Legal
Privacidad y Protección de Datos
Última actualización: 19 de junio de 2026
Contenido
- 1. Responsable del tratamiento
- 2. Qué datos recopilamos
- 3. Cómo usamos tus datos
- 4. Bases legales
- 5. Con quién compartimos datos
- 6. Transferencias internacionales
- 7. Cuánto tiempo conservamos tus datos
- 8. Tus derechos
- 9. Cookies y tecnologías similares
- 10. Seguridad de los datos
- 11. Confidencialidad y acceso interno
- 12. Menores de edad
- 13. Cambios en esta política
- 14. Contacto
En SecureStamp nos tomamos muy en serio la privacidad de nuestros usuarios. Esta política describe cómo recopilamos, usamos, protegemos y compartimos información personal al utilizar el servicio disponible en securestamp.online.
1. Responsable del tratamiento
El responsable del tratamiento de datos personales es:
Titular: SecureStamp
Contacto: privacy@securestamp.online
Domicilio: Ciudad Autónoma de Buenos Aires, Argentina
2. Qué datos recopilamos
2.1 Datos que nos proporcionás directamente
- Cuenta: nombre (opcional), dirección de email, contraseña (hasheada, nunca en texto plano)
- Facturación: nombre, email de facturación. Los datos de tarjeta de crédito son procesados directamente por Stripe y nunca almacenados en nuestros servidores
- Dominios: los dominios que registrás para verificación, junto con sus registros DNS públicos
- Canales oficiales: teléfonos, handles, bots, links, dominios y canales que declarás para Signal o para el perímetro de confianza de tu organización
- Contrapartes y políticas: datos que cargás en funciones como VendorShield, incluyendo nombres de contrapartes, dominios, emails, reglas declaradas e instrucciones monetarias representadas como fingerprints o máscaras cuando corresponde
- Contacto: nombre, empresa y mensaje cuando completás el formulario de consulta Enterprise
- Lista de espera: email y nombre opcionales para plugins en desarrollo
2.2 Datos generados automáticamente
- Dirección IP (anonimizada para análisis)
- Tipo de navegador y sistema operativo
- Fecha y hora de acceso
- Emails o dominios verificados a través del plugin (solo el dominio/email del remitente, nunca el contenido del email)
- Consultas de canales, links, números o handles en Signal (solo el valor normalizado o fingerprint necesario para verificar pertenencia al perímetro oficial)
- Action trust checks, receipts, veredictos y eventos de auditoría necesarios para mostrar historial, evidencia y reportes del servicio
- Número de verificaciones realizadas
2.3 Lo que NO recopilamos
- El contenido, asunto, adjuntos o cuerpo de tus emails
- Tus contraseñas de email o acceso a cuentas de terceros
- Datos biométricos o información sensible según la ley
2.4 Extensión de Chrome para Gmail
La extensión de navegador SecureStamp para Gmail (Chrome Web Store, ID libceamdlacklkcnedklmhcjeeffmnao) verifica la autenticidad de los remitentes y, opcionalmente, permite enviar emails firmados o cifrados de extremo a extremo. A continuación se detalla, permiso por permiso, qué datos recopila, cómo los gestiona, dónde los almacena y con quién los comparte. Ninguna sección se omite.
Permisos del navegador y por qué los pedimos
storage— Preferencias y estado local mínimo. Guarda tus preferencias, contadores de uso y el último sello de confianza mostrado. Nunca contiene el contenido de tus emails.unlimitedStorage— Clave criptográfica privada (Confidential Mail). Almacena de forma duradera tu clave criptográfica privada (unCryptoKeyno exportable, guardado en IndexedDB) necesaria para leer tus emails cifrados de extremo a extremo. Este permiso evita que el navegador elimine la clave bajo presión de almacenamiento; si se perdiera, no podrías descifrar tus emails. No almacenamos datos masivos ni contenido de emails: solo la clave y metadatos mínimos. La clave nunca sale de tu dispositivo ni se transmite a nuestros servidores.notifications— Alertas de seguridad. Te muestra una notificación cuando se detecta un remitente bloqueado o de alto riesgo, advirtiéndote de un posible intento de phishing.identity— Token OAuth de Google. Mediantechrome.identityobtiene un token de acceso OAuth de Google para llamar a la API de Gmail con los permisos descritos abajo. El token lo emite Google, se mantiene en memoria durante la sesión y no se almacena en nuestros servidores.- Permisos de host (
mail.google.com,googleapis.com,securestamp.online) — insertan el botón y el sello de SecureStamp en la interfaz de Gmail y permiten la comunicación con la API de Gmail y con la API de SecureStamp.
Permisos de la API de Gmail (scopes OAuth)
gmail.metadata— Leer solo encabezados. Permite leer los encabezadosFrom,ToySubjectdel email abierto: el remitente para calcular el puntaje de confianza, y el sobre completo (remitente/destinatarios/asunto) para verificar la integridad del sello notarial ES256. Este scope no da acceso al cuerpo ni a los adjuntos del email.gmail.send— Enviar solo a pedido tuyo. Permite enviar emails firmados o cifrados únicamente cuando vos lo solicitás explícitamente (al usar la función de envío firmado/Confidential Mail). La extensión nunca envía emails de forma automática ni sin tu acción.
Datos recopilados por la extensión
- Email y dominio del remitente: leídos del email abierto (vía
gmail.metadata) para verificar si el remitente está autenticado y si el dominio tiene un sello de confianza activo. - Dirección de email del usuario: para asociar las verificaciones a tu cuenta SecureStamp cuando estás autenticado.
- Estado de verificación local: caché de los últimos resultados en
chrome.storage.local(TTL máximo 7 días) para evitar llamadas repetidas a la API.
Datos que la extensión NO recopila
- El cuerpo, los adjuntos ni ningún otro contenido de tus emails (el encabezado
Subjectsolo se lee de forma transitoria para verificar el sello notarial; nunca se usa para análisis ni se almacena localmente) - Tus contraseñas de Google o de cualquier otra cuenta
- El historial completo del buzón ni etiquetas de Gmail
- Datos de otros sitios web o pestañas del navegador
Cómo se gestionan y almacenan estos datos
- Transmisión: la extensión envía únicamente el email/dominio del remitente a la API de SecureStamp (
https://securestamp.online/api) mediante HTTPS con TLS 1.3. Las llamadas a la API de Gmail van directamente a los servidores de Google. - Almacenamiento en servidor: los registros de verificación (email/dominio del remitente, timestamp, resultado de confianza) se almacenan en AWS DynamoDB región us-east-1, con cifrado AES-256 en reposo. Se conservan 90 días en forma agregada y luego se eliminan permanentemente.
- Almacenamiento local: la caché de resultados en
chrome.storage.local(TTL 7 días) y la clave criptográfica privada en IndexedDB residen exclusivamente en tu dispositivo y nunca se transmiten a ningún servidor. - Token OAuth: lo emite y gestiona Google; se mantiene en memoria durante la sesión para llamar a la API de Gmail y no se almacena en nuestros servidores.
Cómo se comparten estos datos
- Los datos del remitente no se venden ni se comparten con terceros para publicidad, marketing ni ningún otro fin.
- Solo se transmiten a los servidores de SecureStamp (AWS us-east-1) exclusivamente para calcular el puntaje de confianza del remitente, y a la API de Gmail de Google para las operaciones de lectura del remitente y envío firmado que vos solicitás.
- El uso de la información obtenida de las APIs de Google cumple la Política de Uso Limitado de Chrome Web Store, incluidos sus requisitos de Uso Limitado.
Control del usuario
- Podés desactivar o desinstalar la extensión en cualquier momento desde chrome://extensions. Al desinstalar, todos los datos locales (incluida la clave criptográfica) se eliminan automáticamente.
- Podés revocar el acceso OAuth de la extensión desde la configuración de seguridad de tu cuenta de Google.
- Para solicitar la eliminación de los registros de verificación almacenados en nuestros servidores, enviá un email a privacy@securestamp.online.
2.5 Complemento de Outlook (Office Add-in)
El complemento SecureStamp para Outlook (disponible en Microsoft AppSource y vía URL de manifiesto) opera con el permiso ReadWriteItem de la API de Office. A continuación se detalla exactamente qué datos accede en cada modo.
Modo lectura — verificación del remitente
- Nombre y dirección de email del remitente: leídos del encabezado del mensaje abierto (
item.from). Se envían a la API de SecureStamp para calcular el puntaje de confianza. - Encabezados de internet del mensaje: leídos mediante
item.internetHeaders.getAsync()para detectar el campoX-SecureStamp, que indica si el remitente ya firmó digitalmente el email. - Dirección de email del usuario: obtenida del objeto de buzón de Office.js para asociar la verificación con tu cuenta SecureStamp.
Modo redacción — inserción de sello
- El complemento escribe un bloque HTML de identidad al inicio del email mediante
item.body.prependAsync(). - El complemento NO lee el cuerpo del email que estás redactando ni lo transmite a ningún servidor.
- No accede a destinatarios (Para, CC, CCO) en ningún modo.
Lo que el complemento NO recopila
- El cuerpo, asunto ni adjuntos de los emails que leés o redactás
- La lista de destinatarios (Para, CC, CCO)
- Correos anteriores, carpetas ni calendario
- Credenciales de Office 365 ni tokens de sesión de Microsoft
Cómo se gestionan y almacenan estos datos
- Transmisión: solo el email y dominio del remitente se envían a
https://securestamp.online/apivía HTTPS con TLS 1.3. El complemento carga su interfaz desdehttps://securestamp.online/outlook/taskpane.html. - Almacenamiento en servidor: idéntico al de la extensión de Chrome — DynamoDB us-east-1, cifrado AES-256, retención 90 días en forma agregada.
- Sin almacenamiento local de Office: el complemento no usa
RoamingSettingsniCustomPropertiesde Office para almacenar datos personales.
Cómo se comparten estos datos
- Los datos no se venden ni comparten con Microsoft ni con ningún tercero para publicidad u otros fines.
- Solo se usan en los servidores de SecureStamp para calcular el puntaje de confianza del remitente.
Control del usuario
- El complemento puede ser desinstalado por el usuario desde Configuración de Outlook → Complementos, o por el administrador de IT desde el Centro de Administración de Microsoft 365.
- Para eliminar los registros del servidor: privacy@securestamp.online.
2.6 Análisis con IA en tu dispositivo y telemetría anónima
Las extensiones incluyen un clasificador de IA que se ejecuta localmente en tu dispositivo (modelo embebido, WebAssembly). El análisis del contenido del email para detectar señales de phishing, estafa o spam ocurre enteramente en tu navegador: el cuerpo del mensaje nunca se transmite a SecureStamp ni a ningún servidor para ese análisis.
De forma opcional, para mejorar la calidad del modelo, la extensión puede enviar a /api/ml/report un reporte anónimo y sin contenido, que contiene únicamente: cuatro puntajes numéricos entre 0 y 1 (scam, obsceno, comercial, personal), el nivel de riesgo resultante (seguro / sospechoso / peligroso), el largo del mensaje como número, el cliente de origen (gmail, outlook…), el idioma y la versión del modelo. No se envía el texto del email, ni frases, ni asuntos, ni direcciones, ni identificadores del usuario.
Análogamente, los eventos de producto enviados a /api/events contienen solo el tipo de plan, el nombre del evento y el nivel de riesgo — nunca emails ni datos del remitente. El modelo de IA se descarga desde /api/ml/model/latest y se ejecuta localmente; SecureStamp no recibe lo que el modelo analiza.
3. Cómo usamos tus datos
- Prestación del servicio: verificar dominios, canales oficiales y contrapartes; procesar solicitudes de confianza, emitir PostalStamps, Trust Receipts y Action Receipts
- Gestión de cuenta: autenticación, recuperación de contraseña, administración del plan
- Facturación: procesar pagos, enviar facturas, gestionar suscripciones
- Comunicaciones: notificaciones sobre el servicio, alertas de seguridad, actualizaciones de planes
- Seguridad: detección de fraude, prevención de abuso, análisis de patrones anómalos
- Mejora del producto: análisis agregado y anonimizado de uso del servicio
- Legal: cumplimiento de obligaciones legales y requerimientos de autoridades competentes
No utilizamos datos personales para publicidad de terceros ni vendemos datos a ningún tercero.
4. Bases legales
- Ejecución del contrato: datos necesarios para prestar el servicio contratado
- Consentimiento: comunicaciones de marketing (podés retirar el consentimiento en cualquier momento)
- Interés legítimo: seguridad del servicio, prevención de fraude, mejora del producto
- Obligación legal: respuesta a requerimientos de autoridades competentes
5. Con quién compartimos datos
5.1 Proveedores de servicios
- Amazon Web Services (AWS): infraestructura cloud, base de datos DynamoDB, autenticación Cognito, envío de emails (SES). Servidores en región us-east-1 (Virginia, EE.UU.)
- Stripe: procesamiento de pagos. Datos de pago sujetos a la política de privacidad de Stripe
- Vercel: hosting de la aplicación web
5.2 Divulgación legal
Podemos divulgar información cuando sea requerido por ley, orden judicial o autoridad gubernamental competente, o cuando sea necesario para proteger derechos, propiedad o seguridad de SecureStamp, sus usuarios o terceros.
5.3 Transferencia empresarial
En caso de fusión, adquisición o venta de activos, los datos pueden ser transferidos al adquirente, quien estará obligado a cumplir esta política o notificarte antes de cualquier cambio material.
6. Transferencias internacionales
Algunos de nuestros proveedores procesan datos fuera de Argentina (principalmente en EE.UU.). Estas transferencias se realizan con las garantías adecuadas conforme a la Ley 25.326 de Protección de Datos Personales y bajo contratos de procesamiento de datos con cada proveedor.
7. Cuánto tiempo conservamos tus datos
- Datos de cuenta activa: mientras la cuenta esté activa
- Datos de cuenta cancelada: 90 días después de la cancelación (para cumplir obligaciones legales), luego eliminación permanente
- Registros de verificación: 90 días en forma desagregada, luego eliminados
- Datos de facturación: 10 años según obligaciones impositivas argentinas
- Lista de espera: hasta que se lance el plugin correspondiente o hasta que solicites la eliminación
8. Tus derechos
Conforme a la Ley 25.326 y normativa aplicable, tenés derecho a:
- Acceso: solicitar qué datos personales tenemos sobre vos
- Rectificación: corregir datos inexactos o incompletos
- Supresión: solicitar la eliminación de tus datos (“derecho al olvido”)
- Portabilidad: recibir tus datos en formato estructurado y legible por máquina
- Oposición: oponerte al tratamiento basado en interés legítimo
- Retiro del consentimiento: revocar el consentimiento dado para usos específicos
Para ejercer estos derechos, contactate a privacy@securestamp.online. Respondemos en un plazo máximo de 30 días hábiles. Podés también presentar una reclamación ante la Agencia de Acceso a la Información Pública (AAIP) de Argentina.
9. Cookies y tecnologías similares
9.1 Cookies estrictamente necesarias
Utilizamos cookies de sesión para la autenticación y funcionamiento del servicio. Estas cookies no pueden desactivarse sin afectar el funcionamiento del sitio.
9.2 Cookies de análisis
Usamos análisis propios (sin Google Analytics) para entender cómo se usa el servicio, de forma agregada y sin identificar usuarios individuales.
9.3 Sin cookies de publicidad
No utilizamos cookies de publicidad ni tracking de terceros para fines publicitarios.
10. Seguridad de los datos
Implementamos medidas técnicas y organizativas para proteger tus datos:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
- Autenticación de dos factores disponible para todas las cuentas
- Acceso interno restringido por roles (principio de mínimo privilegio)
- Auditorías de seguridad regulares
- Monitoreo de anomalías y alertas automáticas
En caso de brecha de seguridad que afecte tus datos, te notificaremos dentro de las 72 horas de detectada.
11. Confidencialidad y acceso interno
El acceso a datos personales de usuarios está restringido exclusivamente al personal y sistemas que necesiten esa información para prestar el servicio. Todo acceso interno queda registrado en logs de auditoría. El personal de SecureStamp está sujeto a obligaciones de confidencialidad y no puede acceder al contenido de emails de usuarios bajo ninguna circunstancia.
Los datos de una organización (dominios, remitentes autorizados, configuración) son confidenciales y no se comparten con otros usuarios ni organizaciones del servicio.
Los datos privados de Signal, VendorShield y Action Trust —como contrapartes, canales declarados, políticas, fingerprints de instrucciones monetarias, receipts y eventos de auditoría— se usan para prestar el servicio, mostrar historial y generar evidencia verificable. No se utilizan para afirmar intención fraudulenta ni para certificar la verdad del contenido de un mensaje.
Registros notariales (sellos y verificación)
Cuando se emite un sello, SecureStamp guarda un registro notarial diseñado para minimizar datos: nunca almacenamos el cuerpo del mensaje. El registro contiene un hash criptográfico del sobre (headersHash = SHA-256 de remitente, destinatarios, asunto y metadatos), los destinatarios guardados como HMAC (no en claro), el dominio remitente, el puntaje y nivel de confianza, y marcas de tiempo. Sirve para que un tercero pueda verificar origen e integridad sin que SecureStamp conserve el contenido.
SecureStamp Signal (confianza de canales)
En Signal guardamos solo el fingerprint normalizado del canal consultado (p. ej. telegram:marca), nunca el contenido del mensaje reenviado. Cada Trust Receipt es un comprobante firmado y fechado.
Action Trust y VendorShield
Para Action Trust y VendorShield, SecureStamp puede almacenar veredictos, safe next steps, IDs de receipts, estados de challenges, contrapartes declaradas y métricas de operaciones protegidas. Las instrucciones monetarias sensibles se comparan mediante fingerprints y máscaras; no se guardan en texto plano salvo que exista una función cifrada explícita y habilitada para tu organización.
Confidential Mail (cifrado de extremo a extremo)
En el correo confidencial, el contenido se cifra en tu dispositivo (E2EE). SecureStamp almacena únicamente claves públicas en el directorio y datos mínimos de cuota; no puede descifrar ni leer el contenido de los mensajes confidenciales.
12. Menores de edad
El servicio no está dirigido a menores de 13 años. No recopilamos intencionalmente datos de menores. Si tomamos conocimiento de que se han recopilado datos de un menor sin consentimiento parental, los eliminaremos inmediatamente.
13. Cambios en esta política
Podemos actualizar esta política periódicamente. Los cambios materiales serán notificados por email con al menos 15 días de anticipación. La política vigente siempre estará disponible en securestamp.online/es/privacy.
14. Contacto
Privacidad y datos: privacy@securestamp.online
Seguridad: security@securestamp.online
Legal: legal@securestamp.online