Seguridad y privacidad en QR-Verse
Creemos que mereces saber exactamente cómo se almacenan, procesan y protegen tus datos. Sin promesas vagas, solo hechos. QR-Verse funciona con infraestructura alojada en la UE, cumple con el GDPR y te da control total sobre tus datos.
Infraestructura
Dónde viven tus datos y cómo se sirven.
Hosting en la UE (Hetzner, Alemania)
Los servidores de la aplicación se ejecutan en los centros de datos de Hetzner en Alemania. Tus datos no salen de la Unión Europea.
Hetzner Online GmbH, Núremberg y Falkenstein, DE
Base de datos (Supabase / PostgreSQL)
Todos los datos de códigos QR y cuentas de usuario se almacenan en PostgreSQL con Row Level Security activa. Copias de seguridad diarias automatizadas con recuperación en un punto del tiempo.
Región UE, cifrado en reposo (AES-256)
CDN y protección DDoS (Cloudflare)
Todo el tráfico pasa por Cloudflare para caché en el borde, disponibilidad global y mitigación de DDoS. Cloudflare procesa datos bajo términos conformes al GDPR.
Red anycast, más de 300 PoP globalmente
Cifrado
Protección de datos en tránsito y en reposo.
En tránsito
- TLS 1.2+ obligatorio en todas las conexiones
- HSTS (HTTP Strict Transport Security) activado
- Redirección automática de HTTP a HTTPS
- Cookies seguras con atributos SameSite y Secure
En reposo
- Cifrado AES-256 para datos almacenados
- Hash bcrypt para contraseñas (nunca guardadas en texto plano)
- Copias de seguridad de base de datos cifradas
- Datos de pago procesados por Stripe - nunca vemos números de tarjeta
Qué recopilamos y qué no
Transparencia sobre cada dato.
Qué recopilamos
- Correo electrónico de la cuenta
- Contenido del código QR y URLs de destino
- Analytics de escaneo: tipo de dispositivo, ubicación a nivel de ciudad, marca de tiempo
- Información de pago procesada por Stripe (nunca vemos números de tarjeta)
- Dirección IP durante la creación de cuenta (solo por seguridad, no almacenada a largo plazo)
Qué no recopilamos
- Historial de navegación de las páginas de escaneo
- Identidad personal de quienes escanean tus códigos QR
- Datos biométricos de ningún tipo
- Datos de rastreadores de terceros en páginas de escaneo (no usamos ninguno)
- Datos de ubicación más precisos que el nivel de ciudad
- Perfiles de redes sociales o rastreo entre plataformas
Cumplimiento del GDPR
Tus derechos según el GDPR y cómo los respetamos.
Derecho de acceso
Puedes solicitar una exportación completa de todos los datos que tenemos sobre ti en cualquier momento desde la configuración de tu cuenta.
Derecho de portabilidad
Exporta tus códigos QR, datos de escaneo e información de cuenta en formatos estándar (CSV, JSON). Tus datos, a tu manera.
Derecho de supresión
Elimina tu cuenta y todos los datos asociados en cualquier momento. La eliminación es permanente e irreversible tras el período de gracia de 30 días.
Sin venta de datos
No vendemos, alquilamos ni compartimos tus datos personales con terceros con fines de marketing o publicidad. Sin excepciones.
Analytics opt-in para los que escanean
Las analíticas de escaneo son de tipo opt-in para quienes escanean tus códigos QR. No se establecen cookies persistentes en las páginas de escaneo.
Acuerdo de procesamiento de datos
Los clientes Business pueden solicitar un DPA (Acuerdo de procesamiento de datos) enviando un correo a [email protected].
Qué pasa cuando cancelas
Queremos que confíes en que tu trabajo está seguro, incluso si te vas.
Los códigos QR siguen redirigiendo
Tus códigos QR dinámicos continúan funcionando después de la cancelación. No interrumpimos las redirecciones solo porque la suscripción haya vencido.
Analytics pausadas, no eliminadas
Las analíticas de escaneo se pausan cuando bajas al plan gratuito. Tus datos históricos se conservan y vuelven a estar accesibles si reactivás tu plan.
Exporta antes de eliminar
Puedes exportar todos tus códigos QR, datos de escaneo e información de cuenta en cualquier momento, incluso tras cancelar, durante el período de gracia de 30 días.
Período de gracia de 30 días
Tras la cancelación, tu cuenta permanece completamente accesible durante 30 días. Después, la cuenta queda archivada (no eliminada de inmediato) por otros 60 días.
Divulgación responsable
¿Encontraste un problema de seguridad? Queremos saberlo.
Contacto: [email protected]
Escríbenos con una descripción del problema, los pasos para reproducirlo y tu valoración de la gravedad. Clave PGP disponible bajo solicitud.
Confirmación en 48 horas
Nos comprometemos a confirmar cada informe de seguridad en un plazo de 48 horas. Para vulnerabilidades críticas, aspiramos a publicar un parche en 7 días.
Investigadores de buena fe protegidos
No tomaremos acciones legales contra investigadores de seguridad que divulguen vulnerabilidades de buena fe, sigan nuestras directrices y no accedan ni modifiquen datos de usuarios.
Salón de la fama
Los investigadores que divulguen vulnerabilidades válidas de manera responsable serán reconocidos en nuestro salón de la fama de seguridad (con su permiso).
Preguntas frecuentes
¿QR-Verse cumple con el GDPR?
Sí. QR-Verse está diseñado para cumplir con el GDPR. Nuestros servidores están alojados en Alemania (UE), procesamos solo los datos necesarios, ofrecemos derechos completos de exportación y eliminación de datos, no usamos rastreadores de terceros y no vendemos datos de usuarios. Los clientes Business pueden solicitar un Acuerdo de Procesamiento de Datos.
¿Dónde se almacenan mis códigos QR?
Todos los datos de códigos QR se almacenan en una base de datos PostgreSQL alojada en Supabase en la región UE. La base de datos utiliza Row Level Security para que cada usuario solo pueda acceder a sus propios datos. Las copias de seguridad están cifradas y almacenadas en la misma región UE.
¿Qué pasa con mis datos si cancelo?
Cuando cancelas, tus códigos QR siguen redirigiendo. Las analíticas se pausan pero tus datos históricos se conservan. Tienes un período de gracia de 30 días con acceso completo a la cuenta para exportar todo. Después, la cuenta se archiva 60 días más antes de la eliminación permanente.
¿Vendes datos de usuarios?
No. No vendemos, alquilamos ni compartimos datos de usuarios con ningún tercero con fines de marketing o publicidad. Nuestro modelo de negocio son las suscripciones. Tus datos se usan únicamente para brindarte el servicio de QR-Verse.
¿Mis datos de escaneo son anónimos?
Sí. Recopilamos tipo de dispositivo, navegador, sistema operativo, ubicación aproximada a nivel de ciudad y marca de tiempo. No recopilamos nombres, correos electrónicos ni información de identificación personal de quienes escanean tus códigos QR. No se instalan cookies en las páginas de escaneo.
¿Cómo gestionan las vulnerabilidades de seguridad?
Los problemas de seguridad deben reportarse a [email protected]. Confirmamos los reportes en 48 horas, priorizamos las correcciones según la gravedad y protegemos a los investigadores de buena fe de acciones legales. Actualmente no tenemos programa de recompensas, pero sí mantenemos un salón de la fama.
¿Puedo exportar mis datos?
Sí. Puedes exportar tus códigos QR y las analíticas de escaneo en CSV o JSON en cualquier momento desde la configuración de tu cuenta. Disponible en todos los planes, incluyendo el gratuito. También puedes solicitar una exportación completa de los datos de tu cuenta contactando con soporte.
¿Terceros tienen acceso a mis datos de códigos QR?
Nuestros socios de infraestructura (Hetzner para hosting, Supabase para la base de datos, Cloudflare para CDN, Stripe para pagos) tienen acceso limitado y necesario como parte del servicio. Ninguno de estos socios puede usar tus datos para sus propios fines. No compartimos datos con anunciantes, intermediarios de datos ni plataformas de análisis.
Empieza a crear códigos QR seguros
Alojado en la UE, conforme con el GDPR y transparente sobre cada dato. Gratis para empezar.