Politica de Privacidad

1. Quien es el responsable

BrechaSecurity (BRECHA) es el responsable del tratamiento de tus datos personales. Domicilio: Santiago, Chile. Contacto: hola@brechasecurity.cl.

2. Que datos recolectamos

De ti como persona

• Correo electronico — para crear tu cuenta y enviarte links de acceso.
• Nombre y empresa — opcionales, los ingresas tu si quieres.
• Pais — opcional, lo asumimos Chile por default.
• Identificador de cuenta (UUID) — generado automaticamente, no es informacion personal.

De tu actividad en BRECHA

• Dominios que registras — junto con la fecha y un token de verificacion.
• Resultados de los escaneos — subdominios encontrados, servicios expuestos, vulnerabilidades detectadas.
• Hash de los hallazgos — para evitar duplicados, no contiene datos personales.

Lo que NO guardamos

• Tu numero de tarjeta. Los pagos pasan directo por Stripe; nosotros solo guardamos el ID del cliente Stripe.
• Tu IP en nuestra base de datos. Los proveedores de infraestructura (Vercel, Supabase) tienen sus propios logs operacionales.
• Tu historial de navegacion fuera de BRECHA. No usamos analytics de terceros (Google Analytics, Meta Pixel, etc.).
• Cookies de tracking publicitario. Solo cookies tecnicas necesarias para mantener tu sesion.

3. Para que usamos tus datos

• Operar el servicio y mostrarte tus hallazgos en la consola.
• Enviarte correos transaccionales (acceso, alertas si las activaste, recordatorios de facturacion).
• Cumplir obligaciones legales (facturacion, retencion de comprobantes tributarios).
• Mejorar el servicio en agregado y de forma anonimizada.

No usamos tus datos para entrenar modelos de IA, no los vendemos a terceros, no los compartimos con anunciantes.

4. Quien tiene acceso a tus datos

Personas en BRECHA

Solo el equipo tecnico de BRECHA puede acceder a tus datos para operar el servicio. Cada hallazgo critico es revisado por un experto antes de notificarte.

Proveedores de infraestructura (encargados de tratamiento)

• Supabase (base de datos y autenticacion) — region sa-east-1 (Sao Paulo). Aplica Row Level Security: cada usuario solo ve sus propios datos.
• Vercel (hosting del sitio web) — la app corre en regiones de Vercel.
• Resend (envio de correos) — solo le pasamos el correo destinatario y el contenido del mensaje.
• AWS EC2 (motor de escaneo) — instancia en region us-east-2. Procesa datos solo de los dominios que autorizas.
• Stripe (pagos) — recibe tu correo y datos de la tarjeta cuando pagas. Nunca vemos los datos de tu tarjeta.
• BTCPay Server (pagos en Bitcoin, opcional) — sin custodia de tus monedas, solo recibe la transaccion.

Todos estos proveedores estan obligados contractualmente a usar tus datos solo para operar el servicio que nos prestan. Algunos procesan datos fuera de Chile; eso lo informamos abajo.

Transferencias internacionales

Algunos proveedores procesan datos en Estados Unidos (Vercel, Resend, Stripe, AWS). Lo hacemos amparados en clausulas contractuales tipo y bajo el principio de minimizacion: solo va lo necesario.

5. Cuanto tiempo guardamos los datos

• Datos de tu cuenta — mientras mantengas la cuenta activa.
• Hallazgos cerrados — 90 dias despues de marcarlos como resueltos.
• Logs de auditoria — 30 dias.
• Comprobantes de pago — 6 anos (obligacion tributaria chilena).
• Datos despues que eliminas tu cuenta — borrado fisico en menos de 30 dias, salvo lo que la ley nos obligue a retener (facturacion).

6. Tus derechos (Ley 21.719)

La Ley 21.719 de Chile te otorga estos derechos sobre tus datos personales. Todos son ejercibles por correo a hola@brechasecurity.cl y los respondemos en un plazo maximo de 30 dias:

• Acceso — puedes pedirnos copia de toda la informacion que tenemos sobre ti.
• Rectificacion — puedes pedirnos que corrijamos datos inexactos.
• Supresion (olvido) — puedes pedirnos que borremos tus datos. Los borramos salvo lo que la ley nos obligue a conservar.
• Oposicion — puedes oponerte al tratamiento de tus datos para finalidades especificas.
• Portabilidad — puedes pedirnos tus datos en un formato estructurado (JSON o CSV) para llevartelos a otro servicio.
• Bloqueo — puedes pedirnos que dejemos de procesar tus datos sin borrarlos, en casos especificos previstos por ley.
• Retiro del consentimiento — puedes retirar tu consentimiento en cualquier momento, lo que implica el cese del servicio para ese dominio.

7. Como protegemos tus datos

• TLS en todas las conexiones.
• Row Level Security en la base de datos: cada usuario solo accede a sus propias filas.
• Llaves de servicio aisladas: el motor de escaneo usa una llave diferente a la del frontend.
• Auditoria de acciones sensibles en el servicio.
• Magic links sin contrasena: no manejamos contrasenas que se puedan filtrar.
• Headers de seguridad estandar (CSP, X-Frame-Options, HSTS) para evitar clickjacking y XSS.

8. Cookies

Usamos solo cookies tecnicas necesarias para el funcionamiento del servicio:

• Sesion de Supabase — para mantenerte autenticado.
• Preferencia de tema — si activas modo claro/oscuro (no implementado por ahora).

No usamos cookies de tracking publicitario, ni Google Analytics, ni Meta Pixel, ni nada similar. Si en el futuro agregamos analiticas, sera con software que respete la privacidad y te avisaremos.

9. Menores de edad

BRECHA es un servicio para empresas y profesionales. No recolectamos datos de menores de 18 anos a sabiendas. Si crees que un menor uso BRECHA, escribenos y borramos sus datos.

10. Cambios a esta politica

Si cambiamos esta politica de manera material, te avisamos por correo con al menos 30 dias de anticipacion. La version y la fecha de vigencia se actualizan al inicio del documento.

11. Reclamos

Si crees que estamos manejando mal tus datos, escribenos primero a hola@brechasecurity.cl. Si la respuesta no te satisface, puedes presentar un reclamo ante la Agencia de Proteccion de Datos Personales de Chile, una vez que esta entre en operacion.