Rewarda legal

Politica de privacidad

Esta politica describe como Rewarda trata datos personales cuando opera como plataforma SaaS para reservas, clientes, pagos, mensajeria y fidelizacion. Tambien resume los controles tecnicos hoy visibles en la aplicacion.

Ultima actualizacion: 2 de abril de 2026Version: 2026-04

1. Roles de tratamiento

En la operacion B2B de Rewarda, el negocio cliente actua como responsable respecto de los datos de sus clientes, pacientes o alumnos. Rewarda actua como encargado/procesador para prestar la plataforma, manteniendo controles de acceso, registros de consentimientos, exportacion y supresion asistida desde el dashboard.

Cuando Rewarda trata datos propios del sitio, facturacion o soporte comercial, puede actuar como responsable independiente para esas finalidades especificas.

2. Categorias de datos

Datos de cuenta y negocio

Nombre del negocio, slug, usuarios autorizados, roles, email, telefono y datos de facturacion.

Datos de clientes y pacientes

Nombre, email, telefono, identificadores internos, notas operativas, historial de citas, consentimientos y preferencias de comunicacion.

Datos de agenda y servicio

Servicios, horarios, profesionales, sucursales, reglas de disponibilidad, reprogramaciones y estados de reserva.

Datos de pago

Monto, medio de pago, estado, referencia externa, proveedor, webhook asociado y conciliacion operativa.

Datos tecnicos y de seguridad

IP, device id, user agent resumido, logs de acceso, incidentes de seguridad, rate limits y eventos de auditoria.

3. Finalidades y bases legales

FinalidadBase legal
Prestar la plataforma, autenticar usuarios y operar reservasEjecucion del contrato con el negocio cliente.
Procesar cobros, conciliaciones y prevenir fraudeEjecucion del contrato e interes legitimo en seguridad y continuidad operativa.
Enviar mensajes transaccionales y recordatoriosEjecucion del contrato; consentimiento cuando el canal o el contenido lo requiera.
Medir marketing y cargar tags publicitariosConsentimiento del visitante cuando se habilitan integraciones de analytics o ads.
Cumplir obligaciones legales, fiscales y requerimientos de autoridadCumplimiento de obligaciones legales aplicables.

4. Retencion y minimizacion

Cuenta del negocio y configuraciones

Durante la relacion contractual y hasta 24 meses despues del cierre, salvo obligacion legal mayor.

Clientes, pacientes, agenda e historial operativo

Mientras el negocio mantenga activa la cuenta o hasta que solicite supresion/exportacion, sujeto a bloqueos legales o contractuales.

Transacciones y conciliacion de pagos

Hasta 7 anos o el plazo fiscal/contable exigible en la jurisdiccion aplicable.

Registros de consentimientos

Mientras el consentimiento siga siendo relevante y por hasta 5 anos para fines de auditoria.

Logs tecnicos e incidentes de seguridad

Entre 90 dias y 12 meses segun criticidad, investigacion abierta o requerimiento forense.

5. Subprocesadores y transferencias

Rewarda usa proveedores especializados para infraestructura, correo y cobros. Si el negocio habilita integraciones adicionales, esos vendors tambien pueden tratar datos tecnicos o de pago bajo sus propios terminos.

Supabase

Infraestructura de base de datos, auth, storage y APIs administrativas

Datos: Datos de cuenta, clientes, agenda, consentimientos, logs y configuracion.

Transferencias: Transferencias internacionales sujetas a los terminos del proveedor y medidas contractuales aplicables.

Resend

Envio de correo transaccional

Datos: Email del destinatario, asunto, plantillas y metadatos de entrega.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Mercado Pago

Procesamiento de cobros y eventos de pago

Datos: Monto, referencia externa, estado del pago e identificadores de transaccion.

Transferencias: Procesamiento segun la region/cuenta configurada por el negocio.

Stripe

Procesamiento de checkout y webhooks de pago

Datos: Metadata comercial, payment intent, estado de checkout e identificadores de pago.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Lemon Squeezy

Checkout y suscripciones para ciertos productos digitales

Datos: Datos basicos de compra, variantes, suscripcion y referencias de webhook.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Meta / WhatsApp Business Platform

Mensajeria transaccional y automatizaciones por WhatsApp

Datos: Numero de telefono, contenido de mensaje, plantillas y eventos de entrega.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Upstash Redis

Rate limiting distribuido y datos efimeros de control

Datos: Claves tecnicas, contadores y metadatos limitados de request.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Para contratos con exigencias adicionales de cumplimiento, revisa tambien el anexo DPA version 2026-04.

6. Seguridad y aislamiento multi-tenant

Aislamiento logico por negocio y controles de acceso en rutas de dashboard.
Firma y validacion de webhooks para Stripe, Mercado Pago y otros proveedores compatibles.
Controles de idempotencia y conciliacion para registrar transacciones sin duplicados.
Cookies de sesion `httpOnly`, `sameSite` y `secure` en produccion para flujos sensibles.
Registro de incidentes de seguridad, rate limiting y alertas a administradores internos.
Headers de endurecimiento, CSP, HSTS, anti-clickjacking y permisos restringidos a nivel de app.

Rewarda complementa estas medidas con registros de incidentes de seguridad y validaciones firmadas para webhooks de pago. Las evaluaciones OWASP, pentests externos y controles de hardening continuo forman parte del backlog de seguridad y deben ejecutarse por ciclo de release, no solo reflejarse en esta politica.

7. Derechos ARCO / DSR

Los titulares pueden solicitar acceso, rectificacion, supresion, limitacion u oposicion, asi como exportar informacion cuando corresponda. El negocio cliente puede gestionar solicitudes operativas desde el dashboard o escalarlas a Rewarda cuando requiera soporte tecnico.

  • Acceso a una copia de los datos personales disponibles en Rewarda.
  • Rectificacion de datos inexactos o incompletos.
  • Supresion, bloqueo o limitacion del tratamiento cuando proceda.
  • Portabilidad/exportacion de los datos del cliente desde el dashboard.
  • Oposicion o retiro de consentimientos para canales no esenciales.

Canal de contacto para privacidad y DSR: contacto@rewarda.app. Indica el negocio, el identificador del titular y la solicitud concreta para acelerar la atencion.

8. Pagos y proveedores externos

Los pagos no son procesados exclusivamente por Rewarda. Cada flujo depende del proveedor activado por el negocio y de sus webhooks firmados, conciliacion e idempotencia para reflejar el estado real del cobro.

Mercado Pago

Cobros locales, webhooks de pagos y conciliacion de citas/ordenes.

Stripe

Checkout session, planes y confirmacion asincrona por webhook firmado.

Lemon Squeezy

Checkout y eventos de suscripcion para ofertas especificas.