Privacy Policy

Last updated: April 8, 2026

The short version: Pylae is self-hosted. Your data stays on your infrastructure. We don't collect, access, or process the content of your agent actions, policy configurations, or dashboard data. The Free tier operates entirely offline by default - if you opt into anonymous telemetry, a minimal snapshot is sent every 24 hours (see section 3).

1. Data controller

Pylae Labs is the data controller for personal data processed through our commercial services (license validation, payment processing, and this website).

For data stored in your self-hosted Pylae instance, you are the data controller.

Contact: support@pylae.net

2. What we do NOT collect

The self-hosted Pylae binary does not phone home, send analytics, or transmit any data to Pylae Labs by default. Without a license key and without opting into telemetry, the binary operates entirely offline. We never receive:

Agent action content, tool call parameters, or MCP server responses
Policy configurations or match rules
Dashboard activity, user interactions, or session data
IP addresses of your agents or MCP servers
Any personally identifiable information about your end users

3. What we collect when you opt into telemetry or use a Pro license

Free tier with telemetry opt-in: If you set telemetry: true in your config, the binary sends an anonymous snapshot to license.pylae.net every 24 hours. This is entirely optional - the default is no telemetry.

Pro license: If you activate a Pro license key, the binary contacts license.pylae.net every 24 hours to validate your subscription. Telemetry is included in this request if opted in.

In both cases, the data sent is identical:

Data	Purpose	Retention
License key (SHA-256 hash) - Pro only	Validate subscription	Subscription + 90 days
Binary version, OS, architecture	Compatibility planning	48 hours (auto-deleted)
Uptime, aggregate counts	Usage analytics	48 hours
Database size (bytes)	Capacity planning	48 hours

Telemetry contains zero personally identifiable information. The plaintext license key is transmitted over TLS and immediately SHA-256 hashed server-side - it is never stored in plaintext.

4. What we collect when you purchase

Payments are processed by Stripe. We receive from Stripe:

Email address - to deliver your license key
Name (if provided) - for the license record
Payment status - paid, cancelled, or failed

We never receive card numbers, CVV, or billing address. This data is stored in Cloudflare KV and used solely for license provisioning and support.

5. Cookies and tracking

This website does not use cookies, tracking pixels, analytics services, fingerprinting, or advertising scripts of any kind. We do not track your behavior across pages or sessions.

Cloudflare may collect standard web server logs (IP address, user agent, referrer) as part of their CDN infrastructure.

6. Legal basis for processing (GDPR Art. 6)

Contract performance (Art. 6(1)(b)) - processing your email and license key to deliver the service you purchased
Legitimate interest (Art. 6(1)(f)) - aggregate telemetry for product improvement, where the impact on your privacy is minimal (no PII, auto-deleted in 48 hours)

7. Third-party services

Stripe - payment processing. Privacy Policy
Resend - transactional email (license key delivery only). Privacy Policy
Cloudflare - website hosting and license validation. Privacy Policy

We do not share personal data with any other third parties, and we do not sell personal data under any circumstances.

8. International data transfers

Our license validation service runs on Cloudflare Workers, which may process requests in multiple regions. Stripe and Resend are US-based companies that provide adequate safeguards for EU data transfers through Standard Contractual Clauses (SCCs) and/or the EU-US Data Privacy Framework.

Your self-hosted Pylae instance stores all data locally - no data leaves your infrastructure unless you configure a Pro license key.

9. Data retention

License records: retained while the subscription is active, plus 90 days after cancellation
Telemetry snapshots: automatically deleted after 48 hours of inactivity
Payment records: managed by Stripe per their retention policy
Self-hosted data: under your control - delete the SQLite database or use the built-in GDPR erasure endpoint at any time

10. Your rights (GDPR)

If you are in the EU/EEA, you have the right to:

Access your personal data
Rectify inaccurate data
Erase your data ("right to be forgotten")
Restrict processing
Data portability - receive your data in a structured format
Object to processing based on legitimate interest

To exercise any of these rights, email support@pylae.net. We will respond within 30 days. You also have the right to lodge a complaint with your local data protection authority.

11. Children's privacy

Pylae is developer infrastructure not directed at children. We do not knowingly collect personal data from anyone under 16 years of age. If we learn that we have collected data from a child, we will delete it promptly.

12. Changes to this policy

We may update this policy when we add features or services. Material changes will be announced via the changelog and, for paying customers, by email. Continued use of our services after changes constitutes acceptance.

13. Contact

Pylae Labs · support@pylae.net

Política de privacidad

Última actualización: 8 de abril de 2026

En resumen: Pylae es autoalojado. Tus datos permanecen en tu infraestructura. No recopilamos, accedemos ni procesamos el contenido de las acciones de tus agentes, configuraciones de políticas ni datos del panel de control. El nivel gratuito funciona completamente sin conexión por defecto; si optas por la telemetría anónima, se envía una instantánea mínima cada 24 horas (véase la sección 3).

1. Responsable del tratamiento

Pylae Labs es el responsable del tratamiento de los datos personales procesados a través de nuestros servicios comerciales (validación de licencia, procesamiento de pagos y este sitio web).

Para los datos almacenados en tu instancia autoalojada de Pylae, tú eres el responsable del tratamiento.

Contacto: support@pylae.net

2. Qué NO recopilamos

El binario autoalojado de Pylae no llama a servidores externos, no envía analíticas ni transmite ningún dato a Pylae Labs por defecto. Sin clave de licencia y sin optar por la telemetría, el binario funciona completamente sin conexión. Nunca recibimos:

Contenido de acciones de agentes, parámetros de llamadas a herramientas ni respuestas de servidores MCP
Configuraciones de políticas ni reglas de coincidencia
Actividad del panel de control, interacciones de usuario ni datos de sesión
Direcciones IP de tus agentes o servidores MCP
Cualquier dato de identificación personal de tus usuarios finales

3. Qué recopilamos cuando optas por la telemetría o usas una licencia Pro

Nivel gratuito con telemetría activada: si configuras telemetry: true, el binario envía una instantánea anónima a license.pylae.net cada 24 horas. Es completamente opcional; la configuración por defecto no envía telemetría.

Licencia Pro: si activas una clave de licencia Pro, el binario contacta con license.pylae.net cada 24 horas para validar tu suscripción. La telemetría se incluye en esta petición si está activada.

En ambos casos, los datos enviados son idénticos:

Dato	Finalidad	Retención
Clave de licencia (hash SHA-256), solo Pro	Validar suscripción	Suscripción + 90 días
Versión del binario, SO, arquitectura	Planificación de compatibilidad	48 horas (borrado automático)
Tiempo de actividad, contadores agregados	Analítica de uso	48 horas
Tamaño de la base de datos (bytes)	Planificación de capacidad	48 horas

La telemetría no contiene ningún dato de identificación personal. La clave de licencia se transmite en texto plano por TLS y se convierte inmediatamente en hash SHA-256 en el servidor; nunca se almacena en texto plano.

4. Qué recopilamos cuando realizas una compra

Los pagos los procesa Stripe. De Stripe recibimos:

Dirección de correo electrónico, para entregar la clave de licencia
Nombre (si se proporciona), para el registro de la licencia
Estado del pago: pagado, cancelado o fallido

Nunca recibimos números de tarjeta, CVV ni dirección de facturación. Estos datos se almacenan en Cloudflare KV y se usan exclusivamente para el aprovisionamiento de licencias y soporte.

5. Cookies y seguimiento

Este sitio web no usa cookies, píxeles de seguimiento, servicios de analítica, huella digital ni scripts publicitarios de ningún tipo. No rastreamos tu comportamiento entre páginas ni sesiones.

Cloudflare puede recopilar registros estándar de servidor web (dirección IP, agente de usuario, referente) como parte de su infraestructura de CDN.

6. Base legal del tratamiento (RGPD, art. 6)

Ejecución del contrato (art. 6.1.b): tratamiento de tu correo electrónico y clave de licencia para prestar el servicio contratado
Interés legítimo (art. 6.1.f): telemetría agregada para la mejora del producto, con un impacto mínimo en tu privacidad (sin datos personales, borrado automático en 48 horas)

7. Servicios de terceros

Stripe: procesamiento de pagos. Política de privacidad
Resend: correo electrónico transaccional (solo entrega de claves de licencia). Política de privacidad
Cloudflare: alojamiento web y validación de licencias. Política de privacidad

No compartimos datos personales con ningún otro tercero y no vendemos datos personales bajo ninguna circunstancia.

8. Transferencias internacionales de datos

Nuestro servicio de validación de licencias se ejecuta en Cloudflare Workers, que puede procesar peticiones en varias regiones. Stripe y Resend son empresas estadounidenses que proporcionan garantías adecuadas para las transferencias de datos de la UE mediante cláusulas contractuales tipo (CCT) o el Marco de Privacidad de Datos UE-EE. UU.

Tu instancia autoalojada de Pylae almacena todos los datos localmente; ningún dato sale de tu infraestructura a menos que configures una clave de licencia Pro.

9. Conservación de datos

Registros de licencia: conservados mientras la suscripción esté activa, más 90 días tras la cancelación
Instantáneas de telemetría: borrado automático tras 48 horas de inactividad
Registros de pago: gestionados por Stripe conforme a su política de retención
Datos autoalojados: bajo tu control; elimina la base de datos SQLite o usa el endpoint de supresión conforme al RGPD en cualquier momento

10. Tus derechos (RGPD)

Si resides en la UE/EEE, tienes derecho a:

Acceder a tus datos personales
Rectificar datos inexactos
Suprimir tus datos (derecho al olvido)
Limitar el tratamiento
Portabilidad de los datos: recibirlos en un formato estructurado
Oponerte al tratamiento basado en interés legítimo

Para ejercer cualquiera de estos derechos, escribe a support@pylae.net. Responderemos en un plazo de 30 días. También tienes derecho a presentar una reclamación ante tu autoridad de protección de datos local.

11. Privacidad de menores

Pylae es infraestructura para desarrolladores, no está dirigida a menores. No recopilamos deliberadamente datos personales de menores de 16 años. Si descubrimos que hemos recopilado datos de un menor, los suprimiremos de inmediato.

12. Cambios en esta política

Podemos actualizar esta política cuando añadamos funciones o servicios. Los cambios sustanciales se anunciarán a través del registro de cambios y, para los clientes de pago, por correo electrónico. El uso continuado de nuestros servicios tras los cambios constituye aceptación.

13. Contacto

Pylae Labs · support@pylae.net