eviav
LoginCrear cuenta

Política de Privacidad — Eviav

Última actualización: 2026-05-28

Eviav S.A. ("Eviav", "nosotros") opera la plataforma de mapas e infraestructura geoespacial accesible en eviav.com y api.eviav.com. Esta Política de Privacidad describe qué datos recolectamos, cómo los usamos, con quién los compartimos y los derechos que tenés sobre ellos. Aplica a clientes business (titulares de cuentas) y a usuarios finales de las apps que consumen nuestras APIs.

1. Datos que recolectamos

Cuenta business (titular)

  • Email, nombre, nombre de organización, teléfono (opcional), foto/logo (opcional).
  • Hash de contraseña (bcrypt). Nunca el texto plano.
  • Secret TOTP de 2FA (encriptado at rest).
  • Información de facturación: nombre del titular de tarjeta, últimos 4 dígitos, brand (Visa/MC/Amex), fecha de vencimiento. El número completo de tarjeta nunca lo vemos — lo procesa Stripe directamente.

Uso de la API

  • Por cada request: timestamp, key_id, org_id, servicio invocado, status code, latencia, IP del cliente, user-agent.
  • Datos del payload (queries de geocoding, coordenadas en routing, imágenes en vision, prompts de grounding) NO se almacenan más allá del logging temporal del gateway (max 30 días en Loki, solo para debugging operacional). No usamos estos payloads para entrenar modelos ni los compartimos con terceros.

Cookies y storage

  • Cookie de sesión (__eviav_session) — HttpOnly, Secure, SameSite=Lax. Expira en 30 días.
  • LocalStorage: preferencias de UI (tema light/dark, sidebar collapsed). No datos sensibles.
  • No cookies de tracking ni analytics de terceros (Google Analytics, Facebook Pixel, etc.).

2. Cómo usamos los datos

  • Operar el servicio: autenticar requests, aplicar rate limits, facturar el uso.
  • Comunicación transaccional: emails de verificación, reset password, alertas de quota, recibos de facturación. No marketing sin opt-in.
  • Mejorar la plataforma: métricas agregadas (sin identificar usuarios individuales) para entender qué SKUs son más usados, dónde optimizar latencia, etc.
  • Cumplir obligaciones legales: facturación, retención fiscal, respuesta a órdenes judiciales válidas.

3. Retención

  • Datos de cuenta: mientras tu cuenta esté activa + 30 días después de eliminación (para reactivación accidental). Después, eliminación permanente.
  • Audit logs (admin_events): 24 meses (compliance + investigación de incidentes).
  • Usage events (usage_events): 12 meses (para reconciliación de facturación y métricas).
  • Logs operacionales (Loki): 30 días.
  • Backups offsite: snapshots mensuales permanentes; backups diarios 30 días.

4. Compartir datos con terceros (sub-procesadores)

Ver lista completa y actualizada en SUBPROCESSORS.md. Resumen:

  • Stripe (US) — procesamiento de pagos. Recibe nombre, email, datos de tarjeta (a través de Stripe Elements, nunca pasan por nuestros servers).
  • Cloudflare (Global) — CDN, DNS, WAF. Ve metadata HTTP (IP, headers, paths) pero no payloads decrypted.
  • Vultr (US) — hosting de servidores. Tiene acceso físico al hardware.
  • OpenAI (US) — únicamente cuando llamás /v1/grounding, /v1/ai/*. Tu prompt + contexto geográfico se envía a OpenAI para generar la respuesta. OpenAI NO usa estos datos para entrenar modelos (cubierto por su política para clientes API).

Nunca vendemos datos a terceros. Nunca usamos tus payloads para entrenar modelos propios.

5. Transferencias internacionales

Eviav tiene infraestructura en EE.UU. (Vultr Miami). Si estás en LATAM o Europa, tus datos cruzan fronteras. Lo cubrimos con:

  • Standard Contractual Clauses (SCCs) con sub-procesadores.
  • Data Processing Agreement (DPA) firmable por enterprise — ver DPA_TEMPLATE.md.

6. Tus derechos (GDPR / LGPD / equivalentes LATAM)

Tenés derecho a:

  • Acceso: descargar todos los datos asociados a tu cuenta. Solicitalo desde /cuenta/privacy (en roadmap) o por email a [email protected].
  • Rectificación: editar tu nombre, email, organización desde /dashboard/cuenta directo.
  • Eliminación ("right to be forgotten"): solicitar borrar tu cuenta y todos los datos asociados. Lo ejecutamos en <30 días. Algunos datos (facturación) los retenemos por obligaciones fiscales — los anonimizamos del resto.
  • Portabilidad: descargar tus datos en JSON estándar para llevarlos a otra plataforma.
  • Oposición: rechazar el uso de tus datos para purposes específicos (ej. mejora de producto).
  • Retirar consentimiento: cancelar suscripción de marketing emails (link en cada email), revocar 2FA, etc.

Para cualquier solicitud: [email protected]. Respondemos en <30 días.

7. Menores

Eviav no está dirigido a menores de 16 años. Si descubrimos que recolectamos datos de un menor sin consentimiento parental, eliminamos esos datos.

8. Cambios a esta política

Te notificamos cambios materiales por email + banner en el dashboard al menos 30 días antes de que entren en vigor. Cambios menores (clarificaciones, typos) se actualizan sin notificación pero quedan en el historial de Git.

9. Contacto