TasaPyme
← VOLVER A LA APPCONFIANZA Y SEGURIDAD

⚠️ DRAFT — este texto es la fuente para la página pública /confianza. Revisar con abogado/a y con responsable de seguridad antes de publicar.

Confianza y seguridad — TasaPyme

Tus datos son tuyos. Punto.

TasaPyme procesa información extremadamente sensible: balances, contratos, nómina. Acá te contamos exactamente qué hacemos con ella, en lenguaje claro.

En 30 segundos

  1. Sólo vos ves tus datos. Nuestro equipo no accede salvo que vos lo autorices por soporte.
  2. Todo viaja cifrado (TLS 1.3) y se guarda cifrado (AES-256 en Neon y Vercel Blob).
  3. La IA que procesa tus documentos (Anthropic Claude) no entrena con ellos.
  4. Los documentos originales se borran a los 90 días de terminar la valuación.
  5. Podés borrar tu cuenta cuando quieras, con 1 click, y borramos todo de verdad.

Cómo cifremos tus datos

| Etapa | Cómo lo protegemos | |---|---| | Subida del archivo | TLS 1.3 obligatorio. Sin conexión cifrada, no se acepta. | | Mientras se procesa | El archivo va a Anthropic Claude por HTTPS, autenticado con clave secreta. | | Almacenamiento del archivo | Cifrado AES-256 en Vercel Blob. | | Almacenamiento de los datos extraídos | Cifrado AES-256 en Neon Postgres. | | Backups | Cifrados, retenidos 30 días. | | Tu sesión | Magic link de un solo uso, válido 10 minutos. Opcional: 2FA. |

Quién accede a tus datos

Vos, y solamente vos. Nadie de nuestro equipo entra a tu cuenta a mirar tu balance o tu nómina.

Excepciones (todas con log de auditoría):

  • Soporte técnico: solamente si nos lo autorizás explícitamente desde un ticket de soporte (ej: "no puedo generar el informe, autorizo que entren a mi cuenta para diagnosticar"). El acceso queda limitado en tiempo y alcance.
  • Investigación de incidente de seguridad: si pasara algo, accedemos al mínimo necesario para entender qué ocurrió.
  • Requerimiento judicial válido: sólo ante oficio formal de autoridad argentina competente.

Sub-procesadores

Trabajamos con estos proveedores. Todos tienen contrato de confidencialidad y seguridad equivalente al exigido por la Ley 25.326:

| Proveedor | Para qué | Dónde procesa | Política relevante | |---|---|---|---| | Anthropic (Claude) | Extraer datos de los documentos que subís | EE.UU. | No entrena con inputs de la API comercial | | Neon | Base de datos | EE.UU. / UE | Cifrado en reposo por defecto | | Vercel | Hosting + almacenamiento de archivos | EE.UU. / UE | SOC 2, cifrado en reposo | | Resend | Mandarte el magic link por email | EE.UU. / UE | Procesa sólo el email para enviar el link | | Google | OAuth (sólo si elegís ingresar con Google) | EE.UU. | OAuth estándar |

Sobre la IA: ¿se queda Anthropic con mis datos?

No. La API comercial de Claude (la que usamos) no utiliza los inputs ni los outputs para entrenar modelos. Es parte de sus términos de uso para clientes API.

Anthropic recibe el documento, lo procesa, devuelve el JSON extraído y no lo retiene para entrenamiento. Para más detalle, ver sus términos comerciales.

Cuánto tiempo guardamos tus datos

| Cosa | Cuánto | |---|---| | Tu cuenta | Mientras la quieras tener activa | | Documentos originales que subiste | 90 días después de finalizar la valuación, después se borran solos | | Datos estructurados y tu informe | Mientras la valuación esté activa en tu cuenta | | Logs operativos (sin datos sensibles) | 12 meses | | Datos exigidos por AFIP (facturación) | 10 años |

Borrar todo

En /cuenta/datos:

  • Borrar una valuación puntual → desaparece en el momento.
  • Borrar mi cuenta completa → confirmás, te avisamos por email cuando esté todo borrado (máximo 30 días). Es borrado real, no "marcamos como inactivo".

Lo único que queda son los registros que la ley nos obliga a conservar (ej: facturación), y solamente el mínimo.

Tus derechos

Bajo la Ley 25.326 podés:

  • Ver todo lo que tenemos sobre vos (en /cuenta/datos).
  • Corregir cualquier dato.
  • Borrar todo.
  • Oponerte a usos específicos.
  • Llevarte tus datos en un ZIP / JSON.

Lo hacemos en el momento desde la app. Si preferís por email: privacidad@tasapyme.com.ar.

Si te respondemos mal o no te respondemos, podés reclamar a la Agencia de Acceso a la Información Pública (AAIP) — https://www.argentina.gob.ar/aaip.

Si pasa algo

Si detectamos un incidente que pueda afectar tus datos:

  1. Lo contenemos primero.
  2. Te avisamos por email dentro de 72 hs si tus datos pudieron verse afectados.
  3. Notificamos a la AAIP cuando corresponda.
  4. Publicamos un postmortem explicando qué pasó y qué cambiamos para que no se repita.

Lo que viene

Estamos trabajando para:

  • Publicar un changelog público de seguridad con cada cambio relevante.
  • Avanzar hacia una certificación externa (objetivo: ISO 27001 o equivalente).
  • Sumar un bug bounty cuando el producto madure.

Contacto

  • Privacidad / DPO: privacidad@tasapyme.com.ar
  • Seguridad (reportar vulnerabilidades): seguridad@tasapyme.com.ar
  • Soporte: soporte@tasapyme.com.ar

Versión: 0.1 (draft) Última actualización: <<fecha de publicación>>