Aviso de Privacidad Integral

Responsable del tratamiento

Elytra Consulting (en adelante, "Elytra", "nosotros" o "el Responsable"), con domicilio en [DOMICILIO LEGAL DE ELYTRA — completar antes de publicar], es responsable del tratamiento de los datos personales y datos personales sensibles fiscales que usted nos proporcione a través de la plataforma cfdi-app (en adelante, "la Plataforma"), accesible en https://cfdi.elytra.bio, conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Aviso de Privacidad.

Datos personales que recabamos

Recabamos los siguientes datos personales directamente de usted:

• Identificación y contacto: número de teléfono asociado a WhatsApp y, opcionalmente, dirección de correo electrónico.
• Datos fiscales de su empresa: Registro Federal de Contribuyentes (RFC) y razón social.
• Credenciales fiscales: certificado de e.firma (.cer), llave privada de e.firma (.key) y contraseña de e.firma del SAT.
• Datos técnicos: dirección IP, registros de actividad dentro de la Plataforma.

Las credenciales fiscales (.cer, .key y contraseña de e.firma) constituyen datos personales sensibles en términos del artículo 3, fracción VI de la LFPDPPP, ya que su tratamiento indebido podría dar lugar a riesgos graves para usted.

Finalidades del tratamiento

Sus datos personales serán tratados para las siguientes finalidades primarias, necesarias para la prestación del servicio:

1. Crear y administrar su cuenta en la Plataforma.
2. Autenticar su identidad ante el Servicio de Administración Tributaria (SAT) usando exclusivamente sus credenciales de e.firma, con el único propósito de descargar, a su solicitud expresa, los siguientes documentos que el SAT pone a su disposición:
   • Comprobantes Fiscales Digitales por Internet (CFDIs) emitidos y/o recibidos.
   • Constancia de Situación Fiscal (CSF).
   • Opinión de Cumplimiento de Obligaciones Fiscales (OC).
3. Entregarle los archivos descargados a través de su sesión autenticada en WhatsApp.
4. Llevar un registro de las operaciones que usted realiza dentro de la Plataforma (bitácora) por motivos de seguridad y trazabilidad.
5. Enviarle notificaciones operativas relacionadas con su cuenta y con el resultado de las descargas que usted solicite.
6. Cumplir con obligaciones legales aplicables.

No utilizaremos sus datos personales para finalidades secundarias distintas a las anteriores (por ejemplo, mercadotecnia, prospección comercial o cesión a terceros) sin obtener previamente su consentimiento expreso adicional.

Tratamiento de credenciales fiscales sensibles

Sus credenciales de e.firma y contraseña del SAT son tratadas bajo un esquema de encriptación híbrida zero-trust efectiva:

• Al cargarlas, usted establece una "passphrase de bóveda" que solo usted conoce.
• Sus credenciales se cifran en nuestros servidores con doble capa de protección (su passphrase y un servicio de gestión de llaves criptográficas administrado por Elytra en AWS KMS).
• Sin su passphrase, Elytra no puede descifrar sus credenciales. Si usted olvida su passphrase, deberá cargar nuevamente sus credenciales.
• Sus credenciales se descifran momentáneamente en memoria, exclusivamente durante la ejecución de la descarga que usted solicita, y se descartan inmediatamente al concluir la operación.
• Elytra no almacena copias de los CFDIs, CSF u OC descargados; estos se le entregan a usted y se eliminan de nuestros servidores dentro de un máximo de 24 horas.

Transferencias de datos

Sus credenciales fiscales no se transfieren a ningún tercero. Únicamente son enviadas al SAT con el único fin de autenticar las solicitudes que usted instruye desde la Plataforma.

Algunos datos personales no sensibles pueden ser tratados por encargados de Elytra para la operación de la Plataforma:

• DigitalOcean (proveedor de infraestructura).
• Amazon Web Services (gestión de llaves criptográficas).
• Meta Platforms, Inc. (entrega de mensajes de WhatsApp).
• Resend (envío de correos transaccionales).
• Sentry (registro de errores técnicos; datos anonimizados).
• 2Captcha (resolución de captchas durante el proceso de descarga; no se le envían sus credenciales).

Estos encargados están contractualmente obligados a mantener confidencialidad y a tratar los datos exclusivamente para las finalidades indicadas.

Derechos ARCO

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (derechos ARCO), así como a revocar su consentimiento. Para ejercerlos:

• Acceso y rectificación: por correo a privacidad@elytra.bio.
• Cancelación: desde la opción "Borrar mi cuenta" en su flujo de WhatsApp con el bot. Esta acción es irreversible.
• Oposición y revocación: por correo a privacidad@elytra.bio.

Atenderemos su solicitud en un plazo máximo de 20 días hábiles, conforme al artículo 32 de la LFPDPPP.

Medidas de seguridad

Implementamos medidas administrativas, técnicas y físicas razonables para proteger sus datos, incluyendo: cifrado en tránsito (TLS 1.3), cifrado en reposo (AES-256-GCM con doble factor), control de accesos basado en roles, registro de actividad, copias de respaldo cifradas y revisiones periódicas de seguridad.

Cookies

La Plataforma utiliza cookies estrictamente necesarias para el funcionamiento de la sesión. No utilizamos cookies de publicidad ni de seguimiento de terceros.

Cambios al aviso

Cualquier modificación a este Aviso será comunicada a través de la Plataforma y por correo electrónico al menos 15 días antes de su entrada en vigor.

Autoridad reguladora

Si considera que su derecho a la protección de datos personales ha sido vulnerado, puede presentar una denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), www.inai.org.mx.