Política de Privacidad

El responsable del tratamiento de datos personales recopilados a través de PaskaPeru CRM es:

PaskaPeru actúa como encargado del tratamiento respecto a los datos que el cliente (agencia) ingresa sobre sus propios clientes finales. El cliente/agencia es el responsable de esos datos ante sus clientes finales.

2.1 Datos de registro y cuenta

Al crear una cuenta en PaskaPeru CRM, recopilamos la información que el Usuario proporciona voluntariamente:

• Nombre completo del responsable de la agencia
• Correo electrónico corporativo (usado para acceso, comunicaciones y facturación)
• Nombre de la empresa y RUC (para facturación)
• Número de teléfono (para soporte y notificaciones)
• Subdominio elegido para el tenant

2.2 Datos de uso y actividad técnica

De forma automática, durante el uso de la Plataforma, registramos:

• Logs de acceso: Fecha, hora, IP de origen y tipo de dispositivo/navegador en cada inicio de sesión.
• Actividad en la aplicación: Módulos visitados, acciones realizadas (crear/editar/eliminar registros), con fines de auditoría interna y soporte técnico.
• Errores y excepciones: Registros técnicos de fallos del sistema para diagnóstico y corrección.
• Métricas de rendimiento: Tiempos de carga y uso de recursos, para optimización del servicio.

Estos datos técnicos no incluyen el contenido de los datos de negocio del cliente; son registros de infraestructura.

2.3 Datos del negocio del cliente (Datos del Cliente)

El grueso de la información almacenada en la Plataforma son los Datos del Cliente: la información que la agencia ingresa sobre sus propios clientes finales, servicios, pagos, proyectos y cualquier otro contenido creado durante el uso del CRM.

2.4 Datos de pago

Las transacciones de pago son procesadas por Izipay, pasarela certificada PCI DSS. PaskaPeru nunca almacena números de tarjeta, CVV, fechas de vencimiento ni cualquier dato sensible de tarjeta. Solo conservamos el resultado de la transacción (aprobada/rechazada), el monto, la fecha y el identificador de transacción proporcionado por Izipay.

PaskaPeru utiliza los datos recopilados únicamente para los siguientes fines, todos necesarios para la prestación del servicio:

Prestación y operación del servicio

Los datos de registro son indispensables para crear y mantener la cuenta del Usuario, asignar el tenant, gestionar el acceso y personalizar la experiencia dentro de la Plataforma.

Facturación y gestión de suscripción

Usamos nombre, empresa, correo y RUC para emitir comprobantes de pago, gestionar renovaciones, enviar avisos de vencimiento y procesar cancelaciones.

Soporte técnico

Los logs de acceso y actividad nos permiten diagnosticar problemas reportados por el Usuario, reproducir errores y resolver incidencias. El acceso a datos de soporte siempre queda registrado.

Comunicaciones del servicio

Enviamos por correo electrónico: confirmaciones de registro, avisos de pago, notificaciones de vencimiento, alertas de seguridad (acceso desde IP desconocida), actualizaciones importantes del servicio y respuestas a solicitudes de soporte. Estas comunicaciones son transaccionales y no tienen opt-out mientras la cuenta esté activa.

Mejora del producto

Las métricas de uso agregadas (sin datos personales identificables) nos ayudan a entender qué funcionalidades se usan más y priorizar el roadmap de desarrollo.

• No vendemos datos. Nunca hemos vendido ni venderemos datos personales de usuarios o de sus clientes finales a terceros.
• No publicidad de terceros. No compartimos datos con plataformas de publicidad (Meta Ads, Google Ads, etc.) ni instalamos píxeles de seguimiento de estas empresas en la Plataforma.
• No perfilado comercial. No construimos perfiles de comportamiento para venderlos ni para uso ajeno a la operación del servicio.
• No acceso no autorizado a Datos del Cliente. El personal de PaskaPeru no accede a los datos de negocio de la agencia salvo solicitud expresa del cliente para soporte técnico.
• No entrenamiento de IA. Los datos de los usuarios no se usan para entrenar modelos de inteligencia artificial propios ni de terceros.
• No transferencias comerciales. No compartimos datos con socios comerciales salvo los proveedores técnicos indispensables listados en la sección 5, y solo en la medida necesaria para el servicio.

Para operar la Plataforma, PaskaPeru trabaja con los siguientes proveedores de confianza. Cada uno recibe únicamente los datos mínimos necesarios para su función específica:

PaskaPeru no utiliza proveedores de analítica de terceros (Google Analytics, Mixpanel, etc.) dentro del dashboard de la Plataforma. Los únicos registros de comportamiento son los logs propios descritos en la sección 2.2.

Si en el futuro se incorporan nuevos proveedores, esta política se actualizará con al menos 15 días de anticipación.

PaskaPeru implementa medidas técnicas y organizativas para proteger los datos almacenados en la Plataforma:

Transporte seguro

Toda la comunicación entre el navegador del Usuario y los servidores de PaskaPeru se realiza mediante HTTPS con TLS 1.3. No existe ninguna URL de la Plataforma accesible por HTTP plano.

Aislamiento por tenant

Cada agencia opera en un subdominio independiente con sesiones completamente aisladas. Un usuario autenticado en tenant A no puede acceder al tenant B bajo ninguna circunstancia. Las sesiones de Laravel se configuran con el atributo SameSite=Strict y nombre de cookie único por subdominio.

Cifrado de credenciales sensibles

Las claves de API de integraciones de terceros (Izipay, Google Calendar) se almacenan cifradas usando el sistema de encriptación de Laravel (APP_KEY). Las contraseñas de usuarios nunca se almacenan en texto plano; se usa Bcrypt con factor de costo estándar.

Backups

Se realizan backups automáticos diarios con retención de 30 días, almacenados en ubicación separada de los servidores de producción. Los backups están cifrados en reposo.

Control de acceso interno

El acceso a la infraestructura de producción está restringido por autenticación de dos factores y llaves SSH. El acceso a la base de datos de producción requiere VPN y registro de auditoría.

Gestión de incidentes

En caso de brecha de seguridad que afecte datos personales, PaskaPeru notificará a los usuarios afectados en un plazo máximo de 72 horas desde la detección, conforme a lo exigido por la Ley 29733 y su reglamento.

Cookies que utilizamos

• Cookie de sesión Laravel (paskaperu_session o nombre único por tenant): Mantiene la sesión autenticada del Usuario. Expira al cerrar el navegador o a las 2 horas de inactividad. Es estrictamente necesaria; sin ella, la autenticación no funciona.
• Cookie CSRF (XSRF-TOKEN): Protección contra ataques Cross-Site Request Forgery. Requerida para todas las operaciones de escritura (crear, editar, eliminar). Es estrictamente necesaria.

Lo que NO usamos

• No hay cookies de Google Analytics, Meta Pixel, Hotjar ni ningún otro sistema de analítica externo.
• No hay cookies de publicidad comportamental.
• No hay cookies de redes sociales (botones de compartir, etc.).
• No hay localStorage usado para rastreo de comportamiento.

Al ser todas las cookies estrictamente necesarias, no se requiere banner de consentimiento de cookies para el uso de la Plataforma, conforme a la interpretación de la normativa vigente en Perú.

Conforme a la Ley N° 29733 de Protección de Datos Personales del Perú, el Usuario tiene los siguientes derechos sobre sus datos personales (derechos ARCO):

Cómo ejercer tus derechos

Envía tu solicitud a hola@paskaperu.com con asunto "Solicitud ARCO — [tu nombre]". Incluye tu correo registrado en la plataforma y una descripción del derecho que deseas ejercer.

PaskaPeru responderá tu solicitud en un plazo máximo de 48 horas hábiles. Si la solicitud requiere más tiempo de procesamiento (ej. extracción completa de datos), te informaremos el plazo estimado, que no excederá los 20 días hábiles conforme a ley.

El ejercicio de estos derechos es gratuito y no requiere justificación para los derechos de acceso y rectificación.

PaskaPeru conserva los datos por los siguientes períodos:

• Datos de cuenta y Datos del Cliente (suscripción activa): Mientras dure la relación contractual activa (suscripción vigente o periodo de prueba activo).
• Datos de cuenta y Datos del Cliente (post-cancelación): 30 días adicionales tras la cancelación de la suscripción o finalización del periodo de prueba. Durante este tiempo el Usuario puede exportar sus datos. Pasados los 30 días, se eliminan de forma definitiva e irrecuperable.
• Logs de acceso (IPs, inicios de sesión): 90 días, usados exclusivamente para seguridad y diagnóstico técnico.
• Logs de errores técnicos: 30 días.
• Registros de transacciones de pago: Según los plazos legales y los requisitos de Izipay (generalmente 5 años, conforme a normativa tributaria peruana).
• Datos de facturación (comprobantes emitidos): 7 años, conforme a la normativa tributaria de SUNAT.
• Comunicaciones de soporte: 12 meses, para referencia ante reclamaciones posteriores.

Cuando se cumple el plazo de retención, los datos son eliminados de forma segura o anonimizados de manera irreversible, sin posibilidad de recuperación.

Algunos datos son procesados por proveedores fuera del Perú. PaskaPeru ha verificado que dichas transferencias se realizan con garantías adecuadas:

• Contabo (Alemania, Unión Europea): Infraestructura de servidores. Alemania es miembro de la UE y cumple el Reglamento General de Protección de Datos (GDPR), considerado uno de los marcos de privacidad más estrictos del mundo.
• Brevo (Francia, Unión Europea): Envío de correos transaccionales. Cumple GDPR y cuenta con Cláusulas Contractuales Estándar (SCC) para transferencias internacionales.
• Google (EEUU — solo si el usuario activa Calendar API): Google LLC cumple con el Data Privacy Framework UE-EEUU y dispone de SCC. La integración con Google Calendar es opcional y el usuario puede desactivarla en cualquier momento desde configuración.

El procesamiento principal de datos de negocio ocurre en los servidores de Contabo ubicados en la Unión Europea. Izipay procesa los pagos en infraestructura peruana.

PaskaPeru no realiza transferencias de datos a países que no ofrezcan un nivel de protección adecuado sin las garantías contractuales correspondientes.

PaskaPeru CRM es un servicio exclusivamente B2B (empresa a empresa) dirigido a profesionales y agencias digitales. No está diseñado para ser utilizado por personas menores de 18 años.

PaskaPeru no recopila de forma consciente datos personales de menores de edad. Si un padre, tutor o el propio usuario tiene razones para creer que un menor ha proporcionado datos a la Plataforma, debe notificarlo de inmediato a hola@paskaperu.com para proceder a su eliminación.

PaskaPeru puede actualizar esta Política de Privacidad cuando sea necesario para reflejar cambios en el servicio, nuevos proveedores, actualizaciones legales o mejoras en nuestras prácticas de privacidad.

Ante cualquier cambio material, notificaremos al usuario registrado mediante correo electrónico con al menos 15 días de anticipación a la fecha de entrada en vigor. La nueva versión se publicará en esta URL con la fecha de vigencia actualizada.

Los cambios menores (corrección de erratas, clarificaciones que no alteran derechos) podrán realizarse sin previo aviso, con indicación de la fecha de la última modificación.

El uso continuado de la Plataforma tras la entrada en vigor de una nueva versión implica la aceptación de los cambios. Si el Usuario no está de acuerdo con los cambios, puede cancelar su suscripción conforme a los Términos y Condiciones.

Para consultas, solicitudes ARCO, reportes de incidentes de seguridad o cualquier asunto relacionado con tu privacidad:

Si consideras que el tratamiento de tus datos no cumple con la normativa vigente, tienes derecho a presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos del Perú.

Esta Política de Privacidad se rige por la normativa peruana de protección de datos personales, en particular:

• Ley N° 29733 — Ley de Protección de Datos Personales del Perú
• D.S. N° 003-2013-JUS — Reglamento de la Ley de Protección de Datos Personales
• D.S. N° 011-2020-JUS — Modificatoria del reglamento
• Directiva de Seguridad de la información (Res. Dir. N° 019-2013-JUS/DGPDP)

Adicionalmente, en virtud de nuestros proveedores europeos (Contabo, Brevo), las transferencias de datos a la UE se realizan conforme al Reglamento (UE) 2016/679 (GDPR).

Esta Política de Privacidad entró en vigencia el 20 de mayo de 2026.