Política de Privacidad

El responsable del tratamiento de sus datos es Ping Experiences LLC, una sociedad de responsabilidad limitada registrada en el Estado de Delaware, Estados Unidos. Para cualquier asunto de privacidad puede escribirnos a privacy@pingexperiences.com.

El cifrado de su bóveda se deriva de su master password y de una Secret Key de 128 bits, ambas generadas o procesadas exclusivamente en su dispositivo. El servidor solo recibe y almacena datos ya cifrados (AES-256-GCM). Como consecuencia directa:

• No conocemos ni almacenamos su master password ni su Secret Key.
• No podemos leer, descifrar ni entregar a terceros el contenido de su bóveda.
• Una orden judicial o brecha de seguridad solo expondría datos cifrados ilegibles.

3.1 Datos de cuenta

Para crear y autenticar su cuenta tratamos su dirección de correo electrónico, un hash de autenticación (distinto de la clave de cifrado) y los salts y parámetros KDF necesarios. Nunca recibimos la master password en sí.

3.2 Datos cifrados de la bóveda

Almacenamos los items de su bóveda (logins, notas, tarjetas, identidades) como texto cifrado, junto con metadatos cifrados como el nombre del item. Para el autofill, el dominio asociado se indexa de forma ciega (HMAC), de modo que el servidor nunca ve el dominio en claro.

3.3 Datos técnicos y de uso

Por seguridad y para operar el servicio podemos registrar la dirección IP, el tipo y nombre de dispositivo, marcas de tiempo de las sesiones y registros técnicos. No usamos estos datos para publicidad.

3.4 Datos de pago

Los pagos de suscripciones se procesan a través de Stripe. No almacenamos los datos completos de su tarjeta; Stripe actúa como encargado del tratamiento de esa información.

• Su master password.
• Su Secret Key.
• Las contraseñas, notas y demás contenido sensible dentro de su bóveda.
• Las claves de cifrado derivadas, que viven solo en la memoria de su dispositivo.

Tratamos los datos enumerados únicamente para:

• Autenticarle y mantener sus sesiones activas de forma segura.
• Sincronizar su bóveda cifrada entre sus dispositivos.
• Procesar suscripciones y pagos.
• Detectar y prevenir fraude, abuso y accesos no autorizados.
• Cumplir obligaciones legales y responder a sus solicitudes de soporte.

Tratamos sus datos sobre las siguientes bases legales (RGPD, art. 6):

• Ejecución del contrato: para prestarle el servicio que ha contratado.
• Interés legítimo: para garantizar la seguridad y prevenir el fraude.
• Consentimiento: cuando sea aplicable, por ejemplo para comunicaciones opcionales.
• Obligación legal: para cumplir con la normativa aplicable.

No vendemos sus datos. Compartimos datos estrictamente necesarios con proveedores que actúan como encargados del tratamiento bajo contrato:

• AWS — infraestructura de alojamiento y almacenamiento.
• MongoDB Atlas — base de datos (solo datos cifrados y de cuenta).
• Stripe — procesamiento de pagos.
• Proveedor de correo transaccional — envío de verificaciones y notificaciones.

También podremos divulgar datos cuando lo exija la ley; recuerde que el contenido de su bóveda permanecería cifrado e ilegible para nosotros y para cualquier tercero.

Sus datos pueden tratarse en servidores ubicados en Estados Unidos u otros países. Cuando se transfieran datos desde el Espacio Económico Europeo, aplicamos salvaguardas adecuadas, como las Cláusulas Contractuales Tipo de la Comisión Europea.

Conservamos sus datos de cuenta y su bóveda cifrada mientras su cuenta esté activa. Si elimina su cuenta, borramos de forma permanente sus datos, incluida la bóveda cifrada, salvo lo que debamos conservar por obligaciones legales (por ejemplo, registros de facturación).

Aplicamos medidas técnicas y organizativas para proteger sus datos:

• Cifrado de la bóveda con AES-256-GCM en el dispositivo del usuario.
• Derivación de claves con Argon2id; la clave de cifrado nunca se envía al servidor.
• TLS 1.3 obligatorio en todas las comunicaciones, con HSTS.
• Hash de autenticación independiente, reforzado en el servidor.
• Rate limiting agresivo en endpoints de autenticación.

Según su jurisdicción (RGPD, CCPA y normativas similares), usted puede ejercer los siguientes derechos:

• Acceder a los datos que tratamos sobre usted.
• Rectificar datos inexactos.
• Suprimir su cuenta y datos asociados.
• Portar sus datos (puede exportar su bóveda cifrada desde la configuración).
• Oponerse o limitar determinados tratamientos.
• Retirar el consentimiento en cualquier momento, cuando aplique.

Para ejercer estos derechos, escríbanos a privacy@pingexperiences.com.

Usamos almacenamiento local del navegador para gestionar su sesión y preferencias (como el idioma). La clave de cifrado se mantiene únicamente en memoria y nunca se guarda en localStorage. No utilizamos cookies de publicidad ni de seguimiento de terceros.

El servicio no está dirigido a menores de 18 años y no recopilamos a sabiendas datos de menores. Si detectamos una cuenta de un menor, procederemos a eliminarla.

Podemos actualizar esta Política de Privacidad. Notificaremos los cambios materiales mediante correo electrónico o aviso en la aplicación con antelación razonable. El uso continuado tras la notificación constituye aceptación de la política actualizada.