Política de Privacidad

Responsable: Jose Miguel Benitez — operando bajo la marca Joneshys
Sitio web: vault.joneshys.com
Contacto: [email protected]
Jurisdicción principal: República de Colombia
Ley aplicable: Ley Estatutaria 1581 de 2012 y Decreto 1377 de 2013 (Colombia), con extensión voluntaria a los estándares del GDPR (UE) y CCPA (California, EE.UU.) para usuarios en esas jurisdicciones.

Vault es una extensión de Chrome y una aplicación web personal cuya finalidad es gestionar contraseñas y códigos de doble factor (TOTP/2FA) de forma segura, local y cifrada. No tiene fines comerciales de venta de datos.

El tratamiento de datos personales en Vault se fundamenta en las siguientes bases legales (Art. 6 GDPR · Art. 4(h) Ley 1581/2012):

• Ejecución de contrato / prestación del servicio — el procesamiento del token de sesión JWT y las credenciales del vault es estrictamente necesario para que el servicio funcione.
• Interés legítimo — registros técnicos mínimos (logs de errores del servidor, sin datos personales identificables) para mantener la seguridad y estabilidad del servicio.
• Consentimiento explícito — el usuario instala voluntariamente la extensión y configura su vault personal. El uso continuado constituye consentimiento informado.

No existe ningún tratamiento de datos con finalidad de marketing, perfilamiento, publicidad o venta a terceros.

Vault accede únicamente a los siguientes datos, todos bajo control exclusivo del usuario:

• Token de sesión JWT — emitido por el vault del propio usuario tras autenticarse. Se almacena en chrome.storage.session (memoria volátil) y opcionalmente en chrome.storage.local con TTL derivado del campo exp del JWT. Se elimina al bloquear el vault o al cerrar el navegador según configuración.
• Credenciales del vault — contraseñas, usuarios y secretos TOTP cifrados con AES-256-GCM. Se solicitan bajo demanda para autocompletar formularios. Nunca se persisten en la extensión ni se envían a servidores externos.
• URL de la pestaña activa — el dominio del sitio actual se usa para filtrar y mostrar solo las credenciales relevantes. No se registra, almacena ni transmite a ningún servidor.
• Clave privada ECDH P-256 — usada para descifrar entradas compartidas entre usuarios. Vive exclusivamente en chrome.storage.session, no persiste en disco y se limpia al bloquear el vault.
• Nombre de usuario — identificador de sesión dentro del vault personal del usuario. No es un dato de identificación real ni se comparte con terceros.

Logs del servidor: el backend puede registrar logs técnicos mínimos (timestamps de peticiones, códigos de respuesta HTTP) para diagnóstico de errores. Estos logs no contienen contraseñas ni datos de navegación, y se almacenan únicamente en la infraestructura personal del usuario.

Esta aplicación no utiliza cookies de ningún tipo — ni funcionales, ni analíticas, ni de seguimiento. La sesión se gestiona exclusivamente mediante JWT almacenado en chrome.storage.

Tus credenciales están cifradas con AES-256-GCM y se almacenan en infraestructura bajo control del usuario:

• Vault local — localhost:8742. Base de datos MongoDB en tu propia máquina. Solo accesible desde tu dispositivo.
• Vault remoto — vault.joneshys.com. Servidor personal bajo control exclusivo del usuario, con base de datos MongoDB Atlas (proveedor: MongoDB, Inc. — infraestructura en AWS). MongoDB Atlas actúa como encargado del tratamiento (Art. 28 GDPR) bajo los términos de su política de privacidad. Los datos almacenados en Atlas están cifrados en reposo y en tránsito.
• Sincronización S3 — el vault puede sincronizarse opcionalmente con un bucket de Amazon S3 configurado y controlado íntegramente por el propio usuario. Vault no tiene acceso a credenciales de S3 ni a los datos sincronizados. AWS actúa como procesador de datos bajo control exclusivo del usuario.

El master password nunca se almacena en texto plano. La arquitectura de cifrado actual es zero-knowledge en reposo: las credenciales se cifran con AES-256-GCM y el servidor no guarda el master password ni la clave de descifrado en disco. Durante la sesión activa, la derivación de clave se realiza con argon2id en el servidor (modelo server-assisted zero-knowledge) — la clave existe solo en memoria de sesión y expira automáticamente. La migración a descifrado completamente client-side (PBKDF2 en WebCrypto) está planificada en ADR-018 (v2.0, Q3 2026).

• Credenciales del vault — se conservan indefinidamente mientras el usuario mantenga activa su cuenta. Se eliminan de forma permanente a solicitud del usuario o al eliminar la cuenta.
• Token de sesión (extensión) — se elimina automáticamente al expirar (TTL definido en el JWT), al bloquear el vault, o al cerrar el navegador.
• Logs técnicos del servidor — máximo 30 días en rotación automática. No contienen datos personales identificables.
• Datos en S3 (sincronización opcional) — bajo control exclusivo del usuario; la retención la define el propio usuario en su bucket.

El usuario puede solicitar la eliminación de todos sus datos en cualquier momento enviando un correo a [email protected]. La eliminación se ejecutará en un plazo máximo de 30 días hábiles (Art. 15 Ley 1581/2012 · Art. 17 GDPR).

La extensión y la aplicación realizan peticiones de red exclusivamente a:

• http://localhost:8742 / http://127.0.0.1:8742 — vault local del usuario.
• https://vault.joneshys.com — vault remoto personal del usuario.

No se realiza ninguna petición a servicios de terceros, CDNs externos, APIs de analítica, redes publicitarias ni ningún otro servidor fuera del vault personal del usuario. No se ejecuta código remoto (no remote code execution).

• storage — persiste el token de sesión JWT cifrado con TTL. No almacena contraseñas ni datos del vault.
• activeTab — lee la URL de la pestaña activa únicamente para filtrar y mostrar las credenciales relevantes al sitio actual. Solo se activa bajo acción explícita del usuario (clic en el icono de la extensión).
• tabs — envía el código TOTP generado localmente al content script de la pestaña activa para autocompletar el campo de doble factor. No lee el contenido de otras pestañas.

Ningún permiso se usa para recopilar datos de navegación, historial o comportamiento del usuario.

De conformidad con el Art. 8 de la Ley 1581/2012 (Colombia) y los Arts. 15-22 del GDPR (UE), tienes los siguientes derechos sobre tus datos personales:

• Acceso — conocer qué datos personales tuyos tenemos y cómo los usamos.
• Rectificación — corregir datos inexactos o incompletos.
• Supresión («derecho al olvido») — solicitar la eliminación de tus datos cuando ya no sean necesarios para la finalidad para la que fueron recopilados.
• Portabilidad — recibir tus datos en un formato estructurado y legible por máquina (exportación del vault en JSON).
• Oposición y limitación — oponerte al tratamiento de tus datos o solicitar que se limite a finalidades específicas.
• Revocación del consentimiento — en cualquier momento, sin que ello afecte la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, escribe a [email protected] con el asunto "Derechos ARCO". Responderemos en un plazo máximo de 10 días hábiles (Art. 22 Ley 1581/2012) / 30 días (Art. 12 GDPR).

Si consideras que el tratamiento de tus datos vulnera la normativa aplicable, tienes derecho a presentar una reclamación ante la Superintendencia de Industria y Comercio (SIC) de Colombia o ante la autoridad de control de tu país de residencia.

Vault implementa medidas técnicas de seguridad que incluyen:

• Cifrado de credenciales con AES-256-GCM antes de cualquier almacenamiento.
• Derivación de claves con argon2id (server-side, sesión efímera) — el master password nunca se almacena en disco. Migración a derivación client-side (PBKDF2 WebCrypto) planificada en v2.0 (ADR-018).
• Autenticación con JWT firmados y expiración configurable.
• Soporte para TOTP/2FA como capa adicional de seguridad.
• Comunicaciones cifradas con TLS en el vault remoto.

En caso de una brecha de seguridad que pueda afectar datos personales, notificaremos a los usuarios afectados mediante correo electrónico en un plazo máximo de 72 horas desde la detección del incidente (Art. 33 GDPR), con descripción de la naturaleza de la brecha, datos afectados y medidas adoptadas.

Vault no está dirigido a menores de 16 años (umbral GDPR Art. 8 — aplicable en la Unión Europea) ni a menores de 13 años en otras jurisdicciones (COPPA, EE.UU.). No recopilamos conscientemente datos de menores.

Si eres padre, madre o tutor legal y tienes razones para creer que un menor bajo tu tutela ha utilizado este servicio y proporcionado datos personales, contáctanos a [email protected] y procederemos a eliminar dichos datos de inmediato.

Cualquier cambio relevante en esta política será publicado en esta misma URL con la fecha de actualización actualizada. Para cambios sustanciales que afecten los derechos de los usuarios, se enviará una notificación por correo electrónico a los usuarios registrados con al menos 15 días de anticipación a la entrada en vigor de los nuevos términos.

El uso continuado de Vault tras la fecha de vigencia de la nueva política constituye aceptación de los cambios. Si no estás de acuerdo, puedes solicitar la eliminación de tu cuenta antes de la fecha de vigencia.