Política de Privacidad

Mastak es una plataforma SaaS en la nube que se conecta a tus cuentas de Instagram y Telegram, automatiza las respuestas de DM mediante IA y gestiona conversaciones de venta en tu nombre. Estamos en mastak.app, y esta política abarca todo lo que ocurre cuando usas nuestro servicio.

Aquí encontrarás qué datos personales recopilamos, por qué, con quién los compartimos, cuánto tiempo los conservamos y cuáles son tus derechos. Si tienes preguntas, escríbenos a [email protected].

• Datos de cuenta: tu nombre, dirección de correo electrónico y un hash de contraseña (no la contraseña en texto plano) al registrarte.
• Credenciales de cuentas conectadas: identificadores de páginas/cuentas de Instagram y tokens de acceso OAuth de Meta, además de los tokens de tu bot de Telegram. Todo se almacena cifrado con AES-256.
• Contenido de conversaciones DM: el texto de los mensajes entrantes y las respuestas de la IA de Mastak, almacenados por hilo de conversación. Esto es necesario para que la IA mantenga el contexto y la memoria a lo largo de cada conversación.
• Datos de contactos (tus leads): nombres de usuario de Instagram e identificadores de Telegram de las personas que interactúan con tus mensajes automatizados. Son tu audiencia, no usuarios de Mastak.
• Archivos de base de conocimiento: documentos, PDFs y textos que subes como base de conocimiento RAG para la IA. Se almacenan en Cloudflare R2, aislados por cliente.
• Metadatos de pago: tu plan, estado de suscripción e identificadores de transacciones. No almacenamos números de tarjeta — eso lo gestionan los procesadores de pago.
• Datos de uso: recuento de llamadas a la API, consumo de tokens por conversación, registros de uso de funciones y logs de errores.
• Datos técnicos: direcciones IP, tipo de navegador y dispositivo, tokens de sesión — utilizados para seguridad y prevención de abuso.

• Funcionamiento del servicio: conexión con la Meta Graph API y la Telegram Bot API, enrutamiento de webhooks, procesamiento de conversaciones DM a través del pipeline de IA.
• Funciones de IA: mantenimiento del contexto conversacional, consultas RAG a tu base de conocimiento, generación de respuestas de IA a través de OpenRouter.
• Facturación: gestión de tu suscripción y envío de notificaciones de cobro.
• Seguridad: detección de abusos, limitación de velocidad de peticiones y protección contra accesos no autorizados a los datos de cada cliente.
• Comunicación: envío de correos del servicio (bienvenida, alertas de expiración de tokens, avisos de facturación) mediante Brevo; newsletters si te suscribiste a través de beehiiv.
• Obligaciones legales: conservación de registros según lo exija la legislación aplicable.

Usamos los siguientes servicios para ofrecer Mastak. Cada uno procesa determinados datos por nuestra cuenta.

• Meta / Instagram — la Meta Graph API recibe los tokens de acceso de tus páginas y envía/recibe mensajes DM en tu nombre. El tratamiento en el lado de Meta se rige por su propia política de datos.
• Telegram — la Telegram Bot API recibe los tokens de tu bot y envía/recibe mensajes. Se aplica la política de privacidad de Telegram.
• OpenRouter — enrutamiento de LLM. Los textos de las conversaciones se envían a OpenRouter para su procesamiento por un modelo de IA (por defecto: GPT-4o mini). OpenRouter puede redirigir a proveedores como OpenAI o Anthropic. Según los términos de la API de OpenRouter, los datos de las conversaciones no se usan para entrenar modelos.
• Cloudflare — CDN, protección DDoS y almacenamiento R2 para archivos de la base de conocimiento y respaldos de la base de datos. Los datos se tratan conforme al DPA de Cloudflare.
• PostgreSQL (servidor propio, Dallas VPS — Virtarix/HIVELOCITY) — base de datos principal. Infraestructura propia.
• Redis (servidor propio) — colas y datos de sesión. Infraestructura propia.
• Brevo — envío de correos transaccionales (bienvenida, alertas de facturación y de expiración de tokens).
• beehiiv — envío de newsletters si te suscribiste a las novedades de Mastak.
• ЮKassa — procesamiento de pagos con tarjetas rusas.
• PayPro Global — procesamiento de pagos internacionales.
• NOWPayments — procesamiento de pagos en criptomonedas.
• Better Stack — monitoreo de disponibilidad (solo recibe pings de health-check; no se transmiten datos de usuarios).

• Datos de cuenta: se conservan mientras tu cuenta esté activa. Se eliminan en un plazo de 30 días tras una solicitud de eliminación de cuenta.
• Registros de conversaciones DM: se conservan 12 meses desde su creación y luego se eliminan automáticamente. Puedes solicitar su eliminación anticipada en cualquier momento.
• Archivos de base de conocimiento: se conservan hasta que los elimines o cierres tu cuenta.
• Registros de pago: se conservan durante el plazo que exija la regulación financiera aplicable, generalmente entre 5 y 7 años.
• Logs de uso: se conservan 90 días, luego se agregan y anonimizan.
• Respaldos: los backups de la base de datos se almacenan en Cloudflare R2 durante 30 días y luego se eliminan.

• Acceso: puedes solicitar una copia de los datos personales que tenemos sobre ti.
• Rectificación: puedes pedirnos que corrijamos datos inexactos.
• Eliminación: puedes solicitar la eliminación de tu cuenta y datos personales. Escríbenos a [email protected].
• Portabilidad: puedes solicitar una exportación de tus datos en formato legible por máquina.
• Cancelar suscripción a marketing: puedes darte de baja de las newsletters en cualquier momento desde el enlace en cualquier correo que te enviemos.

GDPR (usuarios de la UE/EEE): además de los derechos anteriores, tienes derecho a oponerte al tratamiento, limitarlo y presentar una reclamación ante la autoridad supervisora de tu país.

Usuarios rusos (152-FZ): Mastak trata los datos personales de ciudadanos rusos conforme a la Ley Federal N.° 152-FZ "Sobre datos personales". La base de datos principal con datos personales de ciudadanos rusos está alojada en servidores ubicados en Rusia. Puedes ejercer tus derechos de acceso, rectificación o eliminación contactando a [email protected].

Respondemos a todas las solicitudes de derechos en un plazo de 30 días.

• Cookies de sesión: las usamos para mantenerte conectado. Expiran al cerrar la sesión o al salir de tu cuenta.
• Preferencias de interfaz: tu configuración de idioma se guarda en localStorage o en una cookie.

No usamos cookies publicitarias de terceros. No vendemos datos a redes de publicidad. Podemos usar herramientas de analítica respetuosas con la privacidad que operan solo con datos agregados y no personales. No usamos Google Analytics.

• Los tokens de acceso de Meta y Telegram se cifran con AES-256 antes de almacenarse.
• Todos los datos en tránsito van cifrados por TLS. El uso de HTTPS es obligatorio gracias al modo Full Strict de Cloudflare.
• Los datos de cada cliente están aislados a nivel de base de datos mediante Row Level Security (RLS en PostgreSQL).
• El contenido de los mensajes DM no se registra en texto plano en los logs del servidor.

En esta etapa no contamos con certificaciones SOC 2 ni ISO 27001. Mastak es un producto en etapa temprana y las iremos obteniendo a medida que crezcamos.

Mastak no está dirigido a menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si crees que hemos recibido datos de un menor, contáctanos en [email protected] y los eliminaremos de inmediato.

Podemos actualizar esta política a medida que añadamos funciones o cambien los requisitos legales. Notificaremos a los usuarios activos por correo sobre cambios relevantes con al menos 14 días de anticipación antes de que entren en vigor. La fecha de actualización al inicio de esta página refleja la versión vigente.

Para preguntas sobre privacidad, solicitudes de eliminación de datos o ejercicio de derechos:

• Email: [email protected] — con el asunto "Privacy Request"
• Instagram: @mastak.app
• Telegram: t.me/mastakapp