Política de privacidad

El responsable del tratamiento de sus datos personales es Aspire Digital LLC, una empresa registrada en los Estados Unidos. Para consultas relacionadas con la privacidad, solicitudes de interesados o preguntas sobre esta Política, comuníquese con nuestro Delegado de Protección de Datos en privacy@stoxbay.com.

Para los usuarios del Espacio Económico Europeo (EEE), Reino Unido, Arabia Saudita, Emiratos Árabes Unidos, Jordania, Estados Unidos (incluida California) y Canadá, pueden aplicarse derechos y protecciones adicionales como se describe en esta Política.

2.1 Información que usted proporciona directamente

• Datos de la cuenta: nombre completo, nombre de la empresa (para cuentas comerciales), dirección de correo electrónico, número de teléfono, rol de la cuenta (proveedor de almacenes, cliente comercial, cliente individual), idioma preferido y contraseña.
• Verificación empresarial: números de registro comercial, números de registro fiscal y fechas de vencimiento (para proveedores de almacenes y clientes comerciales).
• Datos del perfil: fotos de perfil, avatares, descripciones comerciales e información de los miembros del equipo.
• Datos de listados de almacenes (solo proveedores): nombres de almacenes, direcciones, descripciones, características, precios, disponibilidad, fotos y horarios de trabajo.
• Datos de transacciones: solicitudes de cotización (RFQ), cotizaciones, reservas, facturas, envíos, registros de inventario y mensajes dentro de la plataforma.
• Información de pago: procesada directamente por nuestro procesador de pagos Stripe; solo recibimos los últimos cuatro dígitos de las tarjetas de pago y los metadatos de la transacción, no los números completos de las tarjetas.
• Comunicaciones: mensajes que envía a través de nuestros formularios de contacto, canales de soporte y notas de aclaración dentro de la plataforma.
• Preferencias de marketing: suscripciones a boletines y configuraciones de notificaciones.

2.2 Información recopilada automáticamente

• Datos del dispositivo y registros: dirección IP, identificadores del dispositivo, tipo y versión del navegador, sistema operativo, información de la red móvil, modelo del dispositivo e informes de fallos.
• Datos de uso: páginas visitadas, funciones utilizadas, clics, consultas de búsqueda, URL de referencia, duración de la sesión y marcas de tiempo.
• Datos de ubicación: ubicación aproximada derivada de la dirección IP para los resultados de búsqueda de almacenes. La ubicación precisa solo se recopila si usted otorga permiso explícito en la aplicación móvil.
• Cookies y tecnologías similares: cookies de sesión, cookies de autenticación e identificadores de análisis. Consulte la sección 8 para más detalles.
• Tokens de notificaciones push: identificadores de Firebase Cloud Messaging (Android) y Apple Push Notification service (iOS), solo si usted acepta recibirlas.

2.3 Información de terceros

• Socios de integración: cuando conecta un sistema ERP o CRM (como SAP, Oracle NetSuite, Microsoft Dynamics 365, Odoo, Salesforce, QuickBooks, Xero o Zoho) a través de nuestro marco de conectores, recibimos los datos que usted autoriza a ese sistema a compartir.
• Proveedores de autenticación: si inicia sesión a través de un proveedor externo en el futuro, recibiremos los datos básicos del perfil que compartan con nosotros.
• Procesador de pagos: Stripe comparte con nosotros el estado de la transacción, los identificadores de pago y los códigos de error.

2.4 Datos biométricos

Si habilita el inicio de sesión biométrico (Face ID, Touch ID o huella digital) en nuestras aplicaciones móviles, los datos biométricos se almacenan y procesan íntegramente en su dispositivo por Apple o Google. Stoxbay nunca recibe, transmite ni almacena sus datos biométricos. Solo recibimos una señal de éxito o error del sistema operativo.

2.5 Categorías sensibles

No recopilamos intencionalmente categorías sensibles de datos personales (como origen racial, opiniones políticas, creencias religiosas, datos de salud o datos genéticos). No envíe dicha información a través del Servicio.

Tratamos su información personal para los siguientes fines. Cuando el Reglamento General de Protección de Datos (RGPD) u otras leyes similares apliquen, identificamos la base legal de cada fin:

• Prestar el Servicio (necesidad contractual): crear y gestionar su cuenta, procesar RFQ y cotizaciones, facilitar reservas, gestionar inventario y envíos, emitir facturas y proporcionar mensajería dentro de la plataforma.
• Procesar pagos (necesidad contractual): transmitir datos de transacciones a Stripe, conciliar pagos y gestionar liquidaciones a proveedores.
• Verificar identidad y elegibilidad (obligación legal, interés legítimo): verificar registros comerciales y fiscales de proveedores y clientes comerciales, prevenir fraudes y cumplir con los requisitos de prevención del blanqueo de capitales.
• Soporte al cliente (necesidad contractual, interés legítimo): responder consultas, resolver disputas y proporcionar asistencia técnica.
• Seguridad e integridad de la plataforma (interés legítimo): detectar y prevenir fraudes, abusos, spam, intentos de desintermediación e incidentes de seguridad.
• Comunicaciones de marketing (consentimiento): enviar boletines, actualizaciones de productos y contenido promocional solo cuando usted haya optado por recibirlos. Puede retirar su consentimiento en cualquier momento.
• Análisis y mejora (interés legítimo): medir el uso, diagnosticar errores, comprender la adopción de funciones y mejorar el Servicio.
• Cumplimiento legal (obligación legal): cumplir con la declaración de impuestos, regulaciones de facturación electrónica (incluida ZATCA en Arabia Saudita), órdenes judiciales y solicitudes regulatorias.
• Investigación agregada y evaluación comparativa (interés legítimo): producir estadísticas anonimizadas y análisis de mercado que no identifiquen a ningún individuo.

4.1 Entre participantes de la plataforma

Para facilitar las transacciones, compartimos información de identificación limitada entre proveedores de almacenes y clientes. Los proveedores ven el nombre de la empresa del cliente, el nombre del contacto y el tipo de cuenta cuando se envía un RFQ; los clientes ven los nombres de los proveedores y los detalles del almacén. No compartimos direcciones de correo electrónico, números de teléfono ni otros datos de contacto directo entre las partes a menos que sea necesario para cumplir con una reserva confirmada. Se proporciona mensajería dentro de la plataforma para que las partes puedan comunicarse sin intercambiar datos de contacto.

4.2 Proveedores de servicios y subencargados del tratamiento

Contamos con proveedores de servicios externos cuidadosamente seleccionados para operar el Servicio, incluyendo:

• Supabase (base de datos PostgreSQL, autenticación, almacenamiento, tiempo real) — Estados Unidos.
• Stripe (procesamiento de pagos, suscripciones) — Estados Unidos e Irlanda.
• Resend (entrega de correo electrónico transaccional) — Estados Unidos.
• Vercel (alojamiento de aplicaciones y entrega de contenido) — Estados Unidos.
• Firebase (notificaciones push, distribución de aplicaciones, informes de fallos) — Google LLC, Estados Unidos.
• Apple Push Notification Service (notificaciones push de iOS) — Estados Unidos.
• Plugins de Capacitor para funcionalidad móvil (cámara, biometría, preferencias) — procesados localmente en su dispositivo.

Cada subencargado del tratamiento está obligado contractualmente a procesar sus datos solo según nuestras instrucciones y a protegerlos adecuadamente. Una lista actualizada de subencargados está disponible a solicitud.

4.3 Divulgaciones legales y de seguridad

Podemos divulgar su información cuando lo exija la ley, una orden judicial, una solicitud gubernamental o cuando sea necesario para proteger nuestros derechos, hacer cumplir nuestros Términos de Servicio, investigar fraudes o proteger la seguridad de nuestros usuarios o del público.

4.4 Transferencias empresariales

Si participamos en una fusión, adquisición, financiamiento o venta de activos, su información personal puede ser transferida como parte de esa transacción. Le notificaremos y continuaremos respetando esta Política o proporcionaremos una política actualizada consistente con sus derechos.

4.5 Venta de información personal

No vendemos su información personal a cambio de una contraprestación monetaria ni realizamos publicidad dirigida basada en su información personal. Los residentes de California tienen derecho a optar por no participar en cualquier venta futura bajo la CCPA/CPRA.

Stoxbay opera a nivel global, con usuarios en Arabia Saudita, Emiratos Árabes Unidos, Jordania, Estados Unidos y Canadá. Nuestra infraestructura principal está alojada en los Estados Unidos. Cuando su información personal se transfiere desde el Espacio Económico Europeo, el Reino Unido u otra jurisdicción con restricciones de transferencia de datos, nos basamos en salvaguardas apropiadas, incluidas las Cláusulas Contractuales Tipo, las decisiones de adecuación (cuando estén disponibles) y medidas técnicas complementarias como el cifrado en tránsito y en reposo.

Conservamos su información personal solo durante el tiempo necesario para cumplir con los fines descritos en esta Política, cumplir con las obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Los períodos de retención típicos son:

• Datos de la cuenta: durante la vigencia de su cuenta más 24 meses después del cierre.
• Registros transaccionales (reservas, facturas, pagos): hasta 7 años según lo requieran las leyes fiscales y de conservación de registros comerciales.
• Comunicaciones y tickets de soporte: hasta 36 meses después de la resolución.
• Preferencias de marketing: hasta que retire su consentimiento.
• Registros de auditoría y seguridad: hasta 24 meses.
• Datos anonimizados y agregados: pueden conservarse indefinidamente.

Implementamos medidas técnicas y organizativas apropiadas para proteger su información personal contra el acceso no autorizado, la alteración, la divulgación o la destrucción. Estas medidas incluyen:

• Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256).
• Políticas de seguridad a nivel de fila en todas las tablas de la base de datos para aplicar el control de acceso en la capa de datos.
• Soporte de autenticación multifactor (aplicaciones de autenticación TOTP).
• Almacenamiento seguro de credenciales mediante hashing bcrypt para contraseñas y cifrado AES-256-GCM para credenciales de conectores.
• Revisiones de seguridad periódicas, escaneo de dependencias y pruebas de penetración.
• Principio de mínimo privilegio para el acceso del personal y registro de auditoría de acciones administrativas.

Ningún sistema es completamente seguro. Si tenemos conocimiento de una violación de seguridad que afecte su información personal, le notificaremos a usted y a las autoridades supervisoras pertinentes dentro de las 72 horas cuando lo exija la ley.

Utilizamos cookies y tecnologías similares para los siguientes fines:

• Estrictamente necesarias: autenticación, gestión de sesiones, protección CSRF y balanceo de carga. Estas no se pueden desactivar.
• Preferencias: recordar su idioma, moneda, configuración regional y ajustes de la interfaz de usuario.
• Análisis: comprender cómo los usuarios interactúan con el Servicio para mejorarlo.

Puede controlar las cookies no esenciales a través de la configuración de su navegador o dispositivo. Desactivar las cookies puede afectar la funcionalidad del Servicio.

Dependiendo de su jurisdicción, usted tiene algunos o todos los siguientes derechos con respecto a su información personal:

• Acceso: solicitar una copia de la información personal que tenemos sobre usted.
• Rectificación: corregir información inexacta o incompleta.
• Supresión: solicitar la eliminación de su información personal, sujeta a las obligaciones legales de retención.
• Restricción: restringir el tratamiento en determinadas circunstancias.
• Portabilidad: recibir sus datos en un formato estructurado, de uso común y legible por máquina.
• Oposición: oponerse al tratamiento basado en intereses legítimos o con fines de marketing directo.
• Retirar el consentimiento: retirar el consentimiento para el tratamiento basado en el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.
• Presentar una reclamación: presentar una reclamación ante su autoridad local de protección de datos.
• Optar por no participar en la venta/uso compartido: los residentes de California pueden optar por no participar en la venta o el uso compartido de información personal (actualmente no vendemos ni compartimos con fines publicitarios).
• No discriminación: no recibirá un trato discriminatorio por ejercer sus derechos.

Para ejercer cualquiera de estos derechos, envíe un correo electrónico a privacy@stoxbay.com. Responderemos dentro de los 30 días (o el plazo establecido por la ley aplicable). Es posible que necesitemos verificar su identidad antes de atender la solicitud.

10.1 Espacio Económico Europeo y Reino Unido (RGPD / RGPD del Reino Unido)

Usted tiene derecho a presentar una reclamación ante su Autoridad Nacional de Protección de Datos. Nuestras bases legales para el tratamiento son la necesidad contractual, los intereses legítimos, las obligaciones legales y el consentimiento, según se identifica en la Sección 3.

10.2 California (CCPA / CPRA)

Los residentes de California tienen derecho a saber qué información personal recopilamos, derecho a eliminar información personal, derecho a corregir información personal inexacta, derecho a optar por no participar en la venta o el uso compartido de información personal y derecho a limitar el uso de información personal sensible. No utilizamos información personal sensible para fines más allá de los razonablemente esperados por un consumidor.

10.3 Arabia Saudita (PDPL)

Según la Ley de Protección de Datos Personales de Arabia Saudita, usted tiene derechos a ser informado, a acceder a sus datos, a solicitar la corrección y a solicitar la destrucción de sus datos. Para las transferencias internacionales de datos fuera del Reino de Arabia Saudita, cumplimos con los requisitos de la PDPL y sus reglamentos de implementación.

10.4 Emiratos Árabes Unidos (PDPL)

Según el Decreto-Ley Federal No. 45 de 2021 de los Emiratos Árabes Unidos sobre la Protección de Datos Personales, usted tiene derechos a solicitar información, corrección, restricción, oposición, eliminación y portabilidad de datos.

10.5 Canadá (PIPEDA)

Según la Ley de Protección de Información Personal y Documentos Electrónicos, usted tiene derecho a acceder y corregir su información personal y a retirar el consentimiento para el tratamiento.

El Servicio está destinado a usuarios que tengan al menos 18 años o la mayoría de edad en su jurisdicción. No recopilamos intencionalmente información personal de menores de 13 años (o menores de 16 años en el Espacio Económico Europeo). Si cree que hemos recopilado información de un menor de forma inadvertida, contáctenos y la eliminaremos de inmediato.

El Servicio puede contener enlaces a sitios web o servicios de terceros que no operamos. Esta Política de Privacidad no se aplica a esos terceros. Le recomendamos que revise sus políticas de privacidad antes de proporcionarles información personal.

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, requisitos legales o el Servicio. Cuando realicemos cambios materiales, se lo notificaremos por correo electrónico o mediante un aviso dentro de la aplicación y actualizaremos la fecha de "Última actualización" anterior. El uso continuado del Servicio después de la fecha de entrada en vigor de los cambios constituye su aceptación de la Política actualizada.

Si tiene alguna pregunta sobre esta Política de Privacidad, desea ejercer sus derechos o tiene una inquietud sobre privacidad, contáctenos:

• Correo electrónico: privacy@stoxbay.com
• Delegado de Protección de Datos: dpo@stoxbay.com
• Dirección postal: Aspire Digital LLC, 9600 Great Hills Trail, Suite 150W, Austin, TX 78759, Estados Unidos.