Política de Privacidad
En Vistro, operado por Demage, nos comprometemos a proteger la privacidad y los datos personales de nuestros usuarios. Esta política describe qué información recopilamos, cómo la usamos y cuáles son tus derechos, en cumplimiento de la Ley 1581 de 2012 (Protección de Datos Personales de Colombia), el Decreto 1377 de 2013 y demás normas aplicables.
Contenido
1. Responsable del tratamiento
El responsable del tratamiento de datos personales es:
| Razón social | Demage |
| Producto | Vistro — govistro.app |
| País | Colombia |
| Correo | [email protected] |
| Soporte | WhatsApp +57 313 478 7750 |
2. Datos que recopilamos
2.1 Datos de registro (dueños de restaurante)
- Nombre completo
- Correo electrónico
- Contraseña (almacenada con hash bcrypt — nunca en texto plano)
- Nombre del negocio
2.2 Datos del restaurante
- Nombre, descripción, dirección, ciudad, país
- Imágenes de portada y logo
- Información del menú: productos, precios, categorías, imágenes
- Número de WhatsApp para recibir pedidos
2.3 Datos de facturación y pagos
- Correo electrónico de facturación
- Historial de pagos y facturas
- Nota: Los datos de tarjeta de crédito son procesados directamente por nuestras pasarelas de pago (Stripe / Wompi) y nunca son almacenados en los servidores de Vistro.
2.4 Datos de clientes de restaurantes
Cuando un cliente final escanea el menú QR:
- Hash de la dirección IP (nunca la IP en texto plano)
- Hash del User Agent
- Fecha y hora del escaneo
- Si realiza un pedido: nombre, teléfono, notas del pedido y (en domicilios) dirección de entrega
Estos datos son propiedad del restaurante y Vistro actúa como encargado del tratamiento.
2.5 Datos de uso y analíticas
- Páginas visitadas, acciones en el panel
- Datos de Google Analytics 4 (anonimizados) vía Google Tag Manager
- Estadísticas de escaneos y pedidos agregadas
3. Finalidades del tratamiento
| Finalidad | Datos usados |
|---|---|
| Prestar el servicio de menú digital | Datos de registro, restaurante, menú |
| Gestionar suscripciones y facturación | Datos de registro y facturación |
| Enviar notificaciones del servicio | Correo electrónico |
| Soporte técnico y atención al usuario | Datos de registro, historial de soporte |
| Analíticas de uso para mejorar el producto | Datos de uso anonimizados |
| Cumplimiento de obligaciones legales | Datos de facturación |
| Prevención de fraude y seguridad | Hash de IP, datos de acceso |
No vendemos datos personales a terceros bajo ninguna circunstancia.
4. Bases legales del tratamiento
- Ejecución del contrato: Para prestar el servicio contratado.
- Consentimiento: Para comunicaciones de marketing. Puedes retirar tu consentimiento en cualquier momento.
- Interés legítimo: Para analíticas de uso, seguridad y mejora del servicio.
- Obligación legal: Para conservar facturas y registros contables según la ley colombiana.
5. Con quién compartimos tus datos
Solo compartimos datos con terceros en los siguientes casos:
| Proveedor | Propósito | País |
|---|---|---|
| Google Analytics / Tag Manager | Analíticas de uso anonimizadas | EE.UU. |
| Stripe / Wompi | Procesamiento de pagos | EE.UU. / Colombia |
| AWS / Cloudflare | Infraestructura y CDN | EE.UU. |
| Autoridades competentes | Cumplimiento de orden judicial o legal | Colombia |
Todos los proveedores cuentan con políticas de privacidad propias y niveles de protección adecuados.
6. Retención de datos
- Datos de cuenta activa: Durante la vigencia del servicio.
- Datos tras cancelación: 90 días para permitir reactivación, luego eliminación.
- Datos de facturación: 5 años por obligación legal tributaria colombiana.
- Logs de seguridad: 12 meses.
- Datos de clientes finales (pedidos): 12 meses desde el pedido, luego anonimización.
7. Seguridad
Implementamos las siguientes medidas de seguridad técnica y organizativa:
- Comunicaciones cifradas con TLS/HTTPS en todo momento
- Contraseñas almacenadas con hash bcrypt (nunca en texto plano)
- IPs de clientes almacenadas únicamente como hash SHA-256
- Acceso a producción restringido por SSH con llave privada
- Base de datos no expuesta públicamente (acceso solo interno en red Docker)
- Backups automáticos cifrados
- Autenticación JWT con rotación de tokens de refresco
En caso de brecha de seguridad que afecte datos personales, notificaremos a los usuarios afectados en un plazo máximo de 72 horas desde su detección.
8. Tus derechos (ARCO)
Conforme a la Ley 1581 de 2012, tienes los siguientes derechos sobre tus datos:
- Acceso (A): Conocer qué datos tenemos sobre ti.
- Rectificación (R): Corregir datos inexactos o incompletos.
- Cancelación (C): Solicitar la eliminación de tus datos cuando no sean necesarios.
- Oposición (O): Oponerte al tratamiento para fines específicos (ej. marketing).
Para ejercer tus derechos, escríbenos a [email protected] indicando tu nombre, correo registrado y la solicitud específica. Responderemos en un plazo máximo de 10 días hábiles.
Si no obtienes respuesta satisfactoria, puedes acudir a la Superintendencia de Industria y Comercio (SIC) de Colombia: www.sic.gov.co
9. Menores de edad
Vistro es un servicio dirigido exclusivamente a personas mayores de 18 años que gestionan negocios de restauración. No recopilamos intencionalmente datos de menores de edad. Si detectamos que hemos recopilado datos de un menor, los eliminaremos de inmediato.
11. Cambios a esta política
Nos reservamos el derecho de actualizar esta política para reflejar cambios en el servicio o en la legislación aplicable. Notificaremos cambios materiales por correo electrónico con al menos 15 días de antelación. El uso continuado del servicio tras la entrada en vigor implica aceptación de la política actualizada.
12. Contacto
Para cualquier consulta sobre privacidad o tratamiento de datos: