Política de Privacidad
Última actualización: 2026-05-13
Esta política describe cómo Arc OS (arc-os.co) recopila, usa y
protege la información sobre ti durante la beta cerrada. Será
revisada antes de la disponibilidad general.
Qué recopilamos
| Categoría | Ejemplos | Propósito |
|---|---|---|
| Identidad de cuenta | Dirección de email, perfil OAuth (nombre + avatar de Google/GitHub), contraseña hasheada | Autenticación + recuperación de cuenta |
| Datos del proyecto | Prompts que envías, respuestas de IA, archivos que subes, código que generas | Operar tu workspace |
| Logs de uso | Entradas del activity log (actualizaciones de issues, deploys, exportaciones), timestamps, IPs, user agents | Auditoría de multi-tenancy + forense de seguridad |
| Telemetría | Eventos del funnel de onboarding, contadores de uso de funcionalidades (sin contenido) | Mejora del producto |
| Uso de créditos de prueba | Conteos de tokens por llamada a IA (sin contenido del prompt) | Cumplimiento de cuota |
Qué NO recopilamos
- Sin filtración de datos entre inquilinos. Cada llamada a la API está protegida por
canAccessProject(...). Los proyectos de otros usuarios son inaccesibles. - Sin entrenamiento de modelos con tu contenido. No introducimos tu código, prompts o respuestas en ningún pipeline de entrenamiento — ni el nuestro ni el de terceros.
- Sin rastreadores de publicidad, sin SDKs de analítica. Sin Google Analytics, sin Mixpanel, sin Sentry. Solo logs del lado del servidor.
- Sin rastreadores sociales de terceros. Los proveedores de OAuth solo ven el flujo de login; no obtienen scripts embebidos en la app.
Cómo lo almacenamos
- En tránsito: TLS 1.3 via Cloudflare → nginx de origen → backend. Authenticated Origin Pulls (mTLS) preparado (Fase 53.17.5).
- En reposo: Base de datos SQLite. Los campos sensibles están cifrados con AES-256-GCM usando claves derivadas de tu contraseña (E2EE Fase 45).
- Vault: Las claves API y tokens de bot viven en
config/vault.json— cifrado AES-256-GCM, nunca escrito en.envni comprometido en git. - Redacción de PII: Las direcciones de email, claves API, JWTs y números de tarjeta
se sanean de los logs del servidor en el momento de escritura (
shared/pii-sanitizer.ts).
Quién puede ver tus datos
| Rol | Acceso |
|---|---|
| Tú | Lectura/escritura completa de tus proyectos |
| Otros usuarios | Nada — multi-tenancy aplicado del lado del servidor |
| Operador de la plataforma (CEO) | Solo metadatos operacionales (nombres de proyectos, timestamps de última actividad); el contenido del chat está cifrado en reposo |
| Proveedores de IA (Anthropic) | Los prompts que les envías, según sus propios términos |
Procesadores de terceros
Usamos el conjunto mínimo de terceros necesarios para operar el servicio:
- Cloudflare — DNS, CDN, protección DDoS, WAF.
- Anthropic — Inferencia de IA con Claude (cuando usas cualquier worker).
- Proveedores OAuth (Google, GitHub) — Solo para inicio de sesión; recibimos únicamente el perfil básico (id, email, nombre, URL de avatar).
- Proveedor de email — Email transaccional saliente (verificación + restablecimiento de contraseña + magic link). Sin newsletters ni marketing.
No usamos:
- Redes de publicidad
- SDKs de analítica (sin GA, sin Mixpanel)
- Herramientas CRM para rastrearte
- Píxeles de rastreo en emails transaccionales
Tus derechos
En cualquier momento puedes:
- Exportar todos los datos de tu proyecto via Configuración del Proyecto → AI Interop → Exportar contexto del proyecto (Fase 56). La exportación pasa por un escáner de secretos de 3 niveles antes de la descarga.
- Eliminar tu cuenta enviando un email a
[email protected]. Purgaremos tus proyectos, historial de chat, entradas del vault y fila de cuenta en un plazo de 30 días. Las entradas del audit log pueden conservarse anonimizadas para prevención del fraude. - Solicitar una copia de tus datos enviando un email a
[email protected]. - Oponerte al procesamiento cerrando tu cuenta.
Los residentes de la UE tienen los derechos adicionales garantizados por el RGPD (Artículos
15–22). Los residentes de Ucrania tienen derechos bajo la Ley de Protección de Datos Personales (ZUOPD). Para ejercer cualquiera de estos derechos, escribe a [email protected].
Cookies + almacenamiento local
Arc OS usa localStorage para guardar:
crm-token— tu token de sesión JWT (TTL 24h)crm-last-project— último proyecto abierto (conveniencia de UX)crm-locale— tu idioma seleccionado
Usa sessionStorage (solo en el browser, se borra al cerrar la pestaña) para guardar:
- Tu clave maestra E2EE — derivada del lado del cliente a partir de tu contraseña, nunca enviada al servidor.
Sin cookies de terceros, sin cookies de publicidad, sin cookies de rastreo.
Retención de datos
| Dato | Retención |
|---|---|
| Contenido activo del proyecto | Mientras la cuenta esté activa |
| Cuenta eliminada | Purgada en 30 días |
| Audit logs (anonimizados) | 12 meses para detección de fraude |
| Tokens de verificación de email | TTL 24 horas |
| Tokens de restablecimiento de contraseña | TTL 30 minutos |
| Tokens de magic link | TTL 10 minutos |
Menores
El servicio no está destinado a usuarios menores de 16 años. Si tienes conocimiento de
que un menor se ha registrado, envía un email a [email protected] para que podamos
eliminar la cuenta.
Incidentes de seguridad
Si tenemos conocimiento de una brecha que afecte a tus datos, te notificaremos por email en un plazo de 72 horas desde la confirmación del compromiso, según el Artículo 33 del RGPD.
Para reportar un problema de seguridad: [email protected].
Cambios en esta política
Podemos revisar esta política. Los cambios materiales se anunciarán via:
- El canal de Telegram
@arcos_beta_feedback, y - Un banner en la aplicación durante al menos 7 días.
Contacto
- Operador: Sergii Marchenko (Ucrania)
- Contacto de privacidad:
[email protected] - Contacto de seguridad:
[email protected]