Política de Privacidad

Recopilamos las siguientes categorías de datos cuando usas SMSCode:

Datos de la Cuenta

• Dirección de correo electrónico (utilizada para inicio de sesión y notificaciones).
• Contraseña (almacenada como hash argon2 — nunca almacenamos contraseñas en texto plano).

Datos de Google Sign-In

Si inicias sesión con Google, accedemos a los siguientes datos de tu cuenta de Google:

• Dirección de correo electrónico — Se utiliza como identificador de tu cuenta y para comunicaciones del servicio.
• ID de usuario de Google — Se utiliza para vincular tu cuenta de Google con tu cuenta de SMSCode.

Solo solicitamos los permisos mínimos necesarios para la autenticación (email y openid). No accedemos a tus contactos, calendario, drive ni a ningún otro servicio de Google.

Datos de Transacciones

• Historial de pedidos (alquiler de números, servicio, país, marcas de tiempo, estado).
• Historial de depósitos (montos, método de pago, estado).
• Saldo de cuenta y registros de transacciones.

Datos de la Aplicación Móvil

• Tokens de dispositivo Firebase Cloud Messaging (FCM) — Se utilizan para enviar notificaciones push sobre actualizaciones de pedidos y actividad de la cuenta.
• Preferencias de notificaciones push (activadas/desactivadas).
• Nombre del dispositivo (opcional, para identificar dispositivos en tu cuenta).

Datos de Uso

• Dirección IP y geolocalización aproximada.
• Información del dispositivo y navegador (agente de usuario).
• Registros del servidor (marcas de tiempo de solicitudes, endpoints accedidos).

Datos de Uso de la API

• Registros de solicitudes a la API (endpoints, marcas de tiempo, códigos de respuesta).
• Contadores de rate limit.

• Prestación del servicio — Procesamiento de alquileres de números, gestión de tu saldo y cumplimiento de pedidos.
• Autenticación — Tu correo electrónico e ID de usuario de Google (si utilizas Google Sign-In) se usan exclusivamente para la autenticación e la identificación de tu cuenta. No utilizamos los datos de usuario de Google para publicidad, creación de perfiles ni para ningún propósito que no esté relacionado con la prestación del servicio de SMSCode.
• Notificaciones push — Los tokens de dispositivo FCM se utilizan exclusivamente para enviar actualizaciones de pedidos, confirmaciones de depósitos y alertas de seguridad de la cuenta a tu dispositivo móvil.
• Prevención de fraude — Detección y prevención de abuso, acceso no autorizado y violaciones de políticas.
• Análisis — Comprensión de patrones de uso para mejorar la confiabilidad y rendimiento de la plataforma.
• Soporte — Respuesta a tus consultas y resolución de problemas con tu cuenta o pedidos.
• Comunicación — Envío de notificaciones relacionadas con el servicio (actualizaciones de pedidos, alertas de seguridad). No enviamos correos de marketing sin tu consentimiento.

• Los códigos OTP son transitorios — El contenido de los SMS recibidos (códigos OTP) se te muestra en tiempo real y no se almacena a largo plazo después de que el pedido expire o se complete.
• Los números de teléfono son temporales — Los números alquilados son temporales y se reciclan después de que finaliza el período de alquiler. No asociamos los números alquilados con tu identidad más allá del pedido activo.
• Sin datos de llamadas — SMSCode solo maneja verificación por SMS; no procesamos llamadas de voz ni metadatos de llamadas.

• Los pagos son procesados por pasarelas de terceros (Duitku, Heleket). No almacenamos los datos de tu tarjeta de crédito, cuenta bancaria o instrumento de pago.
• Almacenamos referencias de transacciones (IDs de la pasarela de pago, montos, estado) para fines de conciliación y soporte.
• Los proveedores de pasarelas de pago tienen sus propias políticas de privacidad que rigen cómo manejan tu información de pago.

Compartimos datos únicamente cuando es necesario para prestar el Servicio. A continuación se detalla la lista completa de categorías de encargados del tratamiento de terceros que utilizamos; las ubicaciones operativas detalladas y las garantías de transferencia se describen en la Sección 13 (Transferencia Internacional de Datos).

• Cloudflare, Inc. — red de entrega de contenido, protección contra DDoS y red de salida. Trata direcciones IP, metadatos de solicitudes y tráfico con TLS terminado en tránsito.
• Resend, Inc. — envío de correo electrónico transaccional (verificación, restablecimiento de contraseña, notificaciones de pedidos). Trata su dirección de correo electrónico y el contenido de los mensajes.
• Proveedores de SMS aguas arriba — alquiler de números virtuales y enrutamiento de SMS entrantes. Enviamos parámetros mínimos de pedido (país, servicio) para completar el alquiler; no compartimos su identidad ni datos de cuenta con los proveedores.
• Pasarelas de pago — los datos de la transacción se comparten con los procesadores de pago para completar los depósitos. No recibimos ni almacenamos los detalles completos del instrumento de pago.
• Firebase Cloud Messaging (Google) — los tokens de dispositivo FCM se envían al servicio Firebase de Google para entregar notificaciones push. No se comparten otros datos personales con Firebase.
• Autoridades — Podemos divulgar datos cuando así lo requiera la ley, una orden judicial o para proteger los derechos, la propiedad o la seguridad de SMSCode, de nuestros usuarios o del público.

No vendemos sus datos personales a terceros. No compartimos sus datos personales con anunciantes. No participamos en ningún intermediario de datos o red publicitaria. Los datos de usuario de Google obtenidos mediante Google Sign-In nunca se comparten con terceros y se utilizan exclusivamente para la autenticación dentro de SMSCode.

• Historial de pedidos — Se conserva para fines de conciliación, soporte y auditoría.
• Contenido OTP/SMS — Se elimina después de que el pedido expire o se complete.
• Datos de la cuenta — Se conservan mientras tu cuenta esté activa.
• Registros del servidor — Se conservan hasta 90 días para fines de seguridad y depuración.
• Tokens de dispositivo FCM — Se eliminan inmediatamente cuando desregistras un dispositivo o eliminas tu cuenta.

Eliminación de Cuenta y Purga de Datos

Puedes eliminar tu cuenta en cualquier momento desde la configuración de cuenta en el panel web o en la aplicación móvil. Al eliminar tu cuenta:

• Tu cuenta se marca inmediatamente como eliminada (estado "Eliminada").
• Tu saldo restante se confisca y se registra como transacción final.
• Todas las sesiones activas (web y móvil) se revocan de inmediato.
• Los tokens de dispositivo FCM y las suscripciones de notificaciones push se eliminan.
• Los tokens de API y las configuraciones de webhooks se eliminan.
• Se aplica un período de espera de 30 días para volver a registrarte — no puedes crear una nueva cuenta con el mismo correo electrónico durante este período.
• Después de 30 días, una tarea programada elimina permanentemente tu información de identificación personal (PII): tu correo electrónico se reemplaza con un identificador anónimo, tu hash de contraseña se borra y tu ID de usuario de Google se elimina.
• El historial de transacciones y los registros de pedidos se conservan de forma anonimizada para fines contables y de cumplimiento legal.

• Usamos una única cookie de sesión httpOnly (__session) para mantener tu sesión autenticada. Esta cookie está encriptada y no puede ser leída por scripts del lado del cliente.
• No usamos cookies de seguimiento, cookies publicitarias ni cookies de análisis de terceros.
• No se necesita un aviso de cookies porque solo usamos cookies estrictamente necesarias para la autenticación.

Almacenamiento de Datos

• Infraestructura — Todos los datos se almacenan en servidores dedicados operados por nosotros. No utilizamos alojamiento en la nube compartido para los datos de los usuarios.
• Base de datos — Los datos de los usuarios se almacenan en PostgreSQL con acceso restringido exclusivamente a los servicios de la aplicación.
• Cifrado en tránsito — Todo el tráfico entre tú y nuestros servidores está cifrado mediante TLS (HTTPS).
• Cifrado de sesión — Las cookies de sesión están cifradas con AES-256-GCM.

Protección de Datos

• Hash de contraseñas — Las contraseñas se procesan con argon2, un algoritmo resistente a ataques de fuerza bruta.
• Protección CSRF — Los endpoints con cambios de estado están protegidos contra falsificación de solicitudes entre sitios.
• Rate limiting — Los endpoints de la API y autenticación tienen límites de velocidad para prevenir abuso.
• Control de acceso — Los servicios internos se comunican a través de canales autenticados con claves secretas. Los servicios de base de datos y caché están aislados en una red privada inaccesible desde internet.

Si bien implementamos medidas de seguridad estándar de la industria, ningún sistema es 100% seguro. Si descubres una vulnerabilidad, repórtala a [email protected].

Tienes derecho a:

• Acceso — Solicitar una copia de los datos personales que tenemos sobre ti.
• Corrección — Solicitar la corrección de datos personales inexactos.
• Eliminación — Eliminar tu cuenta y los datos personales asociados directamente desde la configuración de tu cuenta (web o aplicación móvil). Los datos personales se eliminan en un plazo de 30 días tras la eliminación. También puedes solicitar la eliminación contactándonos.
• Exportación — Solicitar tus datos en un formato portátil.

Para ejercer los derechos de acceso, corrección o exportación, contáctanos en [email protected]. Responderemos en un plazo de 30 días.

Si es residente en California, la California Consumer Privacy Act (CCPA), modificada por la California Privacy Rights Act (CPRA), le otorga derechos específicos respecto de su información personal, además de los derechos establecidos en la Sección 9 (Sus derechos).

Derecho a conocer. Puede solicitar que revelemos las categorías y los elementos específicos de información personal que hemos recopilado sobre usted, las fuentes de esa información, los fines para los que se recoge o divulga y las categorías de terceros con los que la compartimos. Las categorías que recopilamos se detallan en la Sección 1 (Datos que recopilamos).

Derecho a eliminar. Puede solicitar que eliminemos la información personal que hemos recopilado sobre usted, sujeto a ciertas excepciones legales (por ejemplo, para completar una transacción, detectar incidentes de seguridad o cumplir con una obligación legal).

Derecho a rectificar. Puede solicitar que corrijamos la información personal inexacta que mantenemos sobre usted.

Derecho a oponerse a la venta o al intercambio. No vendemos su información personal a terceros y no la compartimos para publicidad conductual entre contextos. No hay nada a lo que oponerse, pero lo indicamos explícitamente para que lo sepa.

Derecho a limitar el uso de información personal sensible. No utilizamos información personal sensible (según la define la CPRA) para fines más allá de los necesarios para prestar el Servicio.

Derecho a la no discriminación. No le discriminaremos por ejercer ninguno de estos derechos. Su experiencia con el Servicio no cambiará y no se verán afectadas tarifas, términos ni calidad del servicio.

Cómo ejercerlos. Para ejercer cualquier derecho de la CCPA, contáctenos en [email protected]. Verificaremos su identidad antes de responder y responderemos en un plazo de 45 días (prorrogable otros 45 días cuando sea razonablemente necesario).

SMSCode no utiliza servicios de analítica web de terceros, herramientas de seguimiento conductual ni tecnología publicitaria. En concreto:

• No utilizamos Google Analytics, Mixpanel, Amplitude, Hotjar, Segment ni ningún servicio de analítica similar;
• No incorporamos píxeles de seguimiento, etiquetas de marketing ni scripts de retargeting en ninguna página;
• No participamos en ninguna red publicitaria ni ecosistema de publicidad entre sitios;
• No construimos perfiles conductuales de usuarios individuales con fines de marketing o recomendación.

Los únicos datos que recopilamos sobre su uso del Servicio son los datos operativos necesarios para prestarlo y protegerlo: registros de solicitudes del servidor, contadores de límite de tasa, historial de pedidos y cookies de sesión. Estos se describen en detalle en la Sección 1 (Datos que recopilamos), la Sección 7 (Cookies y sesiones) y la Sección 8 (Medidas de seguridad). Los registros del servidor se conservan hasta 90 días con fines de seguridad y depuración, y posteriormente se eliminan.

Si en el futuro introducimos analítica, la presente Política de Privacidad se actualizará antes de que el cambio entre en vigor, y se le notificará conforme a la Sección 14 (Cambios en esta política).

SMSCode no está destinado para el uso de menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si crees que un menor de 18 años nos ha proporcionado datos personales, contáctanos y los eliminaremos de inmediato.

Void Zero Ltd tiene su sede en el Reino Unido, y los datos personales que usted proporciona se tratan principalmente en el Reino Unido y el Espacio Económico Europeo (EEE). Para prestar el Servicio, utilizamos subencargados del tratamiento e infraestructura de terceros que pueden tratar sus datos en otras jurisdicciones, incluidos los Estados Unidos y otros países fuera del Reino Unido/EEE.

Mecanismo de transferencia

Cuando transferimos datos personales desde el Reino Unido o el EEE a un país que no ha recibido una decisión de adecuación de la UK Information Commissioner's Office (ICO) o de la Comisión Europea, nos basamos en una o más de las siguientes garantías:

• el UK International Data Transfer Addendum (UK IDTA) incorporado en nuestros contratos con subencargados;
• las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914) para datos de la UE;
• decisiones de adecuación respecto de jurisdicciones reconocidas como las que ofrecen un nivel de protección esencialmente equivalente (incluido el UK Data Bridge para destinatarios estadounidenses elegibles conforme al Data Privacy Framework);
• otras garantías reconocidas al amparo del artículo 46 del UK GDPR o del artículo 46 del EU GDPR.

Controles de transferencias ulteriores

Todos los subencargados que reciben sus datos personales están vinculados por contratos escritos que les exigen: (a) tratar los datos únicamente conforme a instrucciones documentadas de Void Zero Ltd; (b) implementar medidas técnicas y organizativas de seguridad adecuadas; (c) garantizar la confidencialidad del personal con acceso a los datos; (d) asistirnos en el cumplimiento de solicitudes de derechos de interesados; y (e) suprimir o devolver los datos al término del contrato. Estas obligaciones siguen los requisitos del artículo 28 del UK GDPR y del artículo 28 del EU GDPR.

Categorías actuales de subencargados

Los subencargados que pueden tratar sus datos fuera del Reino Unido/EEE incluyen, entre otros:

• Cloudflare, Inc. (Estados Unidos) — entrega de contenido, protección DDoS y red de salida;
• Resend, Inc. (Estados Unidos) — envío de correo electrónico transaccional;
• socios proveedores de SMS con operativa internacional — alquiler de números virtuales y enrutamiento de SMS entrantes (véase la Sección 3);
• pasarelas de pago — procesamiento transaccional de pagos para depósitos (véase la Sección 4).

Sus derechos

Puede solicitar una copia de las garantías de transferencia aplicables a sus datos contactándonos en [email protected]. Responderemos dentro de 30 días según lo descrito en la Sección 9 (Sus derechos) y en el artículo 12 del GDPR.

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios importantes se comunicarán por correo electrónico o mediante un aviso en la plataforma. La fecha de "Última actualización" en la parte superior refleja la revisión más reciente.

Para preguntas o solicitudes relacionadas con la privacidad, contáctanos en [email protected].

Para soporte general, escríbenos a [email protected].