Contenido
- Responsable del tratamiento
- Datos que recopilamos
- Cómo usamos tu información
- Base legal del tratamiento
- Medidas de seguridad
- Compartición con terceros
- Retención de datos
- Tus derechos
- Cookies
- Transferencias internacionales
- Limitación de responsabilidad
- Menores de edad
- Cambios en esta política
- Contacto y ejercicio de derechos
1. Responsable del Tratamiento
El responsable del tratamiento de los datos personales recopilados a través de la plataforma GestorPass es:
- Empresa: E&C Systems
- Producto: GestorPass — Gestor de Contraseñas Empresarial
- Contacto: soporte@eycsystems.com
E&C Systems actúa como responsable del tratamiento de los datos identificativos y de cuenta. El contenido de la bóveda del usuario (contraseñas y notas cifradas) se almacena en formato cifrado y E&C Systems actúa en calidad de encargado de almacenamiento técnico respecto a dicho contenido.
2. Datos que Recopilamos
Recopilamos únicamente los datos estrictamente necesarios para la prestación del servicio:
| Dato | Finalidad | Base legal |
|---|---|---|
| Nombre de usuario | Identificación en el sistema | Ejecución del contrato |
| Dirección de correo electrónico | Recuperación de cuenta, notificaciones de seguridad, comunicaciones del servicio | Ejecución del contrato |
| Contraseña de acceso (hash irreversible) | Autenticación segura — la contraseña original nunca se almacena | Ejecución del contrato |
| Contenido de bóveda (cifrado) | Servicio de almacenamiento seguro de credenciales | Consentimiento explícito |
| Registros de auditoría y acceso | Seguridad, detección de fraude e intrusiones, cumplimiento | Interés legítimo |
| Dirección IP y timestamp de acceso | Seguridad, detección de accesos anómalos, alertas | Interés legítimo |
| Secreto 2FA (cifrado) | Autenticación de doble factor | Ejecución del contrato |
No recopilamos datos de comportamiento de navegación, información de pago directamente (gestionada por el procesador de pagos), datos biométricos ni contenido de las contraseñas generadas por el generador integrado.
3. Cómo Usamos tu Información
Utilizamos tu información exclusivamente para:
- Prestar el servicio contratado de gestión segura de contraseñas
- Autenticar tu identidad y mantener la sesión activa de forma segura
- Enviarte notificaciones relacionadas con tu cuenta: alertas de seguridad, avisos de acceso desde nuevos dispositivos, recuperación de contraseña y comunicaciones del plan
- Detectar, investigar y prevenir accesos no autorizados, fraude o actividad maliciosa
- Proporcionar soporte técnico cuando lo solicites
- Cumplir con obligaciones legales, regulatorias o judiciales aplicables
- Mejorar la seguridad y fiabilidad de la plataforma mediante análisis agregados y anonimizados
4. Base Legal del Tratamiento
El tratamiento de tus datos personales se sustenta en las siguientes bases legales según la normativa aplicable de protección de datos:
- Ejecución del contrato: Para los datos necesarios para prestarte el servicio contratado (cuenta, autenticación, bóveda).
- Interés legítimo: Para el mantenimiento de registros de seguridad, detección de fraude e intrusiones y protección de la integridad del sistema.
- Consentimiento: Para el almacenamiento del contenido de tu bóveda y funciones opcionales como las notificaciones por correo.
- Obligación legal: Para la conservación de datos cuando así lo exija la legislación aplicable en materia fiscal, mercantil o de ciberseguridad.
5. Medidas de Seguridad Aplicadas
Aplicamos múltiples capas de protección técnica y organizativa para salvaguardar tu información:
- Contraseñas de acceso: Transformadas mediante funciones hash criptográficas de una sola vía con sal aleatoria por usuario — la contraseña original nunca se almacena ni puede recuperarse.
- Cifrado de bóveda: El contenido se cifra mediante algoritmos de cifrado simétrico autenticado antes de ser almacenado. Cada usuario tiene una clave de cifrado derivada de forma única.
- Autenticación de doble factor (2FA): Disponible para todos los usuarios — capa adicional que bloquea accesos aunque la contraseña sea conocida.
- Control de acceso por roles: Separación estricta entre niveles de administración — ningún usuario puede acceder a datos de otros usuarios o empresas.
- Bloqueo automático de cuentas: Tras múltiples intentos fallidos de autenticación, la cuenta se bloquea temporalmente.
- Auditoría completa: Cada acción relevante queda registrada con timestamp, usuario y origen para detección de anomalías.
- Comunicaciones cifradas: Toda la comunicación entre el navegador y el servidor viaja bajo protocolo HTTPS.
- Aislamiento multi-tenant: Los datos de cada empresa son completamente inaccesibles para otras organizaciones en el sistema.
- Sesiones con expiración: Las sesiones inactivas se cierran automáticamente para reducir el riesgo de acceso no autorizado.
6. Compartición con Terceros
E&C Systems no vende ni cede tus datos personales a terceros con fines comerciales. Únicamente compartimos información en los siguientes casos limitados:
- Proveedores de infraestructura técnica: Empresas que alojan o procesan datos bajo contrato de encargo de tratamiento con obligaciones de confidencialidad equivalentes a las establecidas en esta política.
- Obligación legal: Cuando una autoridad judicial, regulatoria o gubernamental competente lo requiera mediante mandato legal válido. En estos casos, E&C Systems notificará al usuario afectado siempre que la ley lo permita.
- Protección de derechos: Cuando sea necesario para defender los derechos legales de E&C Systems, sus usuarios o terceros ante una amenaza real y verificada.
- Verificador Have I Been Pwned: El verificador de contraseñas comprometidas envía un prefijo parcial del hash de la contraseña al servicio público de HIBP. Nunca se transmite la contraseña completa. Consulta la sección 12 de los Términos de Uso para más detalles.
Todos los proveedores externos con los que trabajamos están sujetos a acuerdos contractuales que les prohíben utilizar tus datos para cualquier fin distinto al servicio prestado.
7. Retención de Datos
| Tipo de dato | Período de retención |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa y el plan vigente |
| Datos tras cancelación o baja | 30 días (período de gracia para recuperación), luego eliminación definitiva e irrecuperable |
| Registros de auditoría | 12 meses desde el evento registrado |
| Logs de seguridad (IP, intentos de acceso) | 90 días |
| Backups cifrados | Según configuración del administrador, máximo 90 días |
| Datos requeridos por obligación legal | El período que exija la normativa aplicable |
Transcurridos los plazos indicados, los datos se eliminan de forma segura e irreversible de todos los sistemas de almacenamiento, incluyendo copias de seguridad, salvo que exista obligación legal de conservación.
8. Tus Derechos
De acuerdo con la normativa de protección de datos aplicable, tienes derecho a:
- Acceso: Solicitar una copia de los datos personales que conservamos sobre ti.
- Rectificación: Corregir datos inexactos, incompletos o desactualizados.
- Supresión ("derecho al olvido"): Solicitar la eliminación de tus datos cuando ya no sean necesarios para el fin que motivó su recopilación, o cuando retires tu consentimiento.
- Portabilidad: Recibir tus datos en un formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable cuando sea técnicamente posible.
- Oposición: Oponerte al tratamiento de tus datos basado en interés legítimo, salvo que existan motivos imperiosos que lo justifiquen.
- Limitación: Solicitar la restricción del tratamiento mientras se resuelve una disputa sobre exactitud o licitud.
- Retirada del consentimiento: Retirar en cualquier momento el consentimiento otorgado, sin que ello afecte a la licitud del tratamiento anterior.
Para ejercer cualquiera de estos derechos, contacta a: soporte@eycsystems.com indicando el derecho que deseas ejercer y adjuntando documentación que acredite tu identidad. Responderemos en un plazo máximo de 30 días hábiles.
Si consideras que el tratamiento de tus datos no es conforme a la normativa aplicable, tienes derecho a presentar una reclamación ante la autoridad de protección de datos competente en tu jurisdicción.
9. Cookies y Almacenamiento Local
GestorPass utiliza exclusivamente los mecanismos de almacenamiento estrictamente necesarios para el funcionamiento del servicio:
- Cookie de sesión: Técnicamente necesaria para mantener la sesión autenticada. Contiene únicamente un identificador de sesión cifrado. Se elimina al cerrar el navegador o al caducar la sesión por inactividad.
- Almacenamiento local del navegador (extensión): La extensión de navegador almacena localmente el token de acceso cifrado y la URL del servidor configurado. Este dato no se transmite a terceros y puede eliminarse desinstalando la extensión.
10. Transferencias Internacionales de Datos
En caso de que los servidores de E&C Systems o sus proveedores de infraestructura estén ubicados en jurisdicciones distintas a la del usuario, las transferencias internacionales de datos se realizarán únicamente cuando existan garantías adecuadas de protección, incluyendo cláusulas contractuales tipo reconocidas o niveles de protección equivalentes a los exigidos por la normativa aplicable.
Para obtener información sobre los mecanismos de transferencia aplicables, contacta a: soporte@eycsystems.com
11. Limitación de Responsabilidad ante Incidentes de Seguridad
- Compartir credenciales de acceso con terceros o no mantenerlas confidenciales
- Uso de contraseñas débiles, reutilizadas o previamente comprometidas en el propio GestorPass
- No activar la autenticación de doble factor (2FA) disponible en la plataforma
- Acceso desde dispositivos infectados por malware, spyware, keyloggers u otro software malicioso
- Pérdida, robo o acceso físico no autorizado al dispositivo con sesión activa y sin bloqueo de pantalla
- Ataques de phishing, vishing o ingeniería social en los que el usuario entregue voluntariamente sus credenciales
- Vulnerabilidades en infraestructura o dispositivos no gestionados por E&C Systems
- Fuerza mayor, desastres naturales o ciberataques masivos fuera del control razonable de E&C Systems
E&C Systems sí asumirá responsabilidad proporcional por fallos de seguridad derivados exclusivamente de defectos en el código, configuración o infraestructura directamente gestionada por la empresa, siempre que el usuario haya cumplido las buenas prácticas de seguridad descritas en los Términos de Uso, y conforme a los límites de responsabilidad establecidos en dicho documento.
12. Menores de Edad
GestorPass no está dirigido a menores de 18 años. No recopilamos conscientemente datos personales de menores de edad. Si tienes conocimiento de que un menor ha proporcionado datos personales a través de nuestro servicio, te rogamos que nos lo notifiques a soporte@eycsystems.com para proceder a su eliminación inmediata.
13. Cambios en esta Política
E&C Systems se reserva el derecho de actualizar esta política en cualquier momento para reflejar cambios en el servicio, normativa aplicable o prácticas de la empresa. Las modificaciones materiales serán comunicadas mediante notificación en la plataforma o por correo electrónico con al menos 15 días de antelación antes de su entrada en vigor.
El uso continuado del servicio tras el período de notificación implica la aceptación de los cambios. Si no estás de acuerdo con la nueva política, puedes cancelar tu cuenta antes de la fecha de entrada en vigor.
La versión vigente de esta política siempre estará disponible en /politica-privacidad.
14. Contacto y Ejercicio de Derechos
Para cualquier consulta relacionada con esta Política de Privacidad, el tratamiento de tus datos o el ejercicio de tus derechos:
- Correo electrónico: soporte@eycsystems.com
- Portal de soporte: Sección "Mensajes" dentro de tu panel de GestorPass (opción recomendada para usuarios registrados)
- Tiempo de respuesta: Máximo 30 días hábiles desde la recepción de la solicitud