Política de privacidad

1. Información que recopilamos

Información de la cuenta

Cuando crea una cuenta, recopilamos su nombre, dirección de correo electrónico y una contraseña. Si configura un buzón, también recopilamos sus credenciales del servidor IMAP (nombre de usuario, contraseña, dirección del servidor y puerto). Si se conecta mediante Gmail OAuth 2.0 o Microsoft Graph OAuth 2.0, recibimos y almacenamos tokens de acceso y actualización cifrados; la contraseña de su proveedor de correo nunca se comparte con nosotros.

Metadatos del correo

Procesamos mensajes de correo para clasificarlos en categorías (por ejemplo, Correo seguro, Boletín, Promocional o Spam). Conservamos únicamente el ID del mensaje, la categoría de clasificación, el nivel de confianza y la acción realizada para evitar el procesamiento duplicado y ofrecer estadísticas de uso. No almacenamos el contenido de sus correos.

Modificación del correo

Cuando un mensaje se clasifica como no deseado y se mueve, Post Guard AI inserta un banner visible de advertencia en el cuerpo HTML y de texto plano antes de reubicarlo. Esta modificación se realiza dentro de su buzón (mediante IMAP APPEND, Gmail API messages.insert o Microsoft Graph API) y solo es visible para usted. El mensaje original se elimina después de crear la copia con banner. Si no está de acuerdo con la clasificación, arrastrar el correo de vuelta a la bandeja de entrada agrega automáticamente el dominio del remitente a la lista blanca.

Datos de uso

También podemos recopilar automáticamente cierta información cuando accede al servicio, incluida su dirección IP, tipo de navegador, sistema operativo, URL de referencia y páginas visitadas. Esta información se usa para mantener y mejorar el servicio.

2. Cómo usamos su información

• Para proporcionar, operar y mantener el servicio Post Guard AI
• Para clasificar y organizar sus mensajes de correo entrantes
• Para autenticar su identidad y administrar su cuenta
• Para comunicarnos con usted sobre su cuenta o el servicio
• Para detectar, prevenir y resolver problemas técnicos o amenazas de seguridad
• Para cumplir obligaciones legales

3. IA y procesamiento del correo

Post Guard AI utiliza inteligencia artificial para clasificar mensajes de correo. El modelo de IA se ejecuta íntegramente en nuestra infraestructura privada en la nube; ningún contenido del correo se envía a servicios externos de IA. Los cuerpos de correo que superan los 24,000 caracteres se truncan automáticamente antes de la clasificación. El contenido procesado por la IA nunca se utiliza para entrenar modelos. La clasificación se realiza en tiempo real y el contenido del cuerpo del correo no se conserva después del procesamiento.

La supervisión de la bandeja usa notificaciones push con IMAP IDLE, sondeo adaptativo de la API de Gmail (intervalos de 30 segundos a 5 minutos) o notificaciones push mediante Google Cloud Pub/Sub, según el tipo de conexión. Cuando Pub/Sub está configurado, Google envía una notificación a nuestro webhook indicando que hay correo nuevo disponible; la notificación contiene solo el identificador del buzón, no el contenido del mensaje. El contenido del mensaje se obtiene posteriormente directamente desde la API de Gmail a través de HTTPS.

4. Seguridad de los datos

Implementamos medidas administrativas, técnicas y físicas razonables para proteger su información personal:

• Hash de contraseñas de una sola vía: Las contraseñas de las cuentas se procesan con PBKDF2-HMAC-SHA512 usando 600,000 iteraciones y una sal aleatoria única. Las contraseñas no pueden recuperarse; solo verificarse.
• Cifrado de credenciales: Las contraseñas IMAP, los tokens OAuth y los secretos TOTP se cifran en reposo con AES-256-GCM.
• Cambio obligatorio de contraseña predeterminada: En el primer acceso administrativo, si la contraseña predeterminada sigue en uso, se exige cambiarla antes de usar la aplicación.
• Bloqueo de cuenta: Después de múltiples intentos fallidos de acceso, la cuenta se bloquea temporalmente para prevenir ataques de fuerza bruta.
• Rate limiting: Las solicitudes de inicio de sesión se limitan por dirección IP para prevenir ataques automatizados de credenciales.
• Invalidación de sesión: Todas las sesiones de usuario se invalidan automáticamente cuando la aplicación se reinicia.
• Validación de certificados TLS: En producción, todas las conexiones IMAP validan los certificados TLS del servidor con el almacén de confianza del sistema.
• Autenticación de dos factores: Las cuentas admiten MFA basada en TOTP.
• OAuth 2.0: Los usuarios de Gmail y Microsoft 365 se conectan a través de la pantalla de consentimiento del proveedor. Nunca recibimos ni almacenamos la contraseña de su proveedor de correo.
• Resiliencia de base de datos: Los fallos transitorios de base de datos se reintentan automáticamente con retroceso exponencial.

Sin embargo, ningún método de transmisión por Internet o almacenamiento electrónico es completamente seguro, y no podemos garantizar seguridad absoluta.

5. Retención de datos

Conservamos la información de su cuenta mientras esté activa o mientras sea necesaria para prestarle el servicio. Los IDs de mensajes y las estadísticas de clasificación se conservan para evitar procesamiento duplicado y ofrecer informes de uso. Puede solicitar la eliminación de su cuenta y los datos asociados en cualquier momento poniéndose en contacto con nosotros.

6. Divulgación de su información

No vendemos, intercambiamos ni alquilamos su información personal a terceros. Podemos divulgarla en las siguientes circunstancias:

• Requisitos legales: Si la ley lo exige o en respuesta a solicitudes válidas de autoridades públicas.
• Protección de derechos: Si creemos que la divulgación es necesaria para proteger nuestros derechos, su seguridad o la seguridad de otros, investigar fraude o responder a una solicitud gubernamental.
• Proveedores de servicios: Podemos compartir información con proveedores externos que realizan servicios en nuestro nombre, sujetos a obligaciones de confidencialidad.

7. Cookies y tecnologías de seguimiento

Podemos utilizar cookies y tecnologías similares para mantener su sesión y recordar sus preferencias. Puede indicar a su navegador que rechace todas las cookies o que avise cuando se envíe una. Sin embargo, algunas funciones del servicio pueden no funcionar correctamente sin cookies.

8. Enlaces de terceros

Nuestro servicio puede contener enlaces a sitios web o servicios de terceros que no son operados por nosotros. No controlamos, ni asumimos responsabilidad alguna, por el contenido, las políticas de privacidad o las prácticas de sitios o servicios de terceros.

9. Privacidad de menores

Nuestro servicio no está destinado a menores de 13 años. No recopilamos conscientemente información personal de menores de 13 años. Si llegamos a saber que hemos recopilado información personal de un menor de 13 años, tomaremos medidas para eliminarla.

10. Sus derechos

Dependiendo de su jurisdicción, puede tener derecho a:

• Acceder a la información personal que tenemos sobre usted
• Solicitar la corrección de información inexacta
• Solicitar la eliminación de su información personal
• Oponerse o limitar cierto procesamiento de sus datos
• Solicitar la portabilidad de sus datos

Para ejercer cualquiera de estos derechos, póngase en contacto con nosotros usando la información proporcionada abajo.

11. Cambios a esta política de privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Le notificaremos cualquier cambio publicando la nueva política en esta página y actualizando la “Fecha de vigencia” al inicio. Le recomendamos revisar esta política periódicamente.