Ir al contenido principal

Legal

Privacidad y Protección de Datos

Última actualización: 19 de junio de 2026

Contenido

  1. 1. Responsable del tratamiento
  2. 2. Qué datos recopilamos
  3. 3. Cómo usamos tus datos
  4. 4. Bases legales
  5. 5. Con quién compartimos datos
  6. 6. Transferencias internacionales
  7. 7. Cuánto tiempo conservamos tus datos
  8. 8. Tus derechos
  9. 9. Cookies y tecnologías similares
  10. 10. Seguridad de los datos
  11. 11. Confidencialidad y acceso interno
  12. 12. Menores de edad
  13. 13. Cambios en esta política
  14. 14. Contacto

En SecureStamp nos tomamos muy en serio la privacidad de nuestros usuarios. Esta política describe cómo recopilamos, usamos, protegemos y compartimos información personal al utilizar el servicio disponible en securestamp.online.

1. Responsable del tratamiento

El responsable del tratamiento de datos personales es:

Titular: SecureStamp

Contacto: privacy@securestamp.online

Domicilio: Ciudad Autónoma de Buenos Aires, Argentina

2. Qué datos recopilamos

2.1 Datos que nos proporcionás directamente

  • Cuenta: nombre (opcional), dirección de email, contraseña (hasheada, nunca en texto plano)
  • Facturación: nombre, email de facturación. Los datos de tarjeta de crédito son procesados directamente por Stripe y nunca almacenados en nuestros servidores
  • Dominios: los dominios que registrás para verificación, junto con sus registros DNS públicos
  • Canales oficiales: teléfonos, handles, bots, links, dominios y canales que declarás para Signal o para el perímetro de confianza de tu organización
  • Contrapartes y políticas: datos que cargás en funciones como VendorShield, incluyendo nombres de contrapartes, dominios, emails, reglas declaradas e instrucciones monetarias representadas como fingerprints o máscaras cuando corresponde
  • Contacto: nombre, empresa y mensaje cuando completás el formulario de consulta Enterprise
  • Lista de espera: email y nombre opcionales para plugins en desarrollo

2.2 Datos generados automáticamente

  • Dirección IP (anonimizada para análisis)
  • Tipo de navegador y sistema operativo
  • Fecha y hora de acceso
  • Emails o dominios verificados a través del plugin (solo el dominio/email del remitente, nunca el contenido del email)
  • Consultas de canales, links, números o handles en Signal (solo el valor normalizado o fingerprint necesario para verificar pertenencia al perímetro oficial)
  • Action trust checks, receipts, veredictos y eventos de auditoría necesarios para mostrar historial, evidencia y reportes del servicio
  • Número de verificaciones realizadas

2.3 Lo que NO recopilamos

  • El contenido, asunto, adjuntos o cuerpo de tus emails
  • Tus contraseñas de email o acceso a cuentas de terceros
  • Datos biométricos o información sensible según la ley

2.4 Extensión de Chrome para Gmail

La extensión de navegador SecureStamp para Gmail (Chrome Web Store, ID libceamdlacklkcnedklmhcjeeffmnao) verifica la autenticidad de los remitentes y, opcionalmente, permite enviar emails firmados o cifrados de extremo a extremo. A continuación se detalla, permiso por permiso, qué datos recopila, cómo los gestiona, dónde los almacena y con quién los comparte. Ninguna sección se omite.

Permisos del navegador y por qué los pedimos

  • storage Preferencias y estado local mínimo. Guarda tus preferencias, contadores de uso y el último sello de confianza mostrado. Nunca contiene el contenido de tus emails.
  • unlimitedStorage Clave criptográfica privada (Confidential Mail). Almacena de forma duradera tu clave criptográfica privada (un CryptoKey no exportable, guardado en IndexedDB) necesaria para leer tus emails cifrados de extremo a extremo. Este permiso evita que el navegador elimine la clave bajo presión de almacenamiento; si se perdiera, no podrías descifrar tus emails. No almacenamos datos masivos ni contenido de emails: solo la clave y metadatos mínimos. La clave nunca sale de tu dispositivo ni se transmite a nuestros servidores.
  • notifications Alertas de seguridad. Te muestra una notificación cuando se detecta un remitente bloqueado o de alto riesgo, advirtiéndote de un posible intento de phishing.
  • identity Token OAuth de Google. Mediante chrome.identity obtiene un token de acceso OAuth de Google para llamar a la API de Gmail con los permisos descritos abajo. El token lo emite Google, se mantiene en memoria durante la sesión y no se almacena en nuestros servidores.
  • Permisos de host (mail.google.com, googleapis.com, securestamp.online) — insertan el botón y el sello de SecureStamp en la interfaz de Gmail y permiten la comunicación con la API de Gmail y con la API de SecureStamp.

Permisos de la API de Gmail (scopes OAuth)

  • gmail.metadata Leer solo encabezados. Permite leer los encabezados From, To y Subject del email abierto: el remitente para calcular el puntaje de confianza, y el sobre completo (remitente/destinatarios/asunto) para verificar la integridad del sello notarial ES256. Este scope no da acceso al cuerpo ni a los adjuntos del email.
  • gmail.send Enviar solo a pedido tuyo. Permite enviar emails firmados o cifrados únicamente cuando vos lo solicitás explícitamente (al usar la función de envío firmado/Confidential Mail). La extensión nunca envía emails de forma automática ni sin tu acción.

Datos recopilados por la extensión

  • Email y dominio del remitente: leídos del email abierto (vía gmail.metadata) para verificar si el remitente está autenticado y si el dominio tiene un sello de confianza activo.
  • Dirección de email del usuario: para asociar las verificaciones a tu cuenta SecureStamp cuando estás autenticado.
  • Estado de verificación local: caché de los últimos resultados en chrome.storage.local (TTL máximo 7 días) para evitar llamadas repetidas a la API.

Datos que la extensión NO recopila

  • El cuerpo, los adjuntos ni ningún otro contenido de tus emails (el encabezado Subject solo se lee de forma transitoria para verificar el sello notarial; nunca se usa para análisis ni se almacena localmente)
  • Tus contraseñas de Google o de cualquier otra cuenta
  • El historial completo del buzón ni etiquetas de Gmail
  • Datos de otros sitios web o pestañas del navegador

Cómo se gestionan y almacenan estos datos

  • Transmisión: la extensión envía únicamente el email/dominio del remitente a la API de SecureStamp (https://securestamp.online/api) mediante HTTPS con TLS 1.3. Las llamadas a la API de Gmail van directamente a los servidores de Google.
  • Almacenamiento en servidor: los registros de verificación (email/dominio del remitente, timestamp, resultado de confianza) se almacenan en AWS DynamoDB región us-east-1, con cifrado AES-256 en reposo. Se conservan 90 días en forma agregada y luego se eliminan permanentemente.
  • Almacenamiento local: la caché de resultados en chrome.storage.local (TTL 7 días) y la clave criptográfica privada en IndexedDB residen exclusivamente en tu dispositivo y nunca se transmiten a ningún servidor.
  • Token OAuth: lo emite y gestiona Google; se mantiene en memoria durante la sesión para llamar a la API de Gmail y no se almacena en nuestros servidores.

Cómo se comparten estos datos

  • Los datos del remitente no se venden ni se comparten con terceros para publicidad, marketing ni ningún otro fin.
  • Solo se transmiten a los servidores de SecureStamp (AWS us-east-1) exclusivamente para calcular el puntaje de confianza del remitente, y a la API de Gmail de Google para las operaciones de lectura del remitente y envío firmado que vos solicitás.
  • El uso de la información obtenida de las APIs de Google cumple la Política de Uso Limitado de Chrome Web Store, incluidos sus requisitos de Uso Limitado.

Control del usuario

  • Podés desactivar o desinstalar la extensión en cualquier momento desde chrome://extensions. Al desinstalar, todos los datos locales (incluida la clave criptográfica) se eliminan automáticamente.
  • Podés revocar el acceso OAuth de la extensión desde la configuración de seguridad de tu cuenta de Google.
  • Para solicitar la eliminación de los registros de verificación almacenados en nuestros servidores, enviá un email a privacy@securestamp.online.

2.5 Complemento de Outlook (Office Add-in)

El complemento SecureStamp para Outlook (disponible en Microsoft AppSource y vía URL de manifiesto) opera con el permiso ReadWriteItem de la API de Office. A continuación se detalla exactamente qué datos accede en cada modo.

Modo lectura — verificación del remitente

  • Nombre y dirección de email del remitente: leídos del encabezado del mensaje abierto (item.from). Se envían a la API de SecureStamp para calcular el puntaje de confianza.
  • Encabezados de internet del mensaje: leídos mediante item.internetHeaders.getAsync() para detectar el campo X-SecureStamp, que indica si el remitente ya firmó digitalmente el email.
  • Dirección de email del usuario: obtenida del objeto de buzón de Office.js para asociar la verificación con tu cuenta SecureStamp.

Modo redacción — inserción de sello

  • El complemento escribe un bloque HTML de identidad al inicio del email mediante item.body.prependAsync().
  • El complemento NO lee el cuerpo del email que estás redactando ni lo transmite a ningún servidor.
  • No accede a destinatarios (Para, CC, CCO) en ningún modo.

Lo que el complemento NO recopila

  • El cuerpo, asunto ni adjuntos de los emails que leés o redactás
  • La lista de destinatarios (Para, CC, CCO)
  • Correos anteriores, carpetas ni calendario
  • Credenciales de Office 365 ni tokens de sesión de Microsoft

Cómo se gestionan y almacenan estos datos

  • Transmisión: solo el email y dominio del remitente se envían a https://securestamp.online/api vía HTTPS con TLS 1.3. El complemento carga su interfaz desde https://securestamp.online/outlook/taskpane.html.
  • Almacenamiento en servidor: idéntico al de la extensión de Chrome — DynamoDB us-east-1, cifrado AES-256, retención 90 días en forma agregada.
  • Sin almacenamiento local de Office: el complemento no usa RoamingSettings ni CustomProperties de Office para almacenar datos personales.

Cómo se comparten estos datos

  • Los datos no se venden ni comparten con Microsoft ni con ningún tercero para publicidad u otros fines.
  • Solo se usan en los servidores de SecureStamp para calcular el puntaje de confianza del remitente.

Control del usuario

  • El complemento puede ser desinstalado por el usuario desde Configuración de Outlook → Complementos, o por el administrador de IT desde el Centro de Administración de Microsoft 365.
  • Para eliminar los registros del servidor: privacy@securestamp.online.

2.6 Análisis con IA en tu dispositivo y telemetría anónima

Las extensiones incluyen un clasificador de IA que se ejecuta localmente en tu dispositivo (modelo embebido, WebAssembly). El análisis del contenido del email para detectar señales de phishing, estafa o spam ocurre enteramente en tu navegador: el cuerpo del mensaje nunca se transmite a SecureStamp ni a ningún servidor para ese análisis.

De forma opcional, para mejorar la calidad del modelo, la extensión puede enviar a /api/ml/report un reporte anónimo y sin contenido, que contiene únicamente: cuatro puntajes numéricos entre 0 y 1 (scam, obsceno, comercial, personal), el nivel de riesgo resultante (seguro / sospechoso / peligroso), el largo del mensaje como número, el cliente de origen (gmail, outlook…), el idioma y la versión del modelo. No se envía el texto del email, ni frases, ni asuntos, ni direcciones, ni identificadores del usuario.

Análogamente, los eventos de producto enviados a /api/events contienen solo el tipo de plan, el nombre del evento y el nivel de riesgo — nunca emails ni datos del remitente. El modelo de IA se descarga desde /api/ml/model/latest y se ejecuta localmente; SecureStamp no recibe lo que el modelo analiza.

3. Cómo usamos tus datos

  • Prestación del servicio: verificar dominios, canales oficiales y contrapartes; procesar solicitudes de confianza, emitir PostalStamps, Trust Receipts y Action Receipts
  • Gestión de cuenta: autenticación, recuperación de contraseña, administración del plan
  • Facturación: procesar pagos, enviar facturas, gestionar suscripciones
  • Comunicaciones: notificaciones sobre el servicio, alertas de seguridad, actualizaciones de planes
  • Seguridad: detección de fraude, prevención de abuso, análisis de patrones anómalos
  • Mejora del producto: análisis agregado y anonimizado de uso del servicio
  • Legal: cumplimiento de obligaciones legales y requerimientos de autoridades competentes

No utilizamos datos personales para publicidad de terceros ni vendemos datos a ningún tercero.

4. Bases legales

  • Ejecución del contrato: datos necesarios para prestar el servicio contratado
  • Consentimiento: comunicaciones de marketing (podés retirar el consentimiento en cualquier momento)
  • Interés legítimo: seguridad del servicio, prevención de fraude, mejora del producto
  • Obligación legal: respuesta a requerimientos de autoridades competentes

5. Con quién compartimos datos

5.1 Proveedores de servicios

  • Amazon Web Services (AWS): infraestructura cloud, base de datos DynamoDB, autenticación Cognito, envío de emails (SES). Servidores en región us-east-1 (Virginia, EE.UU.)
  • Stripe: procesamiento de pagos. Datos de pago sujetos a la política de privacidad de Stripe
  • Vercel: hosting de la aplicación web

5.2 Divulgación legal

Podemos divulgar información cuando sea requerido por ley, orden judicial o autoridad gubernamental competente, o cuando sea necesario para proteger derechos, propiedad o seguridad de SecureStamp, sus usuarios o terceros.

5.3 Transferencia empresarial

En caso de fusión, adquisición o venta de activos, los datos pueden ser transferidos al adquirente, quien estará obligado a cumplir esta política o notificarte antes de cualquier cambio material.

6. Transferencias internacionales

Algunos de nuestros proveedores procesan datos fuera de Argentina (principalmente en EE.UU.). Estas transferencias se realizan con las garantías adecuadas conforme a la Ley 25.326 de Protección de Datos Personales y bajo contratos de procesamiento de datos con cada proveedor.

7. Cuánto tiempo conservamos tus datos

  • Datos de cuenta activa: mientras la cuenta esté activa
  • Datos de cuenta cancelada: 90 días después de la cancelación (para cumplir obligaciones legales), luego eliminación permanente
  • Registros de verificación: 90 días en forma desagregada, luego eliminados
  • Datos de facturación: 10 años según obligaciones impositivas argentinas
  • Lista de espera: hasta que se lance el plugin correspondiente o hasta que solicites la eliminación

8. Tus derechos

Conforme a la Ley 25.326 y normativa aplicable, tenés derecho a:

  • Acceso: solicitar qué datos personales tenemos sobre vos
  • Rectificación: corregir datos inexactos o incompletos
  • Supresión: solicitar la eliminación de tus datos (“derecho al olvido”)
  • Portabilidad: recibir tus datos en formato estructurado y legible por máquina
  • Oposición: oponerte al tratamiento basado en interés legítimo
  • Retiro del consentimiento: revocar el consentimiento dado para usos específicos

Para ejercer estos derechos, contactate a privacy@securestamp.online. Respondemos en un plazo máximo de 30 días hábiles. Podés también presentar una reclamación ante la Agencia de Acceso a la Información Pública (AAIP) de Argentina.

9. Cookies y tecnologías similares

9.1 Cookies estrictamente necesarias

Utilizamos cookies de sesión para la autenticación y funcionamiento del servicio. Estas cookies no pueden desactivarse sin afectar el funcionamiento del sitio.

9.2 Cookies de análisis

Usamos análisis propios (sin Google Analytics) para entender cómo se usa el servicio, de forma agregada y sin identificar usuarios individuales.

9.3 Sin cookies de publicidad

No utilizamos cookies de publicidad ni tracking de terceros para fines publicitarios.

10. Seguridad de los datos

Implementamos medidas técnicas y organizativas para proteger tus datos:

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
  • Autenticación de dos factores disponible para todas las cuentas
  • Acceso interno restringido por roles (principio de mínimo privilegio)
  • Auditorías de seguridad regulares
  • Monitoreo de anomalías y alertas automáticas

En caso de brecha de seguridad que afecte tus datos, te notificaremos dentro de las 72 horas de detectada.

11. Confidencialidad y acceso interno

El acceso a datos personales de usuarios está restringido exclusivamente al personal y sistemas que necesiten esa información para prestar el servicio. Todo acceso interno queda registrado en logs de auditoría. El personal de SecureStamp está sujeto a obligaciones de confidencialidad y no puede acceder al contenido de emails de usuarios bajo ninguna circunstancia.

Los datos de una organización (dominios, remitentes autorizados, configuración) son confidenciales y no se comparten con otros usuarios ni organizaciones del servicio.

Los datos privados de Signal, VendorShield y Action Trust —como contrapartes, canales declarados, políticas, fingerprints de instrucciones monetarias, receipts y eventos de auditoría— se usan para prestar el servicio, mostrar historial y generar evidencia verificable. No se utilizan para afirmar intención fraudulenta ni para certificar la verdad del contenido de un mensaje.

Registros notariales (sellos y verificación)

Cuando se emite un sello, SecureStamp guarda un registro notarial diseñado para minimizar datos: nunca almacenamos el cuerpo del mensaje. El registro contiene un hash criptográfico del sobre (headersHash = SHA-256 de remitente, destinatarios, asunto y metadatos), los destinatarios guardados como HMAC (no en claro), el dominio remitente, el puntaje y nivel de confianza, y marcas de tiempo. Sirve para que un tercero pueda verificar origen e integridad sin que SecureStamp conserve el contenido.

SecureStamp Signal (confianza de canales)

En Signal guardamos solo el fingerprint normalizado del canal consultado (p. ej. telegram:marca), nunca el contenido del mensaje reenviado. Cada Trust Receipt es un comprobante firmado y fechado.

Action Trust y VendorShield

Para Action Trust y VendorShield, SecureStamp puede almacenar veredictos, safe next steps, IDs de receipts, estados de challenges, contrapartes declaradas y métricas de operaciones protegidas. Las instrucciones monetarias sensibles se comparan mediante fingerprints y máscaras; no se guardan en texto plano salvo que exista una función cifrada explícita y habilitada para tu organización.

Confidential Mail (cifrado de extremo a extremo)

En el correo confidencial, el contenido se cifra en tu dispositivo (E2EE). SecureStamp almacena únicamente claves públicas en el directorio y datos mínimos de cuota; no puede descifrar ni leer el contenido de los mensajes confidenciales.

12. Menores de edad

El servicio no está dirigido a menores de 13 años. No recopilamos intencionalmente datos de menores. Si tomamos conocimiento de que se han recopilado datos de un menor sin consentimiento parental, los eliminaremos inmediatamente.

13. Cambios en esta política

Podemos actualizar esta política periódicamente. Los cambios materiales serán notificados por email con al menos 15 días de anticipación. La política vigente siempre estará disponible en securestamp.online/es/privacy.

14. Contacto

Privacidad y datos: privacy@securestamp.online

Seguridad: security@securestamp.online

Legal: legal@securestamp.online

Privacidad y Protección de Datos | SecureStamp