y Estudiantes Elegibles Los padres y estudiantes elegibles tienen el derecho conforme a FERPA de inspeccionar y revisar los Registros Educativos del estudiante (34 CFR §99.10), de solicitar la rectificación de los registros que consideren inexactos (34 CFR §99.20) y de consentir las divulgaciones (34 CFR §99.30). El Distrito es responsable de facilitar estos derechos al padre o estudiante elegible. Para apoyar al Distrito: - Spire proporciona **herramientas de exportación** en el panel del Distrito que permiten al personal autorizado del Distrito producir un historial de transacciones por estudiante en formato PDF y CSV dentro de cinco (5) días hábiles posteriores a la solicitud del padre. - Spire proporciona **herramientas de rectificación** que crean un asiento corrector claramente etiquetado en lugar de sobrescribir el registro original, de modo que la traza de auditoría se preserve conforme a las normas de auditoría GAGAS Yellow Book. - Spire **no responderá directamente** al padre o estudiante que se comunique con Spire solicitando acceso a registros. Spire redirigirá la solicitud al contacto FERPA designado del Distrito dentro de dos (2) días hábiles. ## 6. Eliminación al Terminarse el Contrato - Dentro de sesenta (60) días posteriores a la fecha efectiva de terminación ("Periodo de Gracia"), el Distrito conserva acceso de solo lectura y exportación para que la oficina de negocios pueda producir reportes finales, copias de archivo y cualesquiera registros necesarios para el calendario de conservación de registros del Distrito. - Al término del Periodo de Gracia, Spire purgará permanentemente los datos del Distrito de los sistemas de producción conforme a la instrucción escrita del Distrito, salvo los registros residuales necesarios para demostrar el cumplimiento de la ventana de conservación posterior a la terminación descrita en la Sección 3 (auditoría, retención legal, piso federal de conservación de registros). - A solicitud, Spire entregará un **Certificado de Destrucción** por escrito firmado por el Director de Tecnología (CTO) de Spire una vez completada la purga. - Los datos del Distrito en respaldos cifrados expirarán de las generaciones de respaldo conforme al calendario descrito en la Sección 3 y no son recuperables a un entorno de producción restaurado después de esa ventana. ## 7. Derechos de Auditoría - El Distrito podrá solicitar el reporte **SOC 2 Tipo II** más reciente de Spire una vez emitido. Spire tiene como objetivo la certificación inicial SOC 2 Tipo II en el ejercicio fiscal 2027; mientras ese reporte no esté disponible, Spire entregará una **autoatestación anual** (el "Spire Security Practices Statement") firmada por el Director de Tecnología de Spire que cubra: prácticas de cifrado, controles de acceso, evaluación de personal, gestión de vulnerabilidades, respuesta a incidentes, continuidad del negocio y supervisión de subprocesadores. - El Distrito podrá, no más de una vez por cada doce (12) meses y con treinta (30) días de aviso por escrito, realizar o encargar un cuestionario de seguridad por escrito (por ejemplo, HECVAT Lite, SIG-Lite) que Spire completará dentro de treinta (30) días posteriores a su recepción sin costo adicional. - Las pruebas de penetración del entorno de producción podrán ser realizadas por un tercero calificado del Distrito con autorización previa por escrito y con un alcance y reglas de compromiso acordadas mutuamente. ## 8. Limitaciones de Uso Spire no podrá, y se asegurará de que sus subprocesadores no: - Utilicen datos del Distrito para publicidad, mercadeo o perfilamiento conductual. - Vendan, renten, arrenden o intercambien datos del Distrito a ningún tercero por ningún motivo. - Utilicen datos del Distrito para entrenar ningún modelo de aprendizaje automático de propósito general. (Como se señala en la Sección 2.3, el subprocesador asistente de IA tiene contractualmente prohibido entrenar con indicaciones del Distrito.) - Combinen datos del Distrito con datos de cualquier otra fuente para cualquier propósito distinto a la prestación del Servicio al Distrito. Spire podrá utilizar métricas desidentificadas y agregadas derivadas del uso del Servicio (por ejemplo, "tiempo promedio de respuesta del endpoint de publicación al GL") para análisis operativo y planeación de capacidad. Los datos desidentificados deben satisfacer el estándar de desidentificación FERPA del 34 CFR §99.31(b) — esto es, todos los identificadores directos e indirectos deben removerse y los datos restantes no deben ser razonablemente reidentificables. ## 9. Supervivencia Las Secciones 3 (Conservación), 4 (Notificación de Incidentes), 6 (Eliminación al Terminarse el Contrato), 7 (Derechos de Auditoría, solo en la medida de los registros conservados conforme a la Sección 3) y 8 (Limitaciones de Uso) sobrevivirán la terminación del contrato de Servicio subyacente. ## 10. Conflicto En caso de cualquier conflicto entre este DPA y los Términos del Servicio de Spire Ledgers o cualquier otro contrato sobre papel de Spire, prevalecerá este DPA respecto a los Registros Educativos del Distrito. --- *Spire Ledgers, Inc. — districts@spireledgers.com — security@spireledgers.com*