En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, Devifly pone a tu disposición este Aviso de privacidad integral.
1. Responsable del tratamiento
Devifly (comercialmente timbra.one)
Correo de contacto: hola@timbra.one
Sitio web: timbra.one
2. Datos personales que recabamos
Podemos tratar las siguientes categorías:
- Identificación y contacto: nombre, correo electrónico, teléfono, datos de la organización o despacho.
- Datos fiscales operativos: RFC de clientes administrados, razón social, información de comprobantes descargados del SAT.
- Credenciales e.firma: archivos .cer/.key y contraseña de llave privada, cifrados con envelope encryption (KMS). La contraseña nunca se almacena en texto claro ni se registra en logs.
- Datos técnicos: dirección IP, user-agent, registros de auditoría, cookies estrictamente necesarias para autenticación y seguridad.
- Datos de facturación: información de pago procesada por Stripe (no almacenamos números completos de tarjeta).
3. Finalidades del tratamiento
Finalidades primarias (necesarias para el servicio):
- Crear y administrar tu cuenta y organización.
- Autenticarte y controlar accesos (RBAC).
- Custodiar e.firma y ejecutar descargas masivas autorizadas ante el SAT.
- Almacenar, organizar y mostrar CFDI, retenciones y reportes derivados.
- Facturar la suscripción y dar soporte.
- Cumplir obligaciones legales de conservación de comprobantes fiscales.
Finalidades secundarias (opcionales):
- Enviar comunicaciones comerciales sobre el producto (puedes oponerte en cualquier momento).
- Mejorar la plataforma mediante métricas agregadas y anónimas.
4. Fundamento y consentimiento
El tratamiento se basa en la ejecución del contrato de servicio, el cumplimiento de obligaciones legales y, para credenciales e.firma de terceros, en el consentimiento expreso del titular o del responsable que acredite la autorización correspondiente. Al cargar e.firma en la plataforma confirmas haber leído este aviso y contar con las autorizaciones necesarias.
5. Transferencias y encargados
Podemos compartir datos con proveedores que nos prestan servicios de infraestructura (hosting, base de datos, almacenamiento, KMS, correo transaccional, pagos), obligados contractualmente a mantener confidencialidad y seguridad. Algunos proveedores pueden operar fuera de México; en esos casos aplicamos cláusulas contractuales y medidas de seguridad acordes a la LFPDPPP.
No vendemos datos personales.
6. Conservación
- CFDI y archivos fiscales: conservados conforme a obligaciones legales (~5 años).
- Credenciales e.firma: mientras permanezcan cargadas en tu cuenta o hasta eliminación con borrado criptográfico.
- Cuenta inactiva: sujeta a políticas de retención y aviso previo antes de baja definitiva de datos no fiscales.
7. Medidas de seguridad
Aplicamos cifrado en tránsito (TLS), cifrado en reposo, aislamiento multi-tenant (RLS), auditoría de acciones sensibles, control de acceso granular y principio de mínimo privilegio. Detalle adicional en la sección de seguridad de nuestro sitio.
8. Derechos ARCO y revocación del consentimiento
Tienes derecho de Acceso, Rectificación, Cancelación y Oposición, así como revocar tu consentimiento y limitar el uso o divulgación de tus datos. Consulta el procedimiento en nuestra página de Derechos ARCO.
9. Cookies
Utilizamos cookies y tecnologías similares estrictamente necesarias para sesión, autenticación y seguridad. No usamos cookies publicitarias de terceros en la aplicación principal.
10. Cambios al aviso
Podemos modificar este aviso. Publicaremos la versión actualizada en esta URL e informaremos cambios relevantes por correo o dentro de la plataforma.
11. Autoridad competente
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).