Política de privacidad

1.Información que recopilamos

Información de la cuenta

Cuando crea una cuenta, recopilamos su dirección de correo electrónico, su nombre (opcional), su número de teléfono (opcional) y una versión cifrada (hash) de su contraseña. Nunca almacenamos contraseñas en texto plano.

Datos de autenticación

• Tokens de sesión y reclamaciones (claims) de JWT
• Identificadores de credenciales WebAuthn/passkey y claves públicas
• Secretos TOTP (cifrados en reposo)
• Tokens OAuth de los proveedores conectados (Google, GitHub)

Datos de uso

• Direcciones IP y cadenas de agente de usuario (para el registro de seguridad)
• Marcas de tiempo de inicio de sesión y actividad de la sesión
• Tipo de dispositivo y ubicación aproximada (derivada de la dirección IP)

Datos de perfil

• Foto de perfil (almacenada localmente en nuestros servidores)
• Preferencias del usuario (idioma, zona horaria, ajustes de notificación)

2.Cómo utilizamos su información

• Autenticarle y gestionar sus sesiones
• Prestar servicios de autenticación multifactor
• Enviar alertas de seguridad y correos electrónicos de verificación
• Detectar y prevenir accesos fraudulentos o no autorizados
• Mantener registros de auditoría con fines de seguridad y cumplimiento
• Mejorar nuestra plataforma con base en patrones de uso agregados

3.Intercambio de datos

No vendemos, alquilamos ni intercambiamos su información personal. Solo compartimos datos en las siguientes circunstancias limitadas:

• Proveedores de servicios: envío de correo electrónico (SMTP), envío de SMS (Twilio) — únicamente los datos mínimos necesarios para el servicio
• Proveedores OAuth: cuando decide conectar Google o GitHub, intercambiamos tokens conforme al protocolo OAuth 2.0
• Requisitos legales: cuando lo exija la ley, una citación judicial o para proteger nuestros derechos legales

4.Seguridad de los datos

• Cifrado de extremo a extremo en todas las cargas útiles de autenticación
• La criptografía poscuántica (ML-KEM para el encapsulado de claves, ML-DSA para las firmas digitales) protege frente a las amenazas de la computación cuántica
• Las contraseñas se cifran (hash) mediante bcrypt con rondas de sal
• Todos los datos se transmiten a través de TLS 1.3
• Los tokens JWT se firman con claves resistentes a la computación cuántica y caducan a los 7 días
• Los desafíos WebAuthn utilizan valores aleatorios criptográficos
• Arquitectura de conocimiento cero — las credenciales sensibles nunca son accesibles en texto plano para nuestros servidores
• La detección de anomalías basada en aprendizaje automático identifica patrones de inicio de sesión sospechosos en tiempo real
• La limitación de velocidad y el bloqueo adaptativo protegen frente a los ataques de fuerza bruta
• Las sesiones pueden revocarse de forma individual o en bloque

5.Conservación de los datos

Conservamos los datos de su cuenta mientras su cuenta esté activa. Los registros de actividad se conservan hasta 1 año. Cuando elimina su cuenta, todos los datos asociados se eliminan de forma permanente en un plazo de 30 días.

6.Sus derechos

• Acceso: exportar todos sus datos en formato JSON desde los ajustes de su cuenta
• Rectificación: actualizar la información de su perfil en cualquier momento
• Supresión: eliminar su cuenta y todos los datos asociados
• Portabilidad: descargar una copia completa de sus datos

7.Cookies

Utilizamos una única cookie esencial (auth_token) para mantener su sesión autenticada. Es httpOnly, segura en producción y caduca a los 7 días. No utilizamos cookies de seguimiento ni cookies de análisis de terceros. Consulte nuestra Política de cookies para más detalles.

8.Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando. Le notificaremos los cambios significativos por correo electrónico o mediante un aviso en nuestra plataforma. El uso continuado de nuestros servicios tras los cambios constituye su aceptación.