Política de Privacidad

"Información personal"

Cualquier información que te identifique, se relacione contigo, te describa, sea razonablemente capaz de asociarse contigo o pueda vincularse razonablemente, de forma directa o indirecta, a ti o a tu hogar. Esto incluye, entre otros, tu dirección de correo electrónico, dirección IP, identificadores de dispositivo y datos de actividad en línea.

"Datos de negocio"

Datos relacionados con tus operaciones comerciales en canales de venta de terceros, incluidos Listings de productos, datos de precios, métricas de ventas, datos de precios del Marketplace, cálculos de tarifas e historial de cambios de precios. Aunque los datos de negocio pueden procesarse a través del Servicio, son distintos de la información personal y se rigen principalmente por nuestros Términos de Servicio.

"Organization"

Una entidad comercial o grupo creado dentro del Servicio bajo el cual se gestionan usuarios, cuentas de Channel, Listings y facturación. Cada Organization opera con aislamiento completo de datos respecto a todas las demás Organizations.

"Channel"

Una plataforma de ventas de terceros integrada con el Servicio, como Amazon, Walmart, Shopify o BigCommerce.

"Tratamiento"

Cualquier operación realizada sobre información personal, ya sea automatizada o manual, incluidas la recopilación, registro, organización, almacenamiento, adaptación, recuperación, consulta, uso, divulgación, combinación, restricción, supresión o destrucción.

3.1 Información de cuenta

Cuando creas una cuenta, recopilamos tu dirección de correo electrónico. Usamos autenticación sin contraseña (enlaces mágicos enviados a tu correo electrónico), por lo que no requerimos ni almacenamos contraseñas. Tu dirección de correo electrónico sirve como tu identificador principal y credencial de inicio de sesión. También detectamos automáticamente tu zona horaria desde tu navegador (por ejemplo, "America/New_York") y la almacenamos en tu perfil de usuario para que las fechas y horas en el Servicio se muestren en tu hora local. Puedes cambiar tu zona horaria en cualquier momento en la configuración de tu cuenta.

3.2 Datos de inicio de sesión con Google

Si eliges iniciar sesión con Google (mediante OAuth o Google One Tap), recibimos tu dirección de correo electrónico, nombre para mostrar y URL de foto de perfil de Google. Tu nombre para mostrar y foto de perfil se almacenan en tu perfil de usuario y se muestran dentro del Servicio. Puedes modificar o eliminar esta información en cualquier momento a través de la configuración de tu cuenta. No recibimos ni almacenamos tu contraseña de Google. El inicio de sesión con Google es opcional; siempre puedes usar enlaces mágicos basados en correo electrónico.

3.3 Datos de Organization y equipo

Cuando creas o te unes a una Organization, almacenamos el nombre de tu organización, preferencia de moneda de reporte, membresía del equipo, asignaciones de roles (Owner, Admin, Manager o Analyst) y registros de invitaciones al equipo (correo del invitado, identidad del invitador, estado de la invitación).

3.4 Datos de cuenta de vendedor

Cuando conectas un canal de ventas (como Amazon Seller Central), accedemos y almacenamos datos a través de la API oficial del canal. Esto incluye: tu catálogo de productos (títulos, descripciones, marcas, imágenes, SKUs, tipo de fulfillment); datos de precios actuales e históricos; datos de ofertas competitivas y estado del Buy Box; tarifas del Marketplace (tarifas de referencia, tarifas de fulfillment); métricas de ventas diarias (pedidos, ingresos, reembolsos, unidades vendidas); historial de cambios de precios y resultados de Repricing; y resúmenes de propiedad del Buy Box. Solo accedemos a los datos necesarios para proveer el servicio de Repricing.

3.5 Credenciales de Channel Account

Cuando conectas una Channel Account, tus credenciales de autenticación (como los tokens de actualización de Amazon SP-API) se almacenan en un vault cifrado usando cifrado AES-256. Estas credenciales se descifran únicamente en el momento de uso de la API y nunca se registran, se almacenan en caché en la memoria de la aplicación ni son accesibles a través de la interfaz de usuario. Puedes desconectar una Channel Account en cualquier momento, lo que destruye permanentemente las credenciales almacenadas.

3.6 Información de pago

Todo el procesamiento de pagos está a cargo de Stripe, Inc. No recibimos, procesamos ni almacenamos tu número de tarjeta de crédito, número de tarjeta de débito, número de cuenta bancaria ni ninguna otra credencial de cuenta financiera. Solo almacenamos identificadores de referencia de Stripe (ID de cliente, ID de suscripción, ID de método de pago) y metadatos de facturación como tu estado de facturación, nivel de suscripción actual e historial de facturas. Administras tus métodos de pago directamente a través del portal seguro alojado de Stripe.

3.7 Datos de uso y análisis

Recopilamos datos de uso para comprender cómo se usa el Servicio y mejorar la experiencia del usuario. Esto incluye: páginas visitadas y funciones usadas, clics e interacciones dentro de la aplicación, tipo de navegador, sistema operativo y resolución de pantalla, tipo de dispositivo, URLs de referencia y ubicación geográfica general (a nivel de país/región, derivada de tu dirección IP). Usamos herramientas de análisis de producto para procesar estos datos. En producción, identificamos a los usuarios autenticados por su ID de usuario y correo electrónico para asociar eventos de uso con cuentas. También registramos metadatos a nivel de Organization (nombre de la Organization, nivel de suscripción y estado de facturación) con fines de análisis agregado. Los visitantes anónimos no se rastrean con perfiles individuales.

3.8 Datos de rendimiento y errores

Usamos herramientas de monitoreo de errores y seguimiento de rendimiento para identificar y resolver problemas de software. Cuando ocurre un error, podemos recopilar: mensajes de error y trazas de pila, la página o acción donde ocurrió el error, información del navegador y dispositivo, tu dirección IP, tu ID de usuario y correo electrónico (para que nuestro equipo de soporte pueda asistirte) y grabaciones de sesión con todo el texto y las entradas de formularios enmascarados por privacidad. Estas grabaciones nunca capturan texto legible, contraseñas ni datos de formularios; sin embargo, las imágenes visibles en la página en el momento de la grabación (como imágenes de productos) pueden aparecer en la reproducción. Si envías comentarios a través del widget de retroalimentación dentro de la aplicación, recopilamos el texto que proporcionas junto con tu nombre y correo electrónico para poder responder. Los datos de rendimiento incluyen tiempos de carga de página, tiempos de red y métricas Web Vitals.

3.9 Datos de seguridad e inicio de sesión

Por razones de seguridad, registramos cierta información cuando inicias sesión en el Servicio, incluidos tu dirección IP, agente de usuario del navegador (tipo de dispositivo y nombre del navegador), la fecha y hora del inicio de sesión y tu zona horaria aproximada. Esta información se usa para enviarte alertas de seguridad de nuevo inicio de sesión por correo electrónico y para detectar posibles accesos no autorizados a tu cuenta.

3.10 Datos de importación y exportación

Cuando importas datos (como costos de productos o precios desde archivos CSV/XLSX), almacenamos temporalmente los archivos subidos y su contenido para su procesamiento. Cuando exportas datos, generamos y almacenamos temporalmente los archivos de exportación para su descarga. Los archivos de exportación son accesibles mediante enlaces de descarga firmados que vencen después de 7 días, y los propios archivos se eliminan automáticamente poco después. Los archivos de importación se eliminan al completarse el procesamiento. Si configuras importaciones programadas desde URLs externas, la URL de origen se almacena en la configuración de tu Organization.

3.11 Conexiones de datos en tiempo real

Cuando usas el Servicio de forma activa, tu navegador mantiene una conexión WebSocket autenticada con nuestro proveedor de base de datos para recibir actualizaciones en vivo (por ejemplo, cuando se aplica un cambio de precio o se completa una sincronización del catálogo). Estas conexiones están cifradas, autenticadas con tu token de sesión y limitadas a los datos de tu Organization. No se recopilan datos personales adicionales a través de estas conexiones más allá de lo descrito en esta política.

3.12 Registros de comunicación

Mantenemos registros de los correos electrónicos transaccionales enviados a ti a través del Servicio, incluida la dirección del destinatario, categoría del correo, asunto, estado de entrega y marca de tiempo. Conservamos estos registros para solucionar problemas de entrega, cumplir con tus preferencias de notificación y cumplir con las regulaciones de comunicación aplicables.

3.13 Información que no recopilamos

No recopilamos: contraseñas (usamos autenticación sin contraseña), números de seguro social ni documentos de identidad emitidos por el gobierno, datos de salud ni biométricos, fecha de nacimiento ni edad, direcciones físicas ni números de teléfono, números de cuentas financieras (gestionados íntegramente por Stripe) ni ninguna información de menores de 16 años.

Provisión del Servicio

Autenticar tu identidad, gestionar tu cuenta, sincronizar tu catálogo de productos, calcular tarifas, ejecutar reglas de Repricing, enviar cambios de precios a los Channels conectados y proporcionar la funcionalidad principal de la plataforma.

Facturación y gestión de suscripción

Procesar pagos de suscripción a través de Stripe, gestionar tu estado de facturación, calcular tu nivel de suscripción basado en GMV, generar facturas y gestionar fallos de pago y reintentos.

Comunicación

Enviarte correos electrónicos transaccionales relacionados con la actividad de tu cuenta, incluidos mensajes de bienvenida, notificaciones de facturación, invitaciones de equipo, alertas de Channel, confirmaciones de exportación/importación, alertas de seguridad (notificaciones de nuevo inicio de sesión) y cambios de estado de suscripción.

Seguridad y prevención de fraude

Detectar y prevenir el acceso no autorizado, monitorear la actividad de bots mediante verificación CAPTCHA, aplicar limitación de tasa, enviar alertas de inicio de sesión con información de IP y dispositivo, y mantener registros de auditoría para investigaciones de seguridad.

Mejora del producto

Analizar patrones de uso agregados para mejorar funciones, corregir errores, optimizar el rendimiento y desarrollar nuevas funcionalidades. Usamos herramientas de análisis de producto y monitoreo de errores para este fin.

Cumplimiento legal

Cumplir con las leyes, regulaciones, procesos legales y solicitudes gubernamentales aplicables. Hacer cumplir nuestros Términos de Servicio. Proteger los derechos, la privacidad, la seguridad y la propiedad de Repricing, Inc., nuestros usuarios y el público.

Ejecución de un contrato (GDPR Art. 6(1)(b))

Tratamos información de cuenta, datos de cuenta de vendedor, credenciales de Channel, referencias de pago y registros de comunicación en la medida necesaria para proveer el Servicio bajo nuestros Términos de Servicio. Sin este tratamiento, no podemos prestarte el Servicio.

Interés legítimo (GDPR Art. 6(1)(f))

Tratamos datos de uso y análisis, datos de rendimiento y errores, y datos de seguridad e inicio de sesión con base en nuestro interés legítimo en mejorar el Servicio, garantizar su seguridad, detectar fraudes y resolver problemas técnicos. Hemos realizado una prueba de equilibrio y determinado que estos intereses no prevalecen sobre tus derechos y libertades fundamentales, en particular porque: minimizamos la recopilación de datos a lo funcionalmente necesario, enmascaramos todo el texto y las entradas de formularios en las grabaciones de sesión, limitamos el seguimiento analítico a usuarios autenticados en producción y puedes contactarnos para oponerte al tratamiento basado en interés legítimo.

Obligación legal (GDPR Art. 6(1)(c))

Tratamos ciertos registros de facturación, registros de auditoría y registros de comunicación en la medida necesaria para cumplir con los requisitos fiscales, contables y regulatorios aplicables.

Consentimiento (GDPR Art. 6(1)(a))

Cuando usamos cookies no esenciales o seguimiento analítico que requiere consentimiento conforme a la ley aplicable, obtendremos tu consentimiento a través de un mecanismo de consentimiento de cookies antes de activar dichas tecnologías. Puedes retirar el consentimiento en cualquier momento a través de la configuración de cookies o contactándonos.

Infraestructura y proveedores de servicios

Usamos las siguientes categorías de proveedores de servicios (subencargados) para operar el Servicio. Cada proveedor trata datos solo en la medida necesaria para realizar su función específica y está contractualmente obligado a proteger tus datos:

APIs de canales de venta

Cuando conectas una Channel Account, intercambiamos datos con la API de ese Channel en tu nombre. Esto incluye leer tu catálogo de productos, precios y datos de ventas, y enviar actualizaciones de precios. Solo enviamos los datos necesarios para realizar las acciones que has autorizado al conectar el Channel.

Divulgaciones legales y de cumplimiento

Podemos divulgar tu información si creemos de buena fe que la divulgación es necesaria para: cumplir con una obligación legal, ley, regulación, citación u orden judicial; proteger y defender los derechos, la propiedad o la seguridad de Repricing, Inc., nuestros usuarios o el público; detectar, prevenir o abordar fraudes, problemas de seguridad o problemas técnicos; o hacer cumplir nuestros Términos de Servicio.

Transferencias empresariales

Si Repricing, Inc. participa en una fusión, adquisición, reorganización, venta de activos o quiebra, tu información puede transferirse como parte de esa transacción. Te notificaremos por correo electrónico y a través del Servicio antes de que tu información personal sea transferida y quede sujeta a una política de privacidad diferente.

Con tu consentimiento

Podemos compartir tu información de formas no descritas en esta Política de Privacidad si hemos obtenido tu consentimiento explícito para hacerlo.

Datos agregados y disociados

Podemos compartir datos agregados, anonimizados o disociados que no puedan razonablemente usarse para identificarte. Por ejemplo, podemos publicar estadísticas agregadas sobre tendencias de uso de la plataforma. Estos datos no se consideran información personal.

Salvaguardas de transferencia para usuarios del EEA/UK/Suiza

Cuando transferimos información personal desde el Espacio Económico Europeo (EEA), el Reino Unido o Suiza a los Estados Unidos, nos apoyamos en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea como mecanismo principal de transferencia. Nuestros subencargados (listados en la Sección 6) mantienen cada uno sus propios Acuerdos de Tratamiento de Datos con Cláusulas Contractuales Tipo u otros mecanismos de transferencia aprobados similares, incluida la participación en el Marco de Privacidad de Datos UE-EE.UU. cuando corresponda.

Tus derechos de transferencia

Al usar el Servicio, reconoces y consientes la transferencia de tu información a los Estados Unidos. Si estás en una jurisdicción donde dicho consentimiento es necesario para las transferencias transfronterizas de datos, el uso continuado del Servicio constituye ese consentimiento. Nada en esta sección limita tus derechos conforme a las leyes locales de protección de datos aplicables donde dichos derechos no puedan renunciarse por acuerdo.

Datos principales de cuenta y negocio

Tu información de cuenta, datos de organización, Listings de productos, reglas de Repricing, historial de cambios de precios y datos de ventas diarias se conservan durante el tiempo que tu cuenta esté activa. Cuando eliminas tu Organization, estos datos se eliminan permanentemente de inmediato mediante la eliminación en cascada de la base de datos.

Datos operativos con limpieza automatizada

Ciertos datos operativos se eliminan automáticamente de forma periódica: las instantáneas de ofertas competitivas se conservan 7 días; los registros de procesamiento de cambios de precios se conservan 90 días; los resúmenes de propiedad del Buy Box se conservan 90 días; los registros internos del sistema se conservan 7 días; los registros de procesamiento de webhooks se conservan 30 días; los archivos de exportación de datos vencen aproximadamente 7 días después de generarse y se eliminan automáticamente; los registros de limitación de tasa (que pueden almacenar temporalmente tu ID de usuario o dirección IP) se eliminan en 24 horas; y los detalles de errores de importación se conservan 7 días.

Registros de comunicación

Los registros de entrega de correo electrónico (destinatario, categoría, asunto, estado de entrega) se conservan durante la vigencia de tu cuenta. Estos registros nos permiten solucionar problemas de entrega de correo electrónico y respetar tus preferencias de notificación.

Registros de facturación y financieros

El historial de facturación, los registros de facturas y los datos de transacciones de pago se conservan conforme a las leyes fiscales y contables aplicables, incluso después de la eliminación de la cuenta. Esto será típicamente el mayor entre 7 años o el período requerido por tu jurisdicción local.

Datos de seguridad y auditoría

Los registros de auditoría de administración (que registran acciones administrativas junto con el correo electrónico, la dirección IP y el agente de usuario del usuario que las realiza) se conservan durante el tiempo que exista la Organization. Tras la eliminación de la Organization, las entradas de registro de auditoría que registran el propio evento de eliminación se conservan conforme a la ley.

Datos analíticos

Los datos de uso y análisis procesados por nuestros proveedores de análisis de terceros se conservan de acuerdo con las políticas de retención de datos de cada proveedor. Configuramos nuestras herramientas de análisis para conservar los datos durante el período mínimo necesario para fines de mejora del producto.

Eliminación de datos al dar de baja la cuenta

Cuando el Owner de una Organization elimina su Organization, ocurre lo siguiente de inmediato: la suscripción de Stripe se cancela con prorrateo; todos los archivos en almacenamiento (importaciones, exportaciones) se eliminan permanentemente; todos los datos de la Organization (Listings, reglas de Repricing, historial de precios, miembros del equipo, cuentas conectadas, períodos de facturación, incidentes) se eliminan permanentemente mediante la eliminación en cascada de la base de datos; y las credenciales de Channel Account almacenadas en el vault cifrado se destruyen permanentemente. Se envía una notificación por correo electrónico a todos los exmiembros de la Organization confirmando la eliminación.

Datos de cuenta de usuario

Si deseas que tu cuenta de usuario (correo electrónico y perfil) sea eliminada completamente de nuestro sistema de autenticación después de eliminar todas tus Organizations, contáctanos en privacy@repricing.app. Procesaremos tu solicitud dentro de los plazos requeridos por la ley aplicable (consulta las Secciones 10 y 11).

Categorías de información personal recopilada

En los 12 meses anteriores, hemos recopilado las siguientes categorías de información personal: identificadores (dirección de correo electrónico, ID de usuario, dirección IP); actividad de red o electrónica en internet (historial de navegación dentro del Servicio, interacciones con funciones, información del dispositivo y el navegador); información comercial (nivel de suscripción, estado de facturación, historial de transacciones); información profesional o relacionada con el empleo (nombre de la empresa mediante el nombre de la Organization); e inferencias derivadas de lo anterior para mejorar el Servicio.

Cómo recopilamos información personal

Recopilamos información personal directamente de ti (creación de cuenta, configuración de perfil, carga de importaciones), automáticamente a través de tu uso del Servicio (datos de uso, cookies, análisis), de proveedores de inicio de sesión de terceros (Google, cuando eliges el inicio de sesión con Google) y de las APIs de Channel conectadas (datos de cuenta de vendedor, con tu autorización).

Tus derechos bajo la CCPA

Como residente de California, tienes derecho a: saber qué información personal hemos recopilado sobre ti y cómo ha sido usada y compartida; solicitar la eliminación de tu información personal, sujeto a ciertas excepciones legales; corregir la información personal inexacta que tengamos sobre ti; cancelar la venta o compartición de tu información personal (consulta la Sección 13); y a no ser discriminado por ejercer cualquiera de estos derechos.

Venta y compartición de información personal

No vendemos tu información personal. No compartimos tu información personal para publicidad conductual entre contextos. No hemos vendido ni compartido información personal en los 12 meses anteriores.

Información personal sensible

No recopilamos ni tratamos información personal sensible según la definición de la CCPA/CPRA (como números de seguro social, números de cuentas financieras con credenciales, geolocalización precisa, origen racial o étnico, creencias religiosas, datos biométricos, datos de salud o información sobre vida sexual).

Agentes autorizados

Puedes designar a un agente autorizado para que presente una solicitud de privacidad en tu nombre. Podemos requerir que el agente proporcione prueba de la autorización y podemos solicitarte que verifiques tu identidad directamente con nosotros.

Cómo enviar una solicitud

Para ejercer tus derechos bajo la CCPA, envíanos un correo electrónico a privacy@repricing.app. Verificaremos tu identidad confirmando tu dirección de correo electrónico. Responderemos a las solicitudes verificadas en un plazo de 45 días. Si necesitamos tiempo adicional (hasta 45 días más), te notificaremos por escrito con el motivo de la prórroga.

Métricas

Según lo requiere la CCPA, pondremos a disposición métricas anuales sobre el número de solicitudes que recibimos y nuestros tiempos de respuesta, bajo petición.

Nuestro rol bajo el GDPR

A efectos del GDPR, Repricing, Inc. actúa como responsable del tratamiento de tu información de cuenta, datos de uso y datos de facturación. Cuando tratamos los datos de tu cuenta de vendedor (Listings de productos, precios, métricas de ventas) en tu nombre, actuamos como encargado del tratamiento. Las bases legales para nuestras actividades de tratamiento se detallan en la Sección 5.

Delegado de Protección de Datos

Para preguntas sobre nuestras prácticas de protección de datos o para ejercer tus derechos bajo el GDPR, contacta a nuestro equipo de privacidad en privacy@repricing.app. Responderemos a tu solicitud en un plazo de 30 días, según lo exige el Artículo 12(3) del GDPR.

Autoridad de control

Tienes derecho a presentar una reclamación ante la autoridad de control de protección de datos del estado miembro de la UE/EEA donde residas, trabajes o donde se haya producido la presunta infracción.

Brasil (LGPD)

Si estás ubicado en Brasil, tienes derechos bajo la Lei Geral de Proteção de Dados (LGPD), incluidos el derecho a acceder, corregir, eliminar, portar y anonimizar tus datos personales. Para ejercer estos derechos, contáctanos en privacy@repricing.app.

Canadá (PIPEDA)

Si estás ubicado en Canadá, tienes derechos bajo la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), incluidos el derecho a acceder y cuestionar la exactitud de tu información personal que tenemos. Obtendremos un consentimiento significativo para la recopilación, uso y divulgación de tu información personal.

Australia (Ley de Privacidad de 1988)

Si estás ubicado en Australia, tienes derechos bajo la Ley de Privacidad de 1988 y los Principios de Privacidad de Australia (APPs), incluidos el derecho a acceder y corregir tu información personal. Si consideras que hemos incumplido los APPs, puedes presentar una reclamación ante la Oficina del Comisionado de Información de Australia (OAIC).

Japón (APPI)

Si estás ubicado en Japón, tienes derechos bajo la Ley de Protección de Información Personal (APPI), incluidos el derecho a solicitar la divulgación, corrección o cese del uso de tu información personal.

Otras leyes de privacidad estatales de EE.UU.

Varios estados de EE.UU. han promulgado leyes de privacidad integrales, incluidos Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Montana (MCDPA) y otros. Si eres residente de uno de estos estados, puedes tener derechos similares a los descritos en la Sección 10, incluidos el derecho a acceder, corregir, eliminar y cancelar ciertos usos de tus datos. Para ejercer estos derechos, contáctanos en privacy@repricing.app.

Cookies esenciales (estrictamente necesarias)

Estas cookies son necesarias para que el Servicio funcione y no se pueden deshabilitar. Incluyen: cookies de sesión de autenticación que mantienen tu estado de inicio de sesión (establecidas por nuestro proveedor de autenticación, almacenadas como cookies seguras HTTP-only); cookies de verificador de código PKCE usadas durante el flujo de inicio de sesión seguro (temporales, eliminadas tras completarse la autenticación); cookies de Organization activa que recuerdan en qué Organization estás trabajando actualmente (establecidas como cookie segura HTTP-only por hasta un año); y cookies de desafío CAPTCHA establecidas temporalmente durante la verificación de protección contra bots en la página de inicio de sesión.

Análisis y rendimiento (funcional)

Usamos herramientas de análisis de producto para comprender cómo se usa el Servicio. Estas herramientas utilizan el almacenamiento local del navegador (no cookies) para mantener identificadores de sesión y dispositivo. El seguimiento analítico está activo solo en el entorno de producción y solo para usuarios autenticados. Los visitantes anónimos no se rastrean con perfiles individuales. El tráfico de análisis se enruta a través de nuestro propio dominio para garantizar una medición precisa del rendimiento.

Preferencias de tema

Tu preferencia de modo claro/oscuro se almacena en el almacenamiento local de tu navegador (no en una cookie) y se usa para mostrar el tema visual correcto cuando cargas el Servicio. Estos datos nunca salen de tu navegador.

Preferencias de Data Grid

Las preferencias básicas de diseño de tablas (visibilidad de columnas, anchos de columnas, configuraciones de densidad) se almacenan en el almacenamiento local de tu navegador y nunca salen de tu dispositivo. Si eliges crear "Vistas guardadas" con nombre (configuraciones de filtros y columnas personalizadas), esas vistas se almacenan en nuestra base de datos, asociadas con tu cuenta y Organization, y pueden compartirse opcionalmente con los miembros de tu equipo.

Marketing y medición de conversiones (consentimiento explícito)

Con tu consentimiento explícito (mediante nuestro banner de cookies), cargamos el seguimiento de conversiones de Google Ads (gtag.js) para medir si nuestras campañas publicitarias generan registros. Esto envía un único evento de conversión a Google cuando creas una cuenta. Google puede establecer cookies con prefijo _gc y _gac para atribuir la conversión a un clic en un anuncio. No se incluyen datos personales, datos de productos ni información de cuentas de vendedor en el evento de conversión. Puedes retirar el consentimiento en cualquier momento a través de las preferencias de cookies accesibles desde el pie de página de nuestro sitio web, lo que detendrá inmediatamente la carga de la etiqueta de Google y borrará las cookies asociadas.

Lo que no usamos

No usamos cookies de seguimiento entre dominios, píxeles de seguimiento de redes sociales ni técnicas de fingerprinting. No participamos en redes de publicidad conductual ni permitimos que terceros coloquen cookies para segmentación publicitaria en nuestro sitio. No cargamos fuentes ni recursos de CDNs de terceros que puedan usarse para rastreo (nuestras fuentes son propias y las imágenes de productos se enrutan a través de nuestro propio dominio).

Consentimiento de cookies

Cuando la ley aplicable lo requiera (como la Directiva ePrivacy de la UE), presentaremos un mecanismo de consentimiento de cookies que te permita aceptar o rechazar las cookies no esenciales antes de que se activen. Las cookies esenciales que son estrictamente necesarias para el funcionamiento del Servicio no requieren consentimiento y no se pueden deshabilitar.

Gestión de cookies

Puedes gestionar las cookies a través de la configuración de tu navegador. La mayoría de los navegadores te permiten rechazar cookies, eliminar las existentes o alertarte cuando se establece una cookie. Ten en cuenta que deshabilitar las cookies esenciales puede impedir que el Servicio funcione correctamente, ya que la autenticación depende de ellas.

Preferencias de notificación

Puedes gestionar tus preferencias de notificación por correo electrónico desde la configuración de tu cuenta. Cada categoría de notificación puede habilitarse o deshabilitarse individualmente. Algunas notificaciones son obligatorias y no se pueden deshabilitar porque están relacionadas con eventos críticos de la cuenta:

Cancelación de suscripción

Cada correo electrónico incluye un enlace para cancelar la suscripción y un encabezado List-Unsubscribe para la cancelación con un solo clic. Los enlaces de cancelación están firmados criptográficamente para evitar cambios no autorizados en tus preferencias. Cancelar la suscripción de una categoría de notificación no afecta las notificaciones obligatorias ni tu capacidad de usar el Servicio.

Sin correos de marketing

Actualmente no enviamos correos electrónicos de marketing, promocionales ni publicitarios. Todos los correos del Servicio son transaccionales y están directamente relacionados con la actividad de tu cuenta, facturación, seguridad o gestión del equipo. Si introducimos comunicaciones de marketing en el futuro, obtendremos primero tu consentimiento explícito.

Cifrado

Todos los datos en tránsito se cifran usando TLS 1.3 con HSTS (HTTP Strict Transport Security) aplicado con un max-age de dos años, incluidos subdominios y precarga de HSTS. Todos los datos en reposo se cifran usando cifrado AES-256 gestionado por nuestro proveedor de base de datos. Las credenciales de Channel Account (como los tokens de API) se almacenan en un vault cifrado dedicado con cifrado AES-256-GCM y se descifran solo en el momento de uso.

Autenticación y control de acceso

Usamos autenticación sin contraseña (enlaces mágicos) para eliminar vectores de ataque relacionados con contraseñas, como el relleno de credenciales, los ataques de fuerza bruta y la reutilización de contraseñas. La protección CAPTCHA previene los intentos de inicio de sesión automatizados. El control de acceso basado en roles (Owner, Admin, Manager, Analyst) garantiza que los miembros del equipo solo puedan acceder a las funciones y datos apropiados para su rol dentro de una Organization.

Aislamiento de datos

Todas las tablas de la base de datos aplican políticas de seguridad a nivel de fila (RLS) que garantizan el aislamiento completo de datos entre Organizations. Un usuario en una Organization no puede acceder, ver ni modificar ningún dato perteneciente a otra Organization. Este aislamiento se aplica a nivel de base de datos y abarca cada consulta.

Encabezados de seguridad

Nuestra aplicación web aplica encabezados de seguridad estrictos que incluyen: Política de Seguridad de Contenido (CSP) con fuentes de scripts basadas en nonce para prevenir el cross-site scripting (XSS); X-Frame-Options para prevenir el clickjacking; X-Content-Type-Options para prevenir el sniffing de MIME; una Referrer-Policy estricta; y una Permissions-Policy que deshabilita el acceso a funciones del dispositivo (cámara, micrófono, geolocalización, API de pago y otras) que el Servicio no usa.

Limitación de tasa

Implementamos limitación de tasa en múltiples niveles: limitación de tasa a nivel de API para llamadas a servicios externos (Channel APIs), limitación de tasa de acciones del servidor para prevenir el abuso de los endpoints de la aplicación, y verificación CAPTCHA para prevenir ataques automatizados en el flujo de autenticación.

Monitoreo y respuesta a incidentes

Usamos herramientas de monitoreo de errores y seguimiento de rendimiento para detectar y responder a incidentes de seguridad en tiempo real. Todo el texto y las entradas de formularios se enmascaran automáticamente en las grabaciones de sesión para proteger la privacidad del usuario. Mantenemos registros de auditoría para las acciones administrativas como soporte a las investigaciones de seguridad.

Limitaciones

Aunque implementamos medidas de seguridad estándar de la industria, ningún método de transmisión o almacenamiento electrónico es 100% seguro. No podemos garantizar una seguridad absoluta. Eres responsable de mantener la seguridad de tu cuenta de correo electrónico, que sirve como tu credencial de autenticación, y de revocar de forma oportuna el acceso a los miembros del equipo que ya no deban tenerlo.

Investigación y contención

Investigaremos de inmediato la brecha, tomaremos medidas para contenerla y evaluaremos la naturaleza y el alcance de los datos afectados.

Notificación a usuarios

Notificaremos a los usuarios afectados por correo electrónico con detalles sobre la brecha, incluidos: qué información estuvo involucrada, qué estamos haciendo para abordarla, qué pasos puedes tomar para protegerte y cómo contactarnos para obtener más información.

Notificación regulatoria

Notificaremos a las autoridades regulatorias aplicables según lo requiera la ley. Para residentes de Florida, la notificación se proporcionará a más tardar 30 días después de la determinación de la brecha, en cumplimiento del Florida Statute 501.171. Para residentes de la UE/EEA, notificaremos a la autoridad de control correspondiente dentro de las 72 horas según lo requiere el GDPR Article 33 y notificaremos a las personas afectadas sin dilación indebida cuando la brecha sea probable que genere un alto riesgo para sus derechos y libertades. Para residentes de California, cumpliremos con los requisitos de notificación del California Civil Code 1798.82.

Otras jurisdicciones

Cuando otras jurisdicciones impongan requisitos de notificación de brechas (incluidos, entre otros, la PIPEDA de Canadá, el esquema de Brechas de Datos Notificables de Australia, la LGPD de Brasil y varias leyes estatales de EE.UU.), cumpliremos con los plazos y procedimientos aplicables.