Política de Privacidad

1. Introducción

Aurah Commerce LLC ("nosotros") opera la suite de aplicaciones Ecombone para Shopify (en conjunto, los "Servicios"), que incluye Ecombone Devoluciones y Cambios, Ecombone Garantías, Ecombone Inventario, Ecombone Profit Tracker y cualquier aplicación futura publicada bajo la marca Ecombone. Esta Política de Privacidad explica cómo recogemos, usamos, divulgamos y protegemos tu información cuando utilizas cualquiera de nuestros Servicios.

2. Información obtenida de Shopify

Cuando instalas cualquiera de nuestras apps, recogemos y almacenamos la siguiente información de tu tienda Shopify. Los datos concretos a los que accedemos dependen de la app o apps que instales:

• Información de la tienda (todas las apps): nombre de la tienda, dominio, dirección de email, divisa y zona horaria
• Datos de pedidos (Devoluciones y Cambios, Garantías, Profit Tracker): números de pedido, nombres de cliente, emails de cliente, totales del pedido, líneas de pedido (nombres de producto, SKUs, precios, cantidades, variantes), direcciones de envío, estado del pedido, estado de cumplimiento, códigos de descuento y asignaciones de descuento
• Datos de productos (todas las apps): títulos de producto, imágenes, variantes, precios, tags y colecciones
• Datos de inventario (Inventario): niveles de inventario, ubicaciones, cantidades de stock e historial de cumplimiento
• Datos de autenticación (todas las apps): tokens de acceso de Shopify (almacenados de forma segura y nunca compartidos)

3. Información que tú proporcionas

También recogemos la información que tú nos proporcionas directamente, según los Servicios que utilices:

• Configuración de marca: nombre de marca, URLs de logo y preferencias de color
• Configuración de devoluciones y cambios: ventana de devolución, motivos, ubicaciones/direcciones, preferencias de flujo de estados, preferencias de notificación por email
• Solicitudes de devolución: información enviada por el cliente, incluyendo artículos, motivos y selecciones de cambio
• Configuración de garantías: reglas de garantía, periodos de cobertura, preferencias de resolución y motivos de reclamación
• Reclamaciones de garantía: reclamaciones enviadas por el cliente, incluyendo detalle del artículo, descripción del problema y pruebas fotográficas (JPEG, PNG, WebP)
• Configuración de inventario: información de proveedores, lead times, umbrales de reposición, reglas de packaging, asignaciones de materias primas y preferencias de forecasting
• Configuración de Profit Tracker: datos de COGS, costes de envío, inversión publicitaria y configuraciones de comisiones
• Información de miembros del equipo: nombres, emails y asignaciones de rol para cuentas de equipo

4. Información recogida automáticamente

Cierta información se recoge automáticamente cuando usas los Servicios:

• Datos de uso: direcciones IP (para rate limiting), tipo de navegador, sistema operativo, timestamps
• Datos de sesión: tokens de autenticación (almacenados en cookies HTTP-only seguras)

5. Cómo usamos tu información

Usamos la información recogida para:

• Prestar los Servicios: procesar solicitudes de devolución, reclamaciones de garantía, reembolsos, pedidos de cambio, seguimiento de inventario, cálculos de beneficio y enviar notificaciones por email
• Mejorar los Servicios: analizar patrones de uso, resolver incidencias, desarrollar nuevas funcionalidades
• Seguridad: prevenir fraude, aplicar rate limits, proteger frente a actividad maliciosa
• Comunicación: enviar emails relacionados con el servicio (confirmaciones de devolución, actualizaciones de garantía, alertas de inventario, notificaciones de estado)
• Cumplimiento: cumplir obligaciones legales y los requisitos del Shopify Partner Program

6. Almacenamiento y seguridad de los datos

Todos los datos se almacenan en Supabase (PostgreSQL) con row-level security activado. Los datos se almacenan en la UE (Irlanda). Los datos se cifran en tránsito (TLS 1.3) y en reposo (AES-256). Aplicamos las siguientes medidas de seguridad:

• Tokens de acceso de Shopify cifrados y almacenados de forma segura
• Cookies HTTP-only con flags Secure y SameSite
• Tokens de sesión firmados con HMAC-SHA256
• Hashing de contraseñas con PBKDF2 para cuentas de equipo
• Rate limiting para prevenir abusos
• Row-level security (RLS) para aislamiento multi-tenant
• Acceso de solo lectura a la API de Shopify cuando aplica (p. ej. Inventario nunca escribe en tu tienda)
• Auditorías de seguridad regulares y actualización de dependencias

7. Retención de datos

Conservamos tus datos según el siguiente calendario:

• Tiendas activas: datos conservados mientras la app esté instalada
• Apps desinstaladas: datos conservados 30 días tras la desinstalación y luego eliminados de forma permanente
• Registros operativos (devoluciones, reclamaciones de garantía, historial de inventario): conservados mientras la app correspondiente esté instalada, por motivos de registro y cumplimiento
• Subidas de fotos (Garantías): conservadas mientras la app esté instalada; eliminadas en un plazo de 30 días tras la desinstalación

8. Compartición de datos con terceros

Compartimos datos con los siguientes proveedores de servicio esenciales:

• Shopify: accedemos a los datos de tu tienda Shopify a través de la API de Shopify para proporcionar la funcionalidad de la app
• Supabase: proveedor de hosting y almacenamiento de base de datos
• Resend: servicio de envío de email para notificaciones en todas las apps

9. Lo que no hacemos

Estamos comprometidos con un uso responsable de los datos:

• NO vendemos tus datos a terceros
• NO usamos tus datos para publicidad
• NO compartimos tus datos con la competencia
• NO entrenamos modelos de IA con datos de tus clientes
• NO compartimos datos entre cuentas de distintos merchants

10. Base legal del tratamiento (RGPD)

Tratamos tu información personal en base a los siguientes fundamentos legales:

• Ejecución de contrato: tratamiento necesario para prestar los Servicios solicitados (p. ej. gestionar devoluciones, procesar reclamaciones de garantía, hacer seguimiento de inventario)
• Interés legítimo: tratamiento necesario para nuestros intereses legítimos de negocio (p. ej. mejorar los Servicios, prevenir fraude, garantizar la seguridad)
• Obligación legal: tratamiento necesario para cumplir leyes aplicables (p. ej. obligaciones fiscales, requisitos de Shopify Partner)
• Consentimiento: cuando lo exija la ley, tratamos los datos con tu consentimiento explícito, que puedes retirar en cualquier momento

11. Tus derechos (RGPD)

Si te encuentras en el Espacio Económico Europeo (EEE), tienes los siguientes derechos:

• Derecho de acceso: solicitar una copia de tus datos
• Derecho de rectificación: corregir datos inexactos
• Derecho de supresión: solicitar el borrado de tus datos
• Derecho de limitación: limitar cómo usamos tus datos
• Derecho de portabilidad: recibir tus datos en un formato estructurado
• Derecho de oposición: oponerte al tratamiento de datos
• Derecho a retirar el consentimiento: retirar el consentimiento en cualquier momento

12. Tus derechos (CCPA/CPRA)

Si resides en California, tienes los siguientes derechos según la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA):

• Derecho a saber: solicitar la divulgación de las categorías y piezas concretas de información personal que hemos recogido sobre ti
• Derecho a borrar: solicitar la eliminación de tu información personal
• Derecho a corregir: solicitar la corrección de información personal inexacta
• Derecho a opt-out: oponerte a la venta o compartición de tu información personal (nota: no vendemos tus datos)
• Derecho a no discriminación: no te discriminaremos por ejercer tus derechos de privacidad

13. Delegado de Protección de Datos

Para ejercer tus derechos RGPD o CCPA, o para consultas de protección de datos, contáctanos en info@ecombone.com o desinstala la app desde tu admin de Shopify. Para consultas específicas de protección de datos, escribe a dpo@ecombone.com o por correo postal a 30N Gould St, Sheridan, WY 82801, US. Responderemos a las solicitudes verificables en un plazo de 30 días (RGPD) o 45 días (CCPA).

14. Notificación de brechas de datos

En caso de una brecha de datos que afecte a tu información personal, notificaremos a las partes afectadas y a las autoridades supervisoras pertinentes en un plazo de 72 horas desde que tengamos conocimiento de la brecha, conforme al artículo 33 del RGPD. La notificación incluirá la naturaleza de la brecha, las categorías y el número aproximado de registros afectados, las consecuencias probables y las medidas tomadas o propuestas para abordar la brecha. Nos comunicaremos directamente con los merchants afectados a través del email de su tienda.

15. Privacidad de menores

Nuestros Servicios no están dirigidos a personas menores de 18 años. No recogemos a sabiendas información personal de menores.

16. Transferencias internacionales de datos

Si te encuentras fuera de Estados Unidos, tus datos pueden ser transferidos y tratados en Estados Unidos. Garantizamos que existen las salvaguardas adecuadas para dichas transferencias, conforme al artículo 46 del RGPD.

17. Cookies

Usamos las siguientes cookies en nuestros Servicios:

• Cookies de sesión: admin_session_{store-slug} (autenticación, HTTP-only, expira tras 24 horas)
• Cookies OAuth: shopify_oauth_nonce (protección CSRF, expira tras 10 minutos), auth_redirect (redirección post-login, expira tras 10 minutos)

18. Cambios en esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Te notificaremos los cambios significativos actualizando la fecha de "Última actualización", publicando un aviso en la app y enviando un email a la dirección de tu tienda. El uso continuado de los Servicios tras los cambios implica la aceptación de la política actualizada.

19. Cumplimiento Shopify App Store

Todas las apps de Ecombone cumplen con los Términos de Servicio de la API de Shopify y con el Acuerdo del Partner Program. Nosotros:

• Solo accedemos a los datos necesarios para la funcionalidad de cada app
• Usamos OAuth de Shopify para autenticación
• Verificamos las firmas de los webhooks
• Eliminamos los datos del merchant en un plazo de 48 horas tras la desinstalación (o en 30 días si la ley exige conservarlos)

20. Contacta con nosotros

Si tienes preguntas sobre esta Política de Privacidad, contáctanos en info@ecombone.com o visita https://ecombone.com. Dirección postal: 30N Gould St, Sheridan, WY 82801, US.

21. Adenda de Tratamiento de Datos (DPA)

Para clientes que necesiten una Adenda de Tratamiento de Datos según el artículo 28 del RGPD, contacta con info@ecombone.com para solicitar nuestra plantilla de DPA.