Política de Privacidad

• Recogemos solo lo necesario para operar el servicio.
• No vendemos tus datos a terceros. Nunca.
• Tus contraseñas están hasheadas; tus secretos OAuth y MFA están cifrados en reposo.
• Podés pedir exportación de tus datos de negocio o eliminación total de tu cuenta.

ECHU (operador de la plataforma echu.app), con domicilio en Buenos Aires, Argentina. Para consultas sobre tus datos: privacidad@echu.app.

3.1 Datos de cuenta

• Email (identificación y comunicación operativa)
• Hash de contraseña (bcrypt cost 12)
• Secreto TOTP de MFA (cifrado AES-256-GCM en reposo)
• Hashes de códigos de recuperación (consumidos al usarse)
• Sesiones activas y dispositivos confiables (IP, user-agent, fecha)

3.2 Datos de uso

• Audit log de eventos: registro, login, MFA, creación de proyectos, mensajes (longitud, no contenido), errores. Append-only.
• IP y user-agent en eventos de seguridad.

3.3 Datos de integración con Claude

• Tokens OAuth de tu cuenta de Claude (cifrados AES-256-GCM en reposo).
• El contenido de tus conversaciones con el agente se procesa contra Anthropic usando tu propia cuenta. ECHU no almacena el texto de las conversaciones más allá del audit log mencionado.

3.4 Datos de tu producto

Cualquier dato que cargues, generes o el agente escriba en tu producto (clientes, productos, transacciones, etc.) vive aislado en tu propio contenedor y volumen Docker. Ninguna otra cuenta puede acceder a esos datos, ni siquiera otros clientes de ECHU.

• Proveer y operar la plataforma.
• Autenticar y proteger tu cuenta.
• Detectar abuso, fraude e incidentes de seguridad.
• Cumplir obligaciones legales.
• Mejorar el producto a partir de patrones agregados, sin identificar clientes individuales ni revelar información confidencial.

No vendemos datos. Compartimos exclusivamente con:

• Anthropic (Claude): las conversaciones del agente se procesan en su API usando tu propio token OAuth, sujeto a las políticas de Anthropic.
• Cloudflare: DNS y, opcionalmente, protección de borde.
• Autoridades: solo ante orden judicial válida.

Hoy nuestra infraestructura está en Argentina. Si en el futuro migramos a proveedores cloud (AWS), notificaremos con antelación y actualizaremos esta política indicando jurisdicción.

• Datos de cuenta: mientras la cuenta exista.
• Audit log: 24 meses (luego se rota).
• Datos de tu producto: mientras el proyecto esté activo. Al cancelar, se eliminan junto con el contenedor (proceso irreversible).
• Backups: rotación periódica.

• Hash bcrypt de contraseñas (cost 12).
• Cifrado AES-256-GCM de secretos en reposo (MFA, OAuth tokens).
• MFA TOTP obligatorio.
• Aislamiento por contenedor Docker y red privada por cliente.
• Container del cliente sin internet directo, con caps reducidas, read-only y resource limits.
• HTTPS obligatorio, HSTS, CSP, headers de seguridad estándar.
• Audit log append-only.

Podés ejercer en cualquier momento:

• Acceso: pedir copia de los datos que tenemos sobre vos.
• Exportación: pedir un dump de los datos de negocio cargados a tu producto (CSV/JSON/SQL).
• Rectificación: corregir datos inexactos.
• Eliminación: borrar tu cuenta y todos los datos asociados (incluye contenedor, volumen, workspace y tokens). Conservamos el audit log mínimo por obligaciones legales.

Para ejercer derechos: privacidad@echu.app. Respondemos dentro de 10 días hábiles.

Usamos cookies estrictamente necesarias para la sesión (autenticación y CSRF). No usamos cookies de tracking ni publicidad de terceros.

La plataforma no está dirigida a menores de 18 años. Si descubrimos que recogimos datos de un menor, los eliminamos.

Notificaremos cambios sustanciales con al menos 15 días de antelación. La fecha al inicio del documento indica la última revisión.