iSync

Política de privacidad

Transparencia total en el tratamiento de datos. Actualizado: Septiembre 2025

1. Responsable del tratamiento

Responsable: iSync

Empresa: InfinityCode S.L.

CIF: B56719255

Dirección: Carrer Biscaia 14, 08830, Sant Boi de Llobregat, Barcelona, España

Email de contacto: privacidad@isync.app

Soporte: soporte@isync.app

2. Datos que tratamos

2.1 Datos operativos de Amazon

Cuando conectas tu cuenta de Amazon Vendor Central o SP-API, podemos acceder a:

  • Purchase Orders: Números de pedido, SKUs, cantidades, precios, fechas de entrega
  • Catálogo de productos: ASIN, títulos, dimensiones, pesos (solo si activas SP-API)
  • Reportes de ventas: Unidades vendidas, ingresos (solo si activas SP-API)
  • Datos de inventario: Niveles de stock en FBA (solo si activas SP-API)

2.2 Datos de integración Holded

  • Inventario: Cantidades disponibles por SKU
  • Productos: Referencias, descripciones, costes
  • Órdenes de venta: Generadas automáticamente para pedidos aceptados

2.3 Datos de publicidad

  • Amazon Ads: Costes por campaña, ACoS, impresiones, clics (vía importación Excel)

2.4 Datos de usuarios

  • Autenticación: Email, contraseñas cifradas (bcrypt)
  • Sesiones: Tokens de acceso temporal
  • Logs de actividad: Accesos, importaciones, errores (sin PII)
🚨 IMPORTANTE - PII de clientes Amazon:

iSync NO accede a datos personales de clientes finales de Amazon por defecto.

Solo si activas roles SP-API restringidos: Orders/Shipping o Tax/Invoices
Finalidad: Exclusivamente operativa (etiquetas, ASN, facturación)
Retención: Máximo 30 días, sin excepciones
Acceso: Solo personal con MFA autorizado

Ver tabla completa en: Gobernanza de Datos → Tabla de Roles SP-API

3. Finalidades del tratamiento

  • Operación de la aplicación: Procesar Purchase Orders, validar márgenes, calcular cobertura de stock
  • Automatización logística: Generar ASN, etiquetas, documentación Amazon
  • Planificación de fabricación: Alertas de stock bajo, cálculo de necesidades de producción
  • Análisis de rentabilidad: Cálculo de márgenes reales por SKU con todos los costes
  • Soporte técnico: Resolución de incidencias, mejora del servicio
  • Cumplimiento legal: Obligaciones fiscales y contables

4. Base legal

  • Ejecución del contrato: Datos necesarios para prestar el servicio contratado
  • Interés legítimo: Mejora del servicio, prevención de fraudes, análisis de uso
  • Consentimiento: Para funcionalidades opcionales como alertas por Teams
  • Obligación legal: Conservación de datos fiscales y contables

5. Conservación de datos

5.1 Tiempos de retención

  • Purchase Orders y ASN: 24 meses desde procesamiento
  • Datos de inventario: 12 meses desde última sincronización
  • Datos publicitarios: 18 meses desde importación
  • Logs operativos: 6 meses (los logs NO contienen PII)
  • Logs de seguridad: 12 meses (diferente de operativos por auditoría, sin PII)
  • Datos de sesión: 30 días tras logout
  • PII de clientes Amazon: Máximo 30 días. Este plazo **no es ampliable**; en algunos casos puede configurarse a un periodo menor, pero nunca por encima de 30 días.
  • Logs de auditoría: 24 meses (sin PII, para cumplimiento)

5.2 Borrado automático

Los datos se eliminan automáticamente al cumplir los plazos. Puedes solicitar borrado anticipado contactando con privacidad@isync.app

Importante: Los logs operativos y de seguridad NO contienen PII de clientes finales. Las facturas generadas se almacenan en el ERP del cliente (ej. Holded), no en iSync.

6. Cesiones y terceros

No vendemos ni compartimos datos con fines comerciales. Las únicas cesiones son:

6.1 Lista de subencargados

Proveedor Servicio Ubicación Datos tratados
Arsys (UE - Frankfurt) Hosting, servidores y almacenamiento principal UE - Frankfurt, Alemania Todos los datos operativos (con DPA firmado)
OVHcloud (UE - Francia) Copias de seguridad cifradas y archivado UE - Francia Backups cifrados (con DPA firmado)
Brevo (UE - Francia) Notificaciones operativas del sistema UE - Francia Emails usuarios, metadatos (sin PII comercial)
Amazon Web Services APIs y servicios Amazon SP-API Global (con salvaguardas adequacy) Solo según permisos SP-API específicos otorgados

6.2 Controles de cesión

  • Contratos DPA: Data Processing Agreements firmados con Arsys, OVHcloud, Brevo y todos los subencargados
  • Evaluación anual: Revisión de controles de seguridad de cada proveedor nombrado
  • Notificación de cambios: 30 días de antelación para nuevos subencargados
  • Derecho de oposición: Puedes oponerte a nuevos subencargados (cancelación sin coste)
  • Lista actualizada: Mantenemos registro público de todos los subencargados activos

6.3 Cesiones específicas

  • Servicios Amazon: Acceso via OAuth/SP-API según permisos otorgados
  • Holded: Vía API para sincronización de inventario
  • Microsoft Teams: Solo si activas alertas (metadatos, no PII)
  • Obligaciones legales: Autoridades competentes si requerido

7. Ubicación de datos

  • Servidor principal: Unión Europea - Frankfurt, Alemania (Arsys)
  • Backups: Misma región UE, cifrados con proveedor certificado
  • Subencargados específicos: Arsys (Frankfurt), OVHcloud (Francia), Brevo (Francia) - todos con DPA
  • Sin transferencias fuera UE salvo servicios Amazon (con salvaguardas adequacy decisions)

8. Tus derechos

Como interesado, tienes derecho a:

  • Acceso: Consultar qué datos tenemos sobre ti
  • Rectificación: Corregir datos inexactos
  • Supresión: Borrado de tus datos ("derecho al olvido")
  • Limitación: Restringir ciertos tratamientos
  • Portabilidad: Recibir tus datos en formato portable
  • Oposición: Oponerte al tratamiento basado en interés legítimo
  • Retirar consentimiento: Para tratamientos basados en consentimiento

Para ejercer tus derechos: privacidad@isync.app (respuesta en 30 días)

9. Seguridad

  • Cifrado: HTTPS/TLS en tránsito, cifrado en reposo
  • Autenticación: Contraseñas cifradas (bcrypt), tokens seguros
  • Acceso: Principio de menor privilegio, logs de auditoría
  • Backups: Automáticos, cifrados, probados
  • Monitoreo: Detección de anomalías 24/7

Ver detalles completos en: Página de Seguridad

10. Cookies y tecnologías similares

  • Cookies técnicas: Sesión, autenticación (estrictamente necesarias para funcionamiento)
  • No usamos cookies publicitarias ni de terceros (analytics, marketing, tracking)
  • LocalStorage: Configuración de usuario y aceptación de cookies (no PII)
  • Gestión: Mini-banner informativo permite conocer y aceptar el uso
  • Control total: Puedes borrar cookies desde tu navegador sin afectar funcionalidad crítica

Base legal cookies: Interés legítimo para cookies técnicas (Art. 6.1.f RGPD). No requerimos consentimiento para cookies estrictamente necesarias según Directiva ePrivacy.

11. Menores

iSync es un servicio B2B. No está dirigido a menores de 18 años y no recopilamos conscientemente datos de menores.

12. Cambios en la política

Notificaremos cambios significativos por email con 30 días de antelación. El uso continuado implica aceptación.

13. Contacto y reclamaciones

Privacidad: privacidad@isync.app
Soporte: soporte@isync.app

Autoridad de control: Puedes presentar reclamaciones ante la Agencia Española de Protección de Datos (www.aepd.es)