Política de privacidad

1. Alcance

Esta política describe cómo P4 Software, operadora de cifraHQ Enterprise ("nosotros", "la compañía"), recolecta, procesa, almacena y protege información personal en el contexto del servicio SaaS B2B cifraHQ Enterprise. Aplica al sitio público enterprise.cifrahq.com y a la plataforma operativa entregada a clientes Enterprise.

2. Datos que recolectamos

Recolectamos dos categorías de datos:

• Datos de cuenta. Nombre, correo electrónico corporativo, cargo, compañía y credenciales de acceso de los usuarios autorizados por el cliente Enterprise.
• Analítica de uso. Métricas agregadas de uso del sitio público vía Plausible Analytics. Plausible no utiliza cookies, no rastrea identidad personal y no genera perfiles por visitante. Los datos se agregan a nivel de página.

3. Propósitos del procesamiento

Los datos se procesan con los siguientes propósitos:

• Proveer el servicio contratado: autenticación, autorización, ejecución de operaciones del ERP.
• Comunicar avisos operacionales: incidentes, mantenimientos programados, cambios contractuales.
• Soporte técnico y Customer Success durante el ciclo de vida del contrato.
• Auditoría interna, cumplimiento regulatorio y evidencia para SOC 2 Type I.
• Mejora del producto mediante analítica agregada de uso (sin datos personales identificables).

4. Subprocesadores

El servicio opera sobre los siguientes subprocesadores:

• Microsoft Azure. Alojamiento de aplicación, base de datos SQL Server por tenant y almacenamiento cifrado. Regiones específicas negociadas por contrato.
• Azure Communication Services. Envío de correo electrónico transaccional para notificaciones, invitaciones y alertas operacionales.
• Plausible Analytics. Analítica del sitio público. Sin cookies, sin rastreo individual, sin vinculación a identidad personal.

La lista vigente de subprocesadores y las regiones de despliegue específicas del tenant forman parte del anexo de seguridad del contrato Enterprise.

5. Retención de datos

Los datos operacionales del cliente se conservan durante la vigencia del contrato. Al terminar, el cliente tiene noventa días para exportar sus datos vía API pública o export-bridge; transcurrido ese plazo, la base de datos del tenant se elimina de forma irreversible. Los datos de auditoría internos, requeridos por SOC 2 y por obligaciones regulatorias, se conservan por un plazo adicional definido en el anexo contractual.

6. Derechos del titular

Los titulares de datos personales tienen los derechos de acceso, rectificación, cancelación y oposición reconocidos por la legislación aplicable en su jurisdicción. Nos ajustamos a los marcos regulatorios de las jurisdicciones en que operamos, incluyendo la Ley 81 de Protección de Datos Personales de Panamá, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, y legislaciones equivalentes en Colombia, Costa Rica y otras jurisdicciones de Latinoamérica.

Para ejercer cualquiera de estos derechos, el titular puede escribir al correo de contacto indicado en la sección 9 de este documento. La solicitud se atiende dentro de los plazos establecidos por la ley aplicable.

7. Transferencias de datos

Los datos del cliente residen en la región de Azure acordada en el contrato. Por defecto se despliegan en regiones dentro de Latinoamérica o Estados Unidos para clientes regionales, con residencia específica negociable cuando el cliente lo requiera por regulación local. Las transferencias entre regiones, cuando ocurren (por ejemplo, para respaldo geográfico), se realizan con cifrado en tránsito y permanecen dentro de la red de Microsoft Azure.

8. Seguridad

Los controles de seguridad aplicables al servicio se describen en detalle en /seguridad y en el anexo de seguridad del contrato. Incluyen cifrado en reposo y en tránsito, aislamiento por tenant, gestión de secretos en Azure Key Vault, y procesos auditados bajo SOC 2 Type I.

9. Contacto

Para solicitudes relacionadas con privacidad, ejercicio de derechos del titular o reportes de incidentes que involucren datos personales, contáctenos a través de la página de contacto. El equipo de cumplimiento da seguimiento formal a cada solicitud dentro de los plazos legales.

10. Cambios a esta política

Los cambios materiales a esta política se notifican a los clientes Enterprise vigentes con al menos treinta días de antelación mediante correo electrónico al contacto administrativo designado. La fecha de la última revisión se indica al inicio de este documento.