Aviso de Privacidad
- Responsable del tratamiento
- Datos personales que recopilamos
- Finalidades del tratamiento
- Base legal del tratamiento
- Transferencia a terceros
- Almacenamiento y seguridad
- Plazos de conservación
- Sus derechos ARCO
- Cookies y tecnologías de rastreo
- Menores de edad
- Usuarios de la Unión Europea
- Cambios a este aviso
- Contacto y ejercicio de derechos
1. Responsable del tratamiento
oryum ai, con domicilio en Ciudad Juárez, Chihuahua, México, es el responsable del tratamiento de los datos personales recopilados a través de la plataforma COSIMO (cosimo.oryum.ai) y sus subdominios.
Contacto del responsable de privacidad: cargando...
2. Datos personales que recopilamos
2.1 Datos que usted proporciona directamente
| Dato | Obligatorio | Propósito principal |
|---|---|---|
| Nombre completo o nombre de usuario | Sí | Identificación de cuenta |
| Correo electrónico | Sí | Autenticación y comunicaciones |
| Contraseña (hash bcrypt) | Sí | Seguridad de acceso |
| Número de teléfono | No | Notificaciones WhatsApp/Twilio |
| País de residencia | No | Personalización de moneda y formato |
| Moneda preferida | No | Visualización financiera |
| Fecha de nacimiento | No | Verificación de mayoría de edad |
| Foto de perfil | No | Personalización de cuenta |
| Datos financieros (transacciones, metas, bolsas, patrimonio) | No* | Funcionamiento del servicio |
| API keys de terceros (Claude, ChatGPT, Gemini) | No | IA ilimitada con llave propia |
| Credenciales de notificación (WhatsApp/Telegram) | No | Envío de alertas financieras |
* Los datos financieros son necesarios para el funcionamiento del servicio pero no son obligatorios para crear la cuenta.
2.2 Datos recopilados automáticamente
| Dato | Propósito |
|---|---|
| Dirección IP | Registro de auditoría de acciones administrativas y seguridad |
| Fecha y hora de acceso | Registro de última sesión (last_login) |
| Registro de llamadas a IA (tokens usados, modelo, fecha) | Control de límites diarios por plan |
| Historial de pagos (vía Stripe) | Gestión de suscripciones y cumplimiento fiscal |
| Token JWT de sesión (almacenado en localStorage/sessionStorage del navegador) | Autenticación de sesión |
COSIMO NO recopila: datos biométricos, información de tarjetas de crédito (procesada exclusivamente por Stripe), historial de navegación externo, datos de ubicación en tiempo real, ni información de contactos o redes sociales.
3. Finalidades del tratamiento
3.1 Finalidades primarias (necesarias para el servicio)
- Crear, gestionar y mantener la cuenta del Usuario.
- Autenticar y autorizar el acceso al Servicio mediante JWT.
- Almacenar y sincronizar los datos financieros del Usuario.
- Procesar pagos y gestionar suscripciones a través de Stripe.
- Proporcionar el servicio de inteligencia artificial (COSIMO IA).
- Enviar notificaciones financieras cuando el Usuario lo solicite.
- Recuperar contraseñas mediante códigos de verificación.
- Mantener la seguridad del sistema y prevenir fraudes.
3.2 Finalidades secundarias (puede oponerse)
- Envío de comunicaciones sobre actualizaciones del Servicio o nuevas funcionalidades.
- Análisis agregados y anónimos para mejorar el Servicio.
Para oponerse a las finalidades secundarias, escriba a cargando... indicando "Oposición a finalidades secundarias".
4. Base legal del tratamiento
| Tratamiento | Base legal (México) | Base legal (GDPR) |
|---|---|---|
| Gestión de cuenta y autenticación | Consentimiento / Relación contractual | Art. 6(1)(b) — Ejecución de contrato |
| Almacenamiento de datos financieros | Consentimiento explícito | Art. 6(1)(b) — Ejecución de contrato |
| Procesamiento de pagos | Relación contractual | Art. 6(1)(b) — Ejecución de contrato |
| Registro de auditoría (IP, acciones admin) | Interés legítimo / Seguridad | Art. 6(1)(f) — Interés legítimo |
| Comunicaciones de servicio | Consentimiento | Art. 6(1)(a) — Consentimiento |
| Cumplimiento legal | Obligación legal | Art. 6(1)(c) — Obligación legal |
5. Transferencia de datos a terceros
oryum ai comparte datos con terceros únicamente en los casos siguientes:
| Tercero | Datos compartidos | Propósito | Ubicación |
|---|---|---|---|
| Railway | Todos los datos almacenados en BD PostgreSQL | Infraestructura de servidor y base de datos | EE.UU. |
| Stripe | Email, nombre, datos de pago | Procesamiento de pagos y suscripciones | EE.UU. |
| Anthropic (Claude) | Mensajes enviados al chat de IA | Generación de respuestas de IA | EE.UU. |
| OpenAI (ChatGPT) | Mensajes enviados al chat de IA (si usa esta opción) | Generación de respuestas de IA | EE.UU. |
| Google (Gemini) | Mensajes enviados al chat de IA (si usa esta opción) | Generación de respuestas de IA | EE.UU. |
| CallMeBot / Twilio | Número de teléfono y texto del mensaje | Envío de notificaciones WhatsApp (si activa) | Varía |
| Telegram | Chat ID y texto del mensaje | Envío de notificaciones (si activa) | Varía |
| Google Fonts | IP del visitante | Carga de tipografías del sitio | EE.UU. |
oryum ai no vende, renta ni comercializa sus datos personales a ningún tercero bajo ninguna circunstancia.
Las transferencias internacionales de datos a EE.UU. se realizan con proveedores que cuentan con certificaciones de seguridad reconocidas (PCI-DSS para Stripe, SOC 2 para Railway, etc.).
6. Almacenamiento y seguridad
6.1 Medidas técnicas implementadas
- Contraseñas: almacenadas únicamente como hash irreversible con bcrypt (factor de costo 12).
- API keys de terceros: cifradas con AES-256 antes de almacenarse en la base de datos.
- Credenciales de notificación: cifradas con AES-256.
- Sesiones: gestionadas mediante JWT firmados con clave secreta de servidor (mínimo 512 bits).
- Comunicaciones: todas las transmisiones utilizan HTTPS/TLS.
- Rate limiting: límite de 300 peticiones/minuto a la API general y 20 intentos de autenticación por 15 minutos, para prevenir ataques de fuerza bruta.
- Helmet.js: cabeceras HTTP de seguridad configuradas en el servidor.
- Datos financieros: almacenados en PostgreSQL en Railway con SSL obligatorio en producción.
6.2 Notificación de brechas
En caso de una brecha de seguridad que afecte sus datos personales, oryum ai lo notificará dentro de las 72 horas siguientes a tener conocimiento del incidente, conforme a lo establecido por la normativa aplicable.
7. Plazos de conservación
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de cuenta (nombre, email, plan) | Mientras la cuenta esté activa + 30 días tras cancelación |
| Datos financieros del usuario | Mientras la cuenta esté activa + 15 días tras solicitud de eliminación |
| Historial de pagos | 5 años (obligación fiscal mexicana) |
| Registro de auditoría (acciones admin + IP) | 12 meses |
| Registro de llamadas a IA | 90 días (para control de límites diarios) |
| Códigos de recuperación de contraseña | Hasta uso o expiración (máximo 24 horas) |
| API keys cifradas de terceros | Hasta eliminación por el usuario o cierre de cuenta |
8. Sus derechos ARCO
De conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), usted tiene los siguientes derechos:
Acceso
Conocer qué datos personales tenemos sobre usted y cómo los usamos.
Rectificación
Corregir datos inexactos o incompletos.
Cancelación
Solicitar la eliminación de sus datos cuando ya no sean necesarios.
Oposición
Oponerse al tratamiento de sus datos para finalidades secundarias.
Portabilidad
Recibir sus datos en formato estructurado (JSON) para transferirlos a otro servicio.
Limitación
Solicitar que se restrinja el tratamiento de sus datos en determinadas circunstancias.
¿Cómo ejercer sus derechos?
Envíe un correo a cargando... con el asunto "Ejercicio de derechos ARCO" indicando: su nombre completo, correo de la cuenta, el derecho que desea ejercer y una descripción de su solicitud. Responderemos en un plazo máximo de 20 días hábiles.
Si considera que su solicitud no fue atendida adecuadamente, puede presentar una queja ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales): www.inai.org.mx
9. Cookies y almacenamiento local
COSIMO utiliza localStorage y sessionStorage del navegador (no cookies de seguimiento) para los siguientes propósitos:
| Clave | Contenido | Propósito | Tipo |
|---|---|---|---|
| cosva_token / cosmo_token | JWT de sesión | Mantener la sesión activa | Esencial |
| cosmo_user | Datos básicos del usuario (nombre, email, plan) | Mostrar información en la interfaz | Esencial |
| cosmo_plan | Plan actual del usuario | Control de acceso a funcionalidades | Esencial |
| cerebro_v4_uXXX | Datos financieros en caché | Funcionalidad offline y carga rápida | Funcional |
| cosmo_aiconfig | Configuración del proveedor de IA elegido | Persistir preferencias de IA | Funcional |
| cosmo_syscfg | Configuración del sistema del usuario | Persistir preferencias de la app | Funcional |
COSIMO no utiliza cookies de publicidad ni de rastreo de comportamiento externo. No se integran herramientas de análisis de terceros como Google Analytics, Facebook Pixel u similares. Para más información, consulte nuestra Política de Cookies.
10. Menores de edad
COSIMO está diseñado para usuarios mayores de 18 años. No recopilamos intencionalmente datos personales de menores de 18 años sin el consentimiento verificable de sus padres o tutores legales.
Si tenemos conocimiento de que hemos recopilado datos de un menor sin el consentimiento requerido, procederemos a eliminar dicha información de forma inmediata. Si usted cree que su hijo menor tiene una cuenta en COSIMO, contáctenos en cargando....
11. Usuarios de la Unión Europea (GDPR)
Si usted se encuentra en la Unión Europea, además de los derechos ARCO descritos, le asisten los siguientes derechos conforme al RGPD:
- Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo.
- Derecho a presentar reclamación ante la autoridad de control de su Estado miembro.
- Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.
Las transferencias internacionales de datos a México y EE.UU. se realizan bajo las garantías establecidas en el RGPD, incluyendo cláusulas contractuales tipo cuando sea aplicable.
El responsable del tratamiento para usuarios de la UE es igualmente oryum ai. Contacto DPO (representante de protección de datos): cargando...
12. Cambios a este aviso
oryum ai puede actualizar este Aviso de Privacidad cuando sea necesario para reflejar cambios en el Servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos.
Cuando se realicen cambios materiales, lo notificaremos mediante correo electrónico a la dirección asociada a su cuenta con un mínimo de 15 días de anticipación. La versión actualizada se publicará en esta misma URL con la fecha de entrada en vigor.
13. Contacto y ejercicio de derechos
- Correo electrónico: cargando...
- Asunto recomendado: "Aviso de Privacidad — [su solicitud]"
- Responsable: oryum ai
- Domicilio: Ciudad Juárez, Chihuahua, México
- Tiempo de respuesta: máximo 20 días hábiles para derechos ARCO, 5 días hábiles para consultas generales
- Autoridad supervisora: INAI (México) · Autoridad de Protección de Datos competente de su Estado miembro.
¿Preguntas sobre tus datos?
Tu privacidad es nuestra prioridad. Responderemos en menos de 5 días hábiles.