Volver
EN | ES

Política de Privacidad

Última revisión:

Esta Política de Privacidad describe cómo Zendrhax ("nosotros", "nos") recopila, usa y protege datos personales cuando usás nuestra plataforma SaaS y las apps que vienen dentro (colectivamente, el "Servicio"). Aplica a visitantes, titulares de cuenta, y cada usuario final que un Cliente incorpore al Servicio.

Si tenés una consulta que no aparece abajo, escribinos a privacy@zendrhax.com.

Quiénes somos

A los fines del Reglamento (UE) 2016/679 ("GDPR"), el UK GDPR y leyes equivalentes:

  • Cuando creás una cuenta y usás la plataforma, somos el responsable (controller) de tus datos personales.
  • Cuando un Cliente incorpora a sus propios usuarios finales o contactos comerciales dentro de una app (por ejemplo, creando clientes en la app Invoices), el Cliente es el responsable y nosotros actuamos como encargado (processor). Las condiciones de ese tratamiento están en nuestro Acuerdo de Tratamiento de Datos.

Qué recopilamos

Información que nos das directamente

  • Datos de cuenta — nombre, email de trabajo, contraseña (almacenada como hash Argon2id), idioma y tema preferidos, configuración opcional de 2FA.
  • Datos de espacio de trabajo — los espacios que tenés como Propietario o como miembro, y tu rol en cada uno.
  • Datos de facturación — tokens de método de pago, dirección de facturación, historial de facturas. Los números de tarjeta y CVCs nunca llegan a nuestros servidores — van directo a Stripe, nuestro procesador de pagos.
  • Comunicaciones de soporte — lo que nos mandes a support@zendrhax.com o por el formulario de contacto.

Información que las apps guardan sobre tu negocio

Las apps activadas en tu espacio de trabajo (por ejemplo Invoices) guardan la data que vos ponés ahí: clientes, documentos, líneas, notas. La tenemos como encargado en tu nombre — queda dentro de tu espacio y se incluye en tu exportación de datos.

Información que recopilamos automáticamente

  • Metadata de autenticación — dirección IP, user-agent, etiqueta de dispositivo, timestamps de cada sesión y de cada acción significativa (audit log).
  • Historial de login — intentos exitosos y fallidos, marcados cuando se ven sospechosos para que te avisemos por email.
  • Telemetría operativa — métricas de request, stack traces y contadores de rendimiento para mantener el Servicio sano. Los stack traces pueden contener identificadores pero no bodies de payload.

Información que recibimos de terceros

  • Stripe nos envía eventos de estado de pago para marcar facturas pagas o disparar dunning.
  • Cloudflare Turnstile nos manda un veredicto sobre si un registro se ve como bot.
  • Sentry (cuando el operador lo habilita) recibe reportes de error que la plataforma reenvía.

No compramos ni alquilamos datos personales de data brokers.

Cómo lo usamos

  • Operar el Servicio — autenticarte, llevarte al espacio correcto, renderizar apps, guardar la data que vos y tu equipo cargan.
  • Facturarte — procesar pagos de suscripción y dunning.
  • Proteger la plataforma — detectar abuso, rate-limitar tráfico hostil, mandar alertas de login sospechoso, retener audit logs como rastro forense.
  • Mejorar el producto — analizar métricas agregadas para decidir qué construir después. Nunca leemos tu data de negocio para ideación de producto.
  • Comunicarnos con vos — emails transaccionales (activación, reset de contraseña, recibos de facturación, alertas de seguridad) y digests semanales opcionales que podés desactivar desde tu configuración.

No usamos tus datos personales para publicidad. No los vendemos.

Bases legales (Art. 6 GDPR)

  • Ejecución del contrato — operar el Servicio al que te suscribiste y procesar los pagos que correspondan.
  • Interés legítimo — mantener la plataforma segura, prevenir abuso, comunicarnos sobre tu cuenta. Cuando estos chocan con tus derechos, tus derechos prevalecen.
  • Consentimiento — para features opcionales que vos elegís (digest semanal, cookies no esenciales).
  • Obligación legal — retener registros que estemos obligados a guardar por temas fiscales, contables o pedidos legales con proceso debido.

Compartir con terceros

Compartimos datos personales solo con los sub-procesadores listados en /legal/sub-processors, cada uno bajo contrato escrito que replica las obligaciones que tenemos con vos.

También revelamos data cuando la ley lo requiera (citación, orden judicial, pedido gubernamental válido) y cuando sea necesario para proteger el Servicio, sus usuarios o el público de un daño inminente. Cada revelación queda registrada.

Almacenamiento y retención

  • La data activa queda en el Servicio mientras tu cuenta esté activa.
  • La data de espacio de trabajo sobrevive hasta que el Propietario lo elimine. Conservamos backups de data eliminada hasta 30 días antes de que salgan de retención.
  • Los audit logs se retienen según la feature audit_log_retention_days de tu plan (Free 30 / Starter 90 / Pro 365 / Enterprise ilimitado).
  • La anonimización de cuenta bajo el Art. 17 GDPR scrub-ea PII en el lugar y hace hard-delete de los artefactos de auth. Mirá Eliminar tu cuenta en el Centro de Ayuda.

Hosteamos el Servicio en infraestructura de Hostinger en Europa y Estados Unidos. La data personal puede procesarse en cualquiera de las regiones según la configuración del operador; en todos los casos aplican las mismas protecciones.

Tus derechos

Podés ejercer estos derechos desde tu cuenta o escribiéndonos a privacy@zendrhax.com:

  • AccesoGET /me/data-export devuelve un archivo JSON con toda la data atada a tu usuario. Rate-limited a una exportación cada 24h.
  • SupresiónPOST /me/data-deletion-request programa la anonimización tras una ventana de gracia de 14 días.
  • Rectificación — editá tu perfil desde /settings o escribinos a soporte para campos que la UI no expone.
  • Portabilidad — la exportación de datos es JSON legible por máquina.
  • Restricción / Oposición — escribinos a privacy@zendrhax.com.
  • Denuncia ante la autoridad de protección de datos de tu estado miembro UE, el ICO del Reino Unido, o equivalente local. Preferimos que nos avises a nosotros primero para resolver.

Seguridad

  • TLS 1.2+ para toda data en tránsito.
  • Contraseñas hasheadas con Argon2id; webhook signing secrets y secrets de 2FA almacenados encriptados en reposo.
  • Aislamiento multi-tenant aplicado en cada lectura/escritura.
  • Backups diarios con drills de restore semanales automatizados.
  • Rate limit per-tenant de correo saliente para proteger la reputación del sender cuando un tenant es comprometido.

Las medidas técnicas y organizativas detalladas están en el Anexo B de nuestro DPA.

Menores

El Servicio es para uso comercial y no está dirigido a menores de 16 años. Si creés que un menor se registró, escribinos a privacy@zendrhax.com y removemos la cuenta.

Cambios a esta política

Podemos actualizar esta política a medida que el Servicio evoluciona. Los cambios materiales se anuncian dentro del producto y por email a titulares de cuenta activos al menos 14 días antes de entrar en vigor. La versión actual está siempre en esta URL.

Contacto

  • Consultas generales de privacidad — privacy@zendrhax.com
  • Acuerdo de Tratamiento de Datos — legal@zendrhax.com
  • Soporte al cliente — support@zendrhax.com