Política de Privacidad
Última actualización: 19 de mayo de 2026
Resumen
- Para un escaneo gratis recopilamos tu email + la URL que envías + tu IP + user-agent. Nada más.
- Si creas una cuenta guardamos también tu nombre, empresa opcional, hash de contraseña y (si te suscribes) tu Stripe customer ID. Ningún dato de tarjeta toca nuestros servidores — vive en Stripe.
- Este sitio usa SysWP Radar para contar visitas. Sin cookies de tracking, sin PII, sin rastreo entre sitios.
- Compartimos datos con Resend (email), OpenRouter (análisis IA), Browserless (renderizado) y Stripe (pagos) — solo lo necesario.
- Usuarios logueados pueden exportar o borrar su cuenta con un clic desde /account/settings. Si no: dpo@auditto.pro — respuesta en hasta 30 días.
1. Quiénes somos
Auditto es un producto operado por SysWP — verificador
independiente de cumplimiento GDPR / CCPA / LGPD para sitios web. Operamos
auditto.pro y auditto.syswp.com.br
y sus subdominios (api.auditto.pro,
app.auditto.pro).
Encargado de Protección de Datos (DPO): dpo@auditto.pro. Dirección física y datos societarios disponibles a pedido para titulares que ejerzan sus derechos.
2. Datos que recopilamos
2.1 Cuando envías un escaneo gratis
- La URL del sitio que quieres escanear.
- Tu email (para enviarte el enlace del reporte).
- Tu dirección IP y user-agent en el momento de la petición (anti-fraude).
- Timestamp del consentimiento (cuando marcaste la casilla de aceptación).
2.2 Datos generados por el escaneo
Para entregar el servicio, ejecutamos peticiones HTTP públicas al sitio que enviaste y almacenamos: peticiones de red observadas, cookies seteadas, texto público de la política de privacidad, findings de cumplimiento y plan de acción. Estos datos no son personales tuyos — son metadatos sobre el sitio escaneado.
2.3 Cuando creas una cuenta
Para entregarte un panel personal en /account almacenamos:
- Email (identificador de cuenta y destino de notificaciones del sistema).
- Nombre y opcionalmente nombre de empresa (visibles en tu panel, usados en recibos).
- Hash de contraseña con
password_hash()de PHP (bcrypt costo 12). Nunca vemos tu contraseña en texto plano. - Token de sesión (JWT) guardado en localStorage del navegador en
auditto.pro, vigencia 30 días. Mantiene tu sesión activa. No es una cookie de tracking — ver Sección 6. - Tokens de magic link (un solo uso, vigencia 24h) que te enviamos por email para verificación, reset de contraseña y onboarding desde el email del escaneo gratis.
- API keys que generes (solo su hash bcrypt + los 4 últimos caracteres del prefijo — no podemos recuperar el texto plano, hay que regenerar si la pierdes).
- Historial de auditorías: qué sitios escaneaste, vinculados a tu
user_id, y los scores resultantes. - Timestamps de login + auditoría para seguridad (último login, última IP, anti-fraude).
2.4 Cuando te suscribes a un plan de pago
Al hacer clic en Upgrade te redirigimos a Stripe Checkout. Stripe recolecta los datos de tarjeta directamente — nunca vemos número, CVV ni dirección de facturación. Desde el webhook de Stripe guardamos de nuestro lado:
- Stripe customer ID (ej.
cus_…) para mapear el cliente Stripe a tu cuenta. - Stripe subscription ID + plan actual + estado (activa / cancelada / impago).
- Código de país (retornado por Stripe desde tu dirección de facturación) — usado para IVA y para decidir qué dominio de marca aloja tus reportes.
- Recibos / facturas permanecen en Stripe; solo enlazamos desde tu panel.
Stripe es responsable de los datos de tarjeta; nosotros somos responsables del registro de tu cuenta + el vínculo entre tu email y tu Stripe customer ID.
2.5 Analítica de visita (SysWP Radar)
Este sitio usa SysWP Radar (radar.syswp.com.br),
herramienta de analítica first-party de nuestro grupo SysWP. Radar registra solo:
- URL visitada
- Referer (de dónde viniste)
- User-agent (tipo de navegador, sin identificadores personales)
- País aproximado (vía IP, luego descartado)
Lo que Radar NO hace: no usa cookies, no usa fingerprinting de dispositivo, no rastrea entre sitios, no vincula visitas a identidad personal, no comparte datos con ningún tercero fuera del grupo SysWP. Datos alojados en Brasil.
3. Para qué usamos tus datos (bases legales GDPR Art. 6)
| Finalidad | Base legal |
|---|---|
| Ejecutar el escaneo que solicitaste | Ejecución de contrato (Art. 6(1)(b)) |
| Enviarte el enlace del reporte por email | Ejecución de contrato (Art. 6(1)(b)) |
| Mostrar el reporte públicamente (free tier) | Consentimiento (Art. 6(1)(a)) |
| Mantener tu cuenta + panel | Ejecución de contrato (Art. 6(1)(b)) |
| Procesar pagos de suscripción vía Stripe | Ejecución de contrato (Art. 6(1)(b)) |
| Emitir facturas / registros de IVA | Obligación legal (Art. 6(1)(c)) |
| Enviar magic links / emails de verificación | Ejecución de contrato (Art. 6(1)(b)) |
| Prevenir abuso (rate limit por IP/email) | Interés legítimo (Art. 6(1)(f)) |
| Medir tráfico del sitio (Radar) | Interés legítimo (Art. 6(1)(f)) |
| Cumplir obligaciones legales | Obligación legal (Art. 6(1)(c)) |
4. Con quién compartimos
Compartimos solo lo estrictamente necesario para entregar el servicio. Cada proveedor de abajo es un encargado del tratamiento (GDPR Art. 28) que procesa datos en nuestro nombre, con contrato DPA firmado.
SysWP Radar
BR · radar.syswp.com.brAnalítica first-party del grupo SysWP. Recibe URL visitada, referer, user-agent. Sin datos personales explícitos. Alojado en Brasil.
Resend
US · resend.comProveedor de email transaccional. Recibe: tu email + cuerpo del email con enlace al reporte. No usa para marketing. Política de retención de Resend: 30 días para mensajes enviados.
OpenRouter / Anthropic
US · openrouter.aiEnrutador de modelos IA para extraer hechos de la política del sitio que enviaste. Recibe: texto público de la política del sitio escaneado (no tus datos personales). Configurado con retención de datos cero en modelos Anthropic.
Browserless (self-hosted)
BR · browserless.syswp.onlineRenderizado headless de páginas web (Chromium). Self-hosted en nuestro servidor BR. Sin transferencia a terceros, sin retención.
Stripe
US / IE · stripe.comProcesador de pagos para planes pagos. Stripe es responsable independiente de los datos de tarjeta — nunca vemos número, CVV ni dirección de facturación completa. Recibimos solo customer ID, estado de suscripción, código de país y la URL de tu factura. Stripe cumple GDPR, está certificada PCI-DSS Level 1 y es signataria del EU-US Data Privacy Framework. Su política: stripe.com/privacy.
No vendemos tus datos. No compartimos con agencias publicitarias, brokers de datos, redes sociales ni herramientas de marketing analytics.
5. Transferencias internacionales (GDPR Capítulo V)
Tres de nuestros encargados (Resend, OpenRouter, Stripe) operan o tienen infraestructura en Estados Unidos. La transferencia ocurre bajo las siguientes garantías:
- Cláusulas Contractuales Tipo (SCC) firmadas con cada proveedor.
- EE.UU. es signatario del EU-US Data Privacy Framework (DPF), sucesor del Privacy Shield.
- Volumen mínimo: enviamos solo lo estrictamente necesario para la finalidad declarada.
- Consientes esta transferencia al enviar el escaneo gratis.
Residentes de México: bajo LFPDPPP estas transferencias se realizan con tu consentimiento expreso (Art. 36) y los proveedores aplican medidas equivalentes a las nacionales (Art. 37).
6. Cookies y almacenamiento local
No tenemos cookies publicitarias, analíticas ni trackers de terceros de ningún tipo. Puedes verificarlo en DevTools (F12 → Application → Cookies). El único almacenamiento de navegador que usamos está descrito abajo — todo es estrictamente necesario según el Considerando 30 del GDPR / Art. 5(3) de la Directiva ePrivacy, y por tanto no requiere banner de consentimiento.
6.1 Qué guardamos, dónde
| Clave | Dónde | Finalidad | Vigencia |
|---|---|---|---|
auditto_token | localStorage en auditto.pro | Mantiene tu sesión en /account/*. Se setea solo después de iniciar sesión. | 30 días (o hasta logout) |
auditto_sid | Cookie en api.auditto.pro (HttpOnly, Secure, SameSite=Lax) | Sesión server-side para el panel admin (solo personal SysWP) y callbacks OAuth. | 30 días |
auditto_csrf | Cookie en api.auditto.pro (Secure, SameSite=Lax) | Token anti-CSRF del panel admin. | Sesión |
| "banner descartado", "idioma" | localStorage en el navegador | Recordar preferencias de UI (banner cerrado, idioma elegido). | Hasta que limpies el navegador |
6.2 Almacenamiento de terceros
Al visitar una página de reporte público no embebemos nada de terceros.
Al hacer clic en Upgrade te redirigimos a checkout.stripe.com
— ahí Stripe define sus propias cookies (fuera de nuestro control, regidas por la
política de cookies de Stripe).
SysWP Radar (sección 2.5) es deliberadamente cookie-free.
6.3 Cómo desactivar
Puedes limpiar localStorage y cookies en cualquier momento desde la configuración de tu navegador — eso cerrará tu sesión y reseteará preferencias de UI, pero no se pierde ningún dato de nuestro lado.
7. Retención
| Dato | Período |
|---|---|
| Reportes de escaneo (públicos + privados) | 180 días tras último acceso |
| Email del solicitante (sin cuenta) | 24 meses tras último escaneo |
| Registro de cuenta (email, nombre, hash) | Hasta que borres tu cuenta |
| Tokens de magic link / verificación | 24h (purgados automáticamente) |
| JWT de sesión en localStorage | 30 días (puedes limpiarlo cuando quieras) |
| Facturas / registros de cobro | 5 años (legislación fiscal, GDPR Art. 6(1)(c)) |
| Stripe customer ID tras borrar cuenta | Desvinculado de nuestro lado; Stripe retiene según su política |
| Log de rate limit (IP) | 30 días |
| Logs de error del servidor | 90 días |
| Métricas agregadas de Radar | indefinido (sin identificación) |
8. Tus derechos (GDPR Capítulo III)
Como titular bajo GDPR (Arts. 15-22) tienes derecho a:
- Acceder a los datos que tenemos sobre ti (Art. 15).
- Rectificar datos incompletos o inexactos (Art. 16).
- Suprimir ("derecho al olvido") tus datos (Art. 17).
- Limitar el tratamiento en determinados casos (Art. 18).
- Portar tus datos en formato estructurado y legible (Art. 20).
- Oponerte al tratamiento basado en interés legítimo (Art. 21).
- Retirar consentimiento en cualquier momento (Art. 7(3)).
- Presentar reclamación ante tu autoridad nacional de control.
Residentes en México tienen derechos ARCO equivalentes (Acceso, Rectificación, Cancelación, Oposición) bajo LFPDPPP Arts. 22-31. Residentes en California tienen los derechos equivalentes bajo CCPA + CPRA.
Autoservicio (recomendado): si tienes cuenta Auditto puedes exportar todos tus datos en JSON o borrar tu cuenta permanentemente con un clic desde /account/settings. Borrar la cuenta también cancela cualquier suscripción Stripe activa y desvincula el Stripe customer ID de nuestro lado.
Si lo prefieres, escribe a dpo@auditto.pro. Respondemos en hasta 30 días. Identifícate con el email que usaste originalmente para verificar la solicitud.
9. Seguridad (GDPR Art. 32)
Aplicamos medidas técnicas y organizativas apropiadas al riesgo:
- TLS 1.2+ en todas las conexiones (HSTS preload).
- Hash bcrypt costo-12 en todas las contraseñas de cuenta (admin + cliente). Texto plano nunca se almacena ni se logea.
- API keys con hash bcrypt — solo los últimos 4 caracteres del prefijo se guardan para mostrar en la UI.
- JWT de sesión firmado con HMAC-SHA256; el payload contiene solo el UUID del usuario + expiración.
- Base de datos en VPC privada, acceso solo desde la red interna del proyecto.
- Logs de acceso retenidos por 90 días.
- Backup diario cifrado de la base de datos.
- Headers de seguridad: HSTS, CSP, X-Frame-Options DENY, Permissions-Policy restrictiva.
- Webhooks de Stripe verificados con HMAC-SHA256 + ventana de tolerancia de 5 minutos (protección anti-replay).
10. Menores
No dirigimos nuestros servicios a menores de 16 años (UE) / 13 años (US). Si descubrimos que recopilamos datos de un menor sin consentimiento parental, los borramos inmediatamente.
11. Cambios en esta política
Cambios materiales (nuevos encargados, nuevos tipos de recopilación, cambio de retención) se comunican por email a usuarios activos con al menos 30 días de antelación. Cambios cosméticos (corrección de redacción, ajuste de enlace) son silenciosos. El campo "Última actualización" arriba siempre refleja la versión actual.
12. Ley aplicable
Para residentes UE: Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) y la ley de protección de datos del estado miembro de tu residencia. Residentes en México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Residentes en California: CCPA (modificada por CPRA).
13. Contacto
Encargado de Protección de Datos (DPO): dpo@auditto.pro
Soporte general: ola@auditto.pro
Autoridades de control: residentes UE encuentran su DPA nacional en
edpb.europa.eu;
España en aepd.es;
México en inai.org.mx;
California en cppa.ca.gov.
