Política de Privacidad

• Responsable: Eimer Sebastián Rojas Cañas
• Nombre comercial: Nayra
• Identificación tributaria (NIT): 1.029.646.196-4
• Régimen tributario: No responsable de IVA (persona natural)
• Domicilio: Carrera 19 #23-57, Yopal, Casanare, Colombia
• Correo de contacto para temas de datos: nayra.app7@gmail.com

• Datos de cuenta: nombre, correo electrónico y contraseña (cifrada) al registrarse.
• Datos del negocio: nombre del negocio, número de teléfono e Instagram, ingresados voluntariamente para configurar tu empleado digital.
• Mensajes de WhatsApp: los mensajes de clientes que interactúan con tu empleado digital se procesan para generar respuestas automáticas mediante inteligencia artificial. Se almacenan temporalmente en la memoria del servidor por un máximo de 24 horas para mantener el contexto de la conversación. No se almacenan de forma permanente en nuestra base de datos.
• Datos de citas: nombre del cliente, servicio, fecha y hora de citas agendadas a través del empleado digital.
• Tokens de Google Calendar: si conectas tu Google Calendar, almacenamos los tokens OAuth necesarios para agregar eventos. Nunca accedemos a otros datos de tu cuenta de Google.

• Para operar y mejorar el servicio de automatización de WhatsApp.
• Para enviar reportes diarios y notificaciones al dueño del negocio a través de WhatsApp.
• Para agregar citas al Google Calendar del usuario cuando esta función está habilitada.
• Para procesar pagos y gestionar suscripciones.

Nayra utiliza la API de Google Calendar únicamente para crear eventos de citas en el calendario principal del usuario. Específicamente:

• Solo creamos eventos — nunca leemos, modificamos ni eliminamos eventos existentes.
• Los tokens de acceso se almacenan de forma segura y se usan exclusivamente para esta función.
• Puedes desconectar tu Google Calendar en cualquier momento desde Ajustes → Preferencias.
• Al desconectarlo, eliminamos inmediatamente los tokens almacenados.

No vendemos, alquilamos ni compartimos datos personales con terceros, excepto con los siguientes proveedores de servicio necesarios para operar la plataforma:

• OpenAI: los mensajes de clientes se envían a la API de OpenAI para generar respuestas inteligentes. Consulta la política de privacidad de OpenAI.
• Google: autenticación OAuth y Google Calendar cuando la habilitas. Consulta la política de privacidad de Google.
• MercadoPago: procesamiento de pagos de suscripciones y suscripciones recurrentes (preapproval). Consulta la política de privacidad de MercadoPago.
• ePayco: procesamiento alternativo de pagos. Consulta la política de privacidad de ePayco.
• DigitalOcean: infraestructura de hosting donde se aloja la plataforma. Consulta la política de privacidad de DigitalOcean.
• Resend: envío de correos transaccionales (verificación, bienvenida, recordatorios de pago, recuperación de contraseña). Consulta la política de privacidad de Resend.
• WhatsApp / Meta: plataforma de mensajería sobre la que opera el empleado digital. El uso se hace mediante tecnología de terceros, no oficial. Consulta la política de privacidad de WhatsApp.

Implementamos múltiples capas de seguridad técnicas y administrativas para proteger tus datos personales:

• Cifrado en tránsito: todas las conexiones usan HTTPS/TLS 1.2+ con certificados válidos.
• Cifrado en reposo: los tokens de Google Calendar y otros datos sensibles se cifran con AES-256-GCM antes de almacenarse en la base de datos.
• Contraseñas: hasheadas con bcrypt (10 rondas). Política mínima: 8 caracteres con letras y números.
• Tokens de recuperación de contraseña: almacenados como hash SHA-256, expiran en 30 minutos.
• Sesiones: tokens JWT con expiración. Validación de firma en cada petición.
• Protección contra fuerza bruta: bloqueo temporal de cuenta tras 10 intentos fallidos de inicio de sesión (15 minutos).
• Validación de webhooks: firmas HMAC-SHA256 obligatorias en producción para validar pagos.
• Protección SSRF: bloqueo de URLs internas en webhooks configurados por el usuario.
• Cabeceras de seguridad: Content Security Policy (CSP), HSTS, X-Frame-Options, X-Content-Type-Options.
• Acceso restringido: los datos se almacenan en servidores con acceso limitado por SSH con clave + contraseña fuerte; permisos `chmod 600` en archivos sensibles.
• Copias de seguridad: respaldos automáticos cada 6 horas.
• Monitoreo: sistema de alertas que notifica al responsable ante cualquier incidente de seguridad o fallo crítico.

Los plazos de retención varían según el tipo de dato:

• Mensajes de WhatsApp: hasta 24 horas en memoria del servidor (no se persisten en base de datos).
• Datos de cuenta y del negocio: mientras la cuenta esté activa. Al solicitar eliminación, se borran en máximo 30 días.
• Historial de citas: se conservan junto con la cuenta. Al eliminar la cuenta también se eliminan.
• Tokens de Google Calendar: hasta que desconectes Google Calendar (se eliminan inmediatamente al desconectar).
• Registros de pagos: conservados por 5 años según obligaciones contables y tributarias colombianas (Decreto 2649 de 1993, Art. 134).
• Logs técnicos del servidor: hasta 30 días, usados únicamente para diagnóstico de problemas operativos.

De acuerdo con la Ley 1581 de 2012 (Colombia) y, si aplica, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, tienes los siguientes derechos sobre tus datos personales:

• Acceso: solicitar copia de los datos personales que tenemos sobre ti.
• Rectificación: corregir datos inexactos o desactualizados.
• Supresión ("derecho al olvido"): solicitar la eliminación de tus datos y de tu cuenta.
• Portabilidad: recibir tus datos en un formato estructurado para transferirlos a otro servicio.
• Oposición: oponerte al tratamiento de tus datos para fines determinados.
• Revocar el consentimiento: en cualquier momento, sin que afecte la legalidad del tratamiento previo.

Para ejercer cualquiera de estos derechos, escribe a nayra.app7@gmail.com con tu solicitud. Responderemos en un plazo máximo de 15 días hábiles (Colombia) o 30 días (UE).

Si consideras que no atendimos correctamente tu solicitud, puedes presentar una queja ante la Superintendencia de Industria y Comercio (SIC) en Colombia (esta base de datos está inscrita voluntariamente en el Registro Nacional de Bases de Datos – RNBD), o ante la autoridad de control de protección de datos de tu país de residencia.

Podemos actualizar esta política ocasionalmente. Notificaremos cambios significativos a través del panel de usuario o por correo electrónico con al menos 7 días de anticipación.

Si tienes preguntas sobre esta política de privacidad o sobre el manejo de tus datos, contáctanos: