Documentación legal
Política de Privacidad
suba — Política de Privacidad · Última actualización: Marzo 2026
1. Responsable del Tratamiento
suba (en adelante "nosotros" o "la plataforma") es responsable del tratamiento de los datos personales recopilados a través de la aplicación y servicios asociados.
2. Datos que Recopilamos
2.1 Datos de cuenta
- Nombre completo, dirección de email
- Hash de contraseña (nunca la contraseña en texto plano)
- Clave pública RSA (parte pública del par de claves E2EE)
- Nombre y datos del negocio (nombre, RUC, dirección, logo)
- Avatar / foto de perfil (opcional)
2.2 Datos de uso y telemetría
- Métricas técnicas: número de peticiones HTTP, duración, errores (sin datos de negocio)
- Logs de acceso: IP de origen, user-agent, timestamp (para seguridad y auditoría)
- Estado de la suscripción y plan activo
- Tokens de dispositivo para notificaciones push (Firebase Cloud Messaging)
2.3 Datos que el servidor NUNCA ve (E2EE)
- Contraseña del usuario (solo se usa para derivar la clave E2EE localmente)
- Clave privada RSA del usuario (cifrada antes de enviarse)
- Frase semilla / llave maestra E2EE
- Datos de productos, ventas y clientes protegidos con E2EE (si el usuario activa esta función)
2.4 Datos de terceros
- Tokens de compra de Google Play Billing (para verificar suscripciones)
- No compartimos datos con terceros publicitarios
3. Finalidad del Tratamiento
Los datos se usan para:
- Prestar el servicio contratado (gestión del negocio)
- Verificar identidad y gestionar sesiones seguras
- Enviar notificaciones transaccionales (recordatorios de pago, alertas de stock, avisos de suscripción)
- Detectar y prevenir actividad fraudulenta o abuso
- Mejorar el servicio mediante análisis de métricas técnicas anónimas
- Cumplir obligaciones legales
4. Retención de Datos
| Tipo de dato | Período de retención |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa |
| Datos tras cancelación | 30 días para exportación |
| Logs de auditoría | 12 meses (plan Premium) |
| Logs de acceso / seguridad | 90 días |
| Métricas de Prometheus | 15 días |
| Tokens de dispositivo inactivos | 90 días sin uso |
5. Derechos del Usuario
El usuario tiene derecho a:
Acceso
Solicitar una copia de sus datos personales
Rectificación
Corregir datos incorrectos o incompletos
Supresión
Solicitar la eliminación de su cuenta y datos
Portabilidad
Exportar todos sus datos en formato CSV o JSON
Oposición
Oponerse a ciertos tratamientos de datos
Para ejercer estos derechos, contactar a: [email protected]
6. Seguridad de los Datos
- Comunicaciones cifradas con TLS 1.3 en tránsito
- Base de datos MongoDB con autenticación y cifrado en reposo
- Redis con autenticación y acceso restringido por red
- Cabeceras de seguridad HTTP (Helmet: CSP, HSTS, X-Frame-Options, etc.)
- Rate limiting en endpoints sensibles para prevenir fuerza bruta
- Auditoría de accesos con IP y user-agent
- Personal con acceso mínimo necesario (principio de mínimo privilegio)
7. Cookies y Almacenamiento Local
La aplicación móvil no usa cookies. El panel web usa:
- LocalStorage / SessionStorage: tokens de sesión JWT (sin datos de negocio)
- No se usan cookies de tracking ni publicidad de terceros
8. Transferencias Internacionales
Los datos se almacenan en servidores en la región del servidor. En caso de transferencia a terceros países, se garantizan mecanismos adecuados de protección conforme al GDPR y leyes locales aplicables.
9. Contacto
Para consultas sobre privacidad, escríbenos a: [email protected]
¿Tienes dudas sobre tus datos?
Ejercer tus derechos es sencillo. Envía un email a [email protected] y respondemos en menos de 48 horas hábiles.