Política de Privacidad (corregida y consistente)

En WindowsDemeter valoramos tu privacidad y nos comprometemos a proteger la información de los usuarios. Esta política explica qué datos se recopilan, cómo se utilizan y con quién se comparten.

1. Información que recopilamos

La aplicación puede recopilar los siguientes tipos de datos:

• Ubicación del dispositivo (aproximada o precisa)

  Utilizada exclusivamente para calcular la posición de astros, casas y coordenadas astronómicas según la ubicación del usuario.

• Información del dispositivo

  Incluye modelo, sistema operativo y configuraciones generales.

• Datos de uso de la aplicación

  Como interacciones, funciones utilizadas y tiempo de uso.

• Identificadores publicitarios

  Utilizados por servicios de terceros para mostrar publicidad.

2. Uso de la información

La información recopilada se utiliza para:

• Proporcionar las funcionalidades principales de la app (cálculos astronómicos).
• Mejorar la experiencia del usuario.
• Analizar el uso de la aplicación.
• Mostrar publicidad relevante.

3. Compartición de datos

No vendemos información personal de los usuarios.

Sin embargo, la aplicación puede compartir ciertos datos con servicios de terceros, tales como:

• Plataformas de publicidad (por ejemplo, servicios de Google).
• Herramientas de análisis.

Estos servicios pueden recopilar y procesar datos conforme a sus propias políticas de privacidad.

4. Permisos de la aplicación

La aplicación puede solicitar los siguientes permisos:

• Ubicación: para calcular posiciones astronómicas.
• Internet: para el funcionamiento general y servicios externos.

Los permisos se solicitan únicamente cuando son necesarios para el funcionamiento de la aplicación.

5. Seguridad

WindowsDemeter implementa múltiples capas de seguridad para proteger la información de los usuarios. A continuación detallamos las medidas técnicas implementadas:

5.1 Autenticación y Autorización

• Laravel Sanctum (API): Sistema de tokens de API sin estado para autenticación segura en la aplicación Flutter.
• Tokens por dispositivo: Cada dispositivo recibe un token único que puede ser revocado independientemente.
• Autenticación de dos factores (2FA): Disponible para protección adicional de cuentas.
• Verificación de email: Los usuarios deben verificar su correo electrónico para acceder a ciertas funciones.
• OAuth 2.0 con Google: Opción de login seguro a través de Google con verificación de tokens.
• Firebase Auth: Integración adicional para autenticación segura.

5.2 Comunicación Segura (Flutter - API)

• Bearer Tokens: Todos los endpoints privados requieren un token de autorización en el header: Authorization: Bearer TOKEN.
• HTTPS obligatorio: En producción, todas las conexiones son encriptadas mediante HTTPS.
• Validación de sesión: Las sesiones se validan en cada solicitud antes de procesar datos sensibles.
• Rate Limiting: Se implementa limitación de velocidad (30 solicitudes por minuto) para prevenir ataques de fuerza bruta.

5.3 Encriptación y Hashing de Datos

• Hashing de Contraseñas: Se utiliza Bcrypt para hashing de contraseñas, nunca se almacenan en texto plano.
• Encriptación de datos sensibles: Los secretos de terceros (claves de API, tokens) se almacenan encriptados en variables de entorno.
• Datos ocultos en API: Las respuestas de API nunca exponen contraseñas, códigos 2FA o tokens en respuestas JSON.

5.4 Prevención de Ataques Comunes

• Inyección SQL: Se utiliza Eloquent ORM que automáticamente parametriza todas las consultas a base de datos.
• XSS (Cross-Site Scripting): Blade escapa automáticamente todo contenido HTML en plantillas.
• CSRF (Cross-Site Request Forgery): Validación de tokens CSRF activada globalmente en formularios web.
• Validación de entrada: Todas las solicitudes se validan contra reglas estrictas antes de procesarse.

5.5 Control de Acceso a Datos

• Verificación de propiedad: Los usuarios solo pueden acceder y modificar sus propios datos (cartas astrales, consultas, historial).
• Autorización granular: Cada operación sensible verifica que el usuario autenticado tenga permiso.
• Revocación de tokens: Al cambiar contraseña o logout, todos los tokens se revocan automáticamente.

5.6 Seguridad de Pagos (Mercado Pago)

• Webhooks validados: Los webhooks de pagos se validan para asegurar autenticidad.
• Tokens de acceso seguros: Los tokens de API de terceros se almacenan encriptados en configuración segura.
• HTTPS en produción: Todas las transacciones se realizan mediante HTTPS encriptado.

5.7 Logging y Auditoría

• Registro de operaciones: Todas las operaciones críticas (login, cambios de contraseña, transacciones) se registran en logs.
• Monitoreo de excepciones: Los errores se registran para detección temprana de problemas.
• Auditoría de transacciones: Las transacciones de monedas se registran con detalles completos para audoría.

5.8 Validación de Contraseñas

• Requisitos fuertes: Mínimo 8 caracteres incluyendo mayúsculas, minúsculas, números y símbolos.
• Prevención de reutilización: El sistema valida que no se reutilicen contraseñas anteriores.
• Tokens con expiración: Los tokens de reseteo de contraseña expire en 60 minutos.

Nota: Se implementan medidas razonables para proteger la información del usuario. Sin embargo, ningún sistema es completamente seguro. La seguridad es un proceso continuo y se realizan actualizaciones regularmente.

6. Retención de datos

Los datos se conservan únicamente durante el tiempo necesario para cumplir con los propósitos descritos en esta política.

7. Derechos del usuario

Los usuarios pueden solicitar la eliminación de sus datos contactándonos a través del correo indicado más abajo.

8. Público objetivo

Esta aplicación no está dirigida a menores de 13 años,trologos, astronomos, fotografos.

9. Cambios en la política

Podemos actualizar esta política de privacidad en cualquier momento. Se recomienda revisarla periódicamente.

10. Contacto

Si tienes preguntas o deseas solicitar la eliminación de datos:

📧 Correo: mariobustos.ce@gmail.com