Política de Uso Aceptable
- Documento
- AUP-2026.1
- Fecha de entrada en vigor
- [Pendiente publicación]
- Referencia
- Incorporada en TOS-2026.1
- Titular
- SOMA9 Holdings, LLC
La presente Política de Uso Aceptable (la AUP, por sus siglas en inglés) define las actividades y los contenidos prohibidos en los servicios prestados por SOMA9 Holdings, LLC (SOMA9). Esta AUP se incorpora por referencia a las Condiciones del Servicio de SOMA9 y es de aplicación a todos los clientes, usuarios finales y visitantes de los servicios de SOMA9.
1. Finalidad y ámbito
SOMA9 opera servicios de infraestructura gestionada para uso empresarial legítimo. Esta AUP existe para:
- Mantener la seguridad, disponibilidad y reputación de la infraestructura de SOMA9
- Proteger los derechos y la propiedad de los clientes de SOMA9 y de terceros
- Cumplir con las leyes y normativas aplicables
- Definir límites claros que permitan la actividad empresarial lícita y excluyan conductas dañinas
Esta AUP se aplica a todo uso de los servicios de SOMA9, con independencia de quién inicie la actividad. El Cliente es responsable del cumplimiento por parte de sus empleados, contratistas, agentes, usuarios finales y cualquier otro tercero que acceda a los servicios a través de la cuenta del Cliente.
2. Contenido prohibido
El Cliente no alojará, almacenará, transmitirá ni distribuirá contenido que:
2.1 Vulnera la ley
- Sea ilegal bajo las leyes de los Estados Unidos, de la jurisdicción donde el Cliente esté establecido o de la jurisdicción desde la que los usuarios finales accedan al contenido
- Contenga material de abuso sexual infantil (CSAM), con independencia de la jurisdicción. Dicho contenido está prohibido de forma absoluta y será reportado al National Center for Missing & Exploited Children (NCMEC) conforme al 18 U.S.C. § 2258A
- Promueva el terrorismo, actos terroristas u organizaciones terroristas designadas
- Constituya incitación a la violencia o al genocidio
2.2 Infringe derechos de propiedad intelectual
- Reproduzca material protegido por derechos de autor sin autorización del titular
- Distribuya software propietario en violación de sus términos de licencia
- Aloje contenido que infrinja marcas, patentes o secretos empresariales de terceros
2.3 Causa daño
- Constituya phishing, fraude o ingeniería social dirigida a terceros
- Distribuya software malicioso, incluidos virus, gusanos, troyanos, ransomware o herramientas de acceso remoto
- Aloje infraestructura de mando y control (C2) para botnets, malware o dispositivos comprometidos
- Opere páginas de phishing que suplanten a bancos, procesadores de pago u otras organizaciones
- Aloje software de minería de criptomonedas destinado a ejecutarse en dispositivos no propiedad del Cliente
- Distribuya datos robados, credenciales filtradas o información personal privada sin consentimiento
2.4 Vulnera la privacidad o la dignidad
- Constituya imágenes íntimas no consentidas
- Realice doxxing publicando información personal privada sin consentimiento
- Constituya acoso o stalking dirigido
- Promueva el discurso de odio, definido como contenido que incite a la discriminación, hostilidad o violencia contra una persona o grupo por razón de raza, etnia, origen nacional, religión, género, orientación sexual, discapacidad u otra característica protegida
3. Actividades técnicas prohibidas
El Cliente no utilizará los servicios para:
3.1 Atacar o interferir con sistemas de terceros
- Realizar escaneos de puertos, escaneos de vulnerabilidades o pruebas de penetración no autorizadas contra sistemas que el Cliente no posea ni esté autorizado a auditar
- Ejecutar ataques de denegación de servicio (DoS) o de denegación distribuida (DDoS)
- Realizar ataques de fuerza bruta de autenticación contra cualquier servicio
- Operar nodos de salida (exit nodes) de Tor desde la infraestructura de SOMA9 (los relays de Tor se evalúan caso por caso)
- Operar relays de correo abiertos, resolutores DNS abiertos, servidores NTP abiertos u otras configuraciones susceptibles de abuso para ataques de amplificación
3.2 Eludir o comprometer controles de seguridad
- Intentar acceder a la infraestructura de SOMA9 o a cuentas de otros clientes sin autorización
- Sondear, escanear o probar la vulnerabilidad de los sistemas de SOMA9, salvo cuando expresamente se invite a ello bajo la Política de Divulgación de Vulnerabilidades de SOMA9
- Eludir límites de tasa, mecanismos de detección de abuso o cualquier control de seguridad
- Utilizar credenciales obtenidas de terceros sin autorización
3.3 Abusar de los recursos de red
- Enviar comunicaciones masivas no solicitadas
- Ejecutar cualquier actividad que pueda impactar negativamente el rendimiento o disponibilidad de los servicios de SOMA9 para otros clientes
- Operar servicios que consuman ancho de banda o recursos de cómputo desproporcionados sin un plan de recursos aplicable
- Ejecutar minería de criptomonedas en planes de alojamiento de recursos compartidos sin autorización previa por escrito
3.4 Suplantar la identidad
- Falsificar direcciones IP, cabeceras de correo o cualquier otra información identificativa
- Operar servicios bajo una denominación destinada a engañar a terceros sobre la identidad del operador
- Registrar cuentas con información falsa o identidad robada
4. Correo y mensajería
El uso por parte del Cliente de los servicios de correo a través de SOMA9 debe cumplir con las leyes anti-spam aplicables, incluidas la CAN-SPAM Act estadounidense, la Canada's Anti-Spam Legislation (CASL), el Reglamento General de Protección de Datos y la Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy) de la Unión Europea, y normas equivalentes en otras jurisdicciones.
4.1 Prácticas requeridas
- Mantener consentimiento opt-in documentado de cada destinatario antes de enviar correo comercial masivo
- Incluir identificación precisa del remitente y dirección postal física en los mensajes comerciales
- Proporcionar un mecanismo de baja funcional en cada mensaje comercial
- Atender las solicitudes de baja en un plazo de diez (10) días hábiles
- Mantener registros SPF, DKIM y DMARC configurados en modo de aplicación (enforcement) para los dominios remitentes
4.2 Prácticas prohibidas
- Enviar correo comercial no solicitado a direcciones recolectadas de sitios web o adquiridas a brokers de datos
- Utilizar líneas de asunto o identificación de remitente engañosas
- Enviar a destinatarios que se hayan dado de baja
- Operar servicios de listas de distribución para terceros sin verificar que dichos terceros han obtenido el consentimiento del destinatario
- Suplantar o falsificar cabeceras de correo
- Utilizar la infraestructura de correo de SOMA9 como retransmisor (relay) de tráfico originado en otro lugar
4.3 Límites de envío saliente
SOMA9 impone límites de envío saliente a nivel de cuenta. Los límites por defecto se documentan en docs.soma9.cloud/mail/rate-limits. Pueden concederse límites superiores previa solicitud, una vez el Cliente acredite el cumplimiento de esta sección y una reputación de envío adecuada.
5. Consumo de recursos
El uso por parte del Cliente de cómputo, memoria, disco, ancho de banda y recursos de base de datos debe permanecer dentro de los límites del plan de servicio aplicable. SOMA9 podrá limitar la velocidad, suspender o aplicar cargos adicionales por consumo que exceda los límites del plan.
El Cliente es responsable del consumo de recursos generado por:
- Software instalado por el Cliente, incluidas aplicaciones, plugins y plantillas de terceros
- Tráfico de los usuarios finales, incluido el tráfico no intencionado derivado de configuración deficiente o de un compromiso
- Volúmenes de copias de seguridad, retención de logs y demás almacenamiento que el Cliente decida mantener
- Tráfico saliente generado por el software instalado por el Cliente, incluidas tareas programadas, webhooks y llamadas API salientes
SOMA9 se reserva el derecho a investigar el consumo de recursos sostenido que exceda materialmente los patrones habituales, y podrá suspender la cuenta afectada cuando el consumo sugiera compromiso o abuso.
6. Sectores regulados
Los servicios de SOMA9 están disponibles para operadores en sectores regulados sujetos al cumplimiento de los requisitos de licencia y regulación aplicables. Se aplican las siguientes obligaciones específicas por sector.
6.1 Juego en línea
El Cliente que opere servicios de juego en línea, apuestas deportivas, casino, lotería, fantasy sports o relacionados deberá:
- Disponer de licencias válidas de las autoridades reguladoras de cada jurisdicción en la que se ofrezcan los servicios a usuarios finales
- Implementar controles de verificación de edad conformes con la legislación aplicable
- Implementar controles de geo-bloqueo que impidan el acceso desde jurisdicciones donde la actividad esté prohibida o donde el operador no esté licenciado
- Cumplir con las obligaciones anti-blanqueo de capitales y de conocimiento del cliente (KYC)
- Proporcionar herramientas de juego responsable a los usuarios finales cuando sean exigidas
SOMA9 podrá solicitar copias de las licencias o de la correspondencia regulatoria en cualquier momento.
6.2 Procesamiento de pagos
El Cliente que procese datos de tarjetas de pago debe cumplir con el Payment Card Industry Data Security Standard (PCI DSS) en el nivel aplicable a su volumen de transacciones. Los datos de tarjetas no se almacenarán en la infraestructura de SOMA9 salvo que el entorno del Cliente haya sido formalmente validado como conforme a PCI-DSS.
6.3 Sanidad
El Cliente que trate Información Médica Protegida (PHI) bajo la Health Insurance Portability and Accountability Act (HIPAA) de los Estados Unidos suscribirá un Business Associate Agreement con SOMA9 antes de cargar PHI en los servicios de SOMA9. Sin dicho acuerdo, no podrá transmitirse, almacenarse ni tratarse PHI en la infraestructura de SOMA9.
6.4 Productos farmacéuticos y sustancias controladas
- La venta de productos farmacéuticos sujetos a prescripción requiere certificación Verified Internet Pharmacy Practice Sites (VIPPS) o licencia equivalente en la jurisdicción
- La venta de sustancias controladas está prohibida con independencia de la licencia
- La venta de productos derivados del cannabis exige cumplimiento de las leyes de toda jurisdicción alcanzada por el sitio web
6.5 Servicios financieros
El Cliente que ofrezca asesoramiento de inversión, negociación de valores, préstamos o servicios financieros relacionados deberá disponer de todas las licencias requeridas y cumplir con las obligaciones de información de las autoridades reguladoras aplicables.
7. Obligaciones de seguridad
7.1 Responsabilidades del Cliente
El Cliente es responsable de:
- Mantener la seguridad de todas las credenciales de su cuenta
- Mantener la seguridad de los dispositivos locales utilizados para acceder a los servicios de SOMA9
- Mantener todo el software instalado por el Cliente actualizado a versiones con los parches de seguridad vigentes, incluidos sistemas de gestión de contenidos, plugins, plantillas y aplicaciones
- Habilitar la autenticación de doble factor en su cuenta cuando el servicio lo soporte
- Notificar sin demora a SOMA9 cualquier compromiso real o sospechado de su cuenta o servicios
- Eliminar o remediar el contenido malicioso subido por atacantes mediante credenciales robadas del Cliente
7.2 Cuentas comprometidas
Si SOMA9 detecta actividad maliciosa originada en la cuenta del Cliente que sugiera que sus credenciales han sido robadas:
- SOMA9 podrá suspender inmediatamente la cuenta para evitar daños mayores
- SOMA9 notificará al Cliente a través de los canales de contacto registrados en su perfil
- El Cliente es responsable de investigar el origen del compromiso, que con frecuencia son los propios dispositivos locales del Cliente
- La restauración de la cuenta queda condicionada a la remediación del compromiso subyacente
Vectores comunes de compromiso
La causa más frecuente del robo de credenciales cPanel y FTP es el malware en el propio equipo del cliente (troyanos infostealer). Realizar un escaneo antivirus exhaustivo de todos los dispositivos utilizados para acceder a los servicios de SOMA9 es el primer paso de remediación. Otros vectores incluyen credenciales filtradas en brechas de servicios de terceros donde el Cliente haya reutilizado contraseñas.
8. Supervisión por el Cliente
El Cliente debe supervisar el Contenido del Cliente y su uso de los servicios de SOMA9 para asegurar el cumplimiento de esta AUP. El Cliente es responsable de abordar sin demora las infracciones cometidas por usuarios finales, contratistas u otras partes que accedan a los servicios a través de su cuenta.
Cuando SOMA9 informe al Cliente de una infracción, el Cliente deberá:
- Acusar recibo de la notificación en un plazo de veinticuatro (24) horas
- Investigar el asunto y proporcionar un plan de remediación en un plazo de setenta y dos (72) horas
- Aplicar la remediación en un plazo de siete (7) días, o antes cuando la infracción implique una amenaza activa
9. Notificación de infracciones
Las denuncias de presuntas infracciones de la AUP pueden ser presentadas por cualquiera, incluidos clientes de SOMA9, usuarios finales, titulares de derechos de terceros y el público general. Las denuncias deben enviarse a:
Contacto de abuso
Correo:
abuse@soma9.cloud
Notificaciones DMCA:dmca@soma9.cloud
Trust and safety:trust@soma9.cloud
Plazo de acuse de recibo: 48 horas
Para facilitar el triage, las denuncias deben incluir:
- La URL, dirección IP o servicio específico denunciado
- Una descripción de la presunta infracción, incluyendo la sección aplicable de esta AUP si se conoce
- Pruebas que sustenten la denuncia, incluidas capturas, extractos de logs o copias de comunicaciones relevantes
- Datos de contacto del denunciante para seguimiento
SOMA9 revisa todas las denuncias de buena fe. Las infracciones validadas dan lugar a las medidas de aplicación previstas en la sección 10. Las denuncias no validadas se registran pero no dan lugar a acción.
10. Aplicación
Las medidas de aplicación de SOMA9 se calibran según la gravedad, persistencia e intencionalidad de la infracción. Las medidas disponibles incluyen:
10.1 Aviso y subsanación
SOMA9 podrá notificar al Cliente la presunta infracción y conceder un plazo de subsanación. Es la respuesta por defecto en infracciones de primera vez, de baja gravedad y ambiguas.
10.2 Limitación (throttling)
SOMA9 podrá aplicar límites de tasa o restringir funcionalidades específicas (por ejemplo, correo saliente) sin suspender la cuenta entera. Se utiliza cuando la restricción puede mitigar la infracción.
10.3 Suspensión
SOMA9 podrá suspender el acceso del Cliente a la totalidad o parte de los servicios. La suspensión se aplica cuando:
- La infracción supone riesgo inmediato para terceros o para la infraestructura de SOMA9
- El Cliente no ha remediado tras la notificación
- La infracción implica contenido ilegal según se define en la sección 2.1
Las cuentas suspendidas conservan el Contenido del Cliente durante treinta (30) días, salvo cuando la conservación esté prohibida por ley o resolución judicial. El Cliente podrá exportar el Contenido durante dicho periodo.
10.4 Resolución
SOMA9 podrá resolver la cuenta conforme a las Condiciones del Servicio en caso de infracciones materiales o reiteradas de la presente AUP.
10.5 Notificación a las autoridades
SOMA9 notificará a la autoridad competente las infracciones que impliquen CSAM, terrorismo, amenazas a la vida u otros asuntos dentro de la jurisdicción policial. SOMA9 conservará las pruebas relevantes conforme a la legislación aplicable.
10.6 Sin reembolso
La suspensión o resolución por infracción de la AUP no da derecho al Cliente a reembolso de las tarifas anticipadas.
11. Cooperación con autoridades
SOMA9 coopera con las autoridades policiales, los tribunales competentes y las autoridades reguladoras. SOMA9 atenderá:
- Citaciones válidas y resoluciones judiciales que ordenen la divulgación
- Solicitudes de Tratado de Asistencia Legal Mutua a través de los canales correspondientes
- Solicitudes de divulgación de emergencia cuando exista riesgo creíble e inminente para la vida
Cuando la legislación lo permita, SOMA9 notificará al Cliente afectado las solicitudes de procesos legales dirigidas a sus datos, permitiendo al Cliente buscar recurso legal antes de la divulgación. Cuando la notificación esté prohibida (por ejemplo, por gag order), SOMA9 cumplirá sin notificar al Cliente.
SOMA9 publica un Informe de Transparencia anual en soma9.cloud/legal/transparency documentando el volumen y categoría de las solicitudes legales recibidas.
12. Revisiones y versionado
Esta AUP se mantiene como un documento vivo que evoluciona con los estándares del sector, el panorama de amenazas, las normativas aplicables y las operaciones de SOMA9. SOMA9 se reserva el derecho a modificar, complementar o sustituir esta AUP a su discreción, sujeto a los compromisos de notificación a continuación.
Las modificaciones sustanciales se comunicarán mediante:
- Correo al contacto técnico registrado del Cliente
- Aviso en el portal del cliente de SOMA9 en
panel.soma9.cloud - Entrada en el changelog público en
soma9.cloud/legal/changelog
Las modificaciones sustanciales surtirán efecto no antes de treinta (30) días tras la notificación, salvo cuando se requiera un plazo más breve para responder a una amenaza activa a la integridad de los datos del Cliente o a la disponibilidad del servicio, o cuando la legislación aplicable exija un plazo distinto. Las modificaciones editoriales no sustanciales surten efecto de inmediato y se registran en el changelog sin notificación separada.
El uso continuado de los servicios tras la fecha efectiva de una modificación constituye aceptación de la modificación por el Cliente. Los Clientes que no acepten una modificación podrán resolver su servicio conforme a las Condiciones del Servicio.
La versión canónica vigente de esta AUP se publica en soma9.cloud/legal/acceptable-use-policy. El historial completo de versiones está en soma9.cloud/legal/changelog.
13. Contacto
- Denuncias de abuso:
abuse@soma9.cloud - DMCA:
dmca@soma9.cloud - Trust and safety:
trust@soma9.cloud - Legal:
legal@soma9.cloud - Postal: SOMA9 Holdings, LLC. A/A: Trust and Safety. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos
Pendiente revisión legal
Este borrador se facilita exclusivamente para revisión interna. Antes de su publicación, esta AUP debe ser revisada por asesoría jurídica cualificada con experiencia en marcos de safe-harbor para proveedores de hosting (DMCA, CDA Section 230), CAN-SPAM, RGPD y los contenidos de sectores regulados (juego, pagos, sanidad) aplicables a la base de clientes de SOMA9. Debe prestarse particular atención a la sección 6.1 (juego en línea) dada la presencia de clientes de gaming en SOMA9.