Política de Privacidad

1. Información General

VentaMatic es una marca comercial de Nabu Holding, S.A., sociedad constituida bajo las leyes de la República de Guatemala, con domicilio en Ciudad de Guatemala (en adelante "VentaMatic", "nosotros" o "nuestro").

Somos responsables del tratamiento de los datos personales que nos proporcionas a través de cualquiera de nuestros productos, plataformas web, aplicaciones móviles, terminales de punto de venta, kioscos, máquinas expendedoras, terminales de pago en bomba de combustible, estaciones de carga eléctrica y servicios relacionados (colectivamente, los "Servicios").

Esta Política de Privacidad describe qué datos recopilamos, cómo los usamos, con quién los compartimos, cómo los protegemos y cuáles son tus derechos. Aplica por igual a los siguientes productos:

2. Datos que Recopilamos

2.1 Datos de Registro (todos los productos)

• Nombre completo del propietario o representante legal
• Nombre comercial del negocio
• Número de Identificación Tributaria (NIT) u otro identificador fiscal del país correspondiente
• Correo electrónico
• Número de teléfono (opcional)
• Contraseña (almacenada cifrada con bcrypt, nunca en texto plano)
• PIN de acceso para cajeros (cifrado con HMAC-SHA256)

2.2 Datos de Negocio

2.3 Datos Técnicos y de Dispositivo

• Dirección IP y ubicación aproximada (detección de país para configuración fiscal)
• Tipo de dispositivo, sistema operativo y navegador
• Identificadores únicos de dispositivos registrados (licencias de terminal)
• Registros de acceso, actividad y auditoría en la plataforma
• Datos de conectividad y estado operativo (para equipos vending, fuel y charge)

2.4 Datos de Pago

Los pagos se procesan a través de terceros certificados PCI DSS. VentaMatic nunca almacena números de tarjeta de crédito, datos de banda magnética, chip ni códigos CVV. Según el producto:

• POS y Kiosk: Pagos con tarjeta procesados por la terminal integrada. Solo conservamos el estado de la transacción y referencia
• Vending: Efectivo, monedas y tarjeta procesados localmente. Solo conservamos montos y método de pago
• Fuel: Tarjeta procesada en la terminal de la bomba. Solo conservamos referencia de autorización y monto
• Charge: Cobro por kWh procesado por terminal integrada. Solo conservamos energía entregada y monto cobrado
• Suscripciones: Procesadas por Recurrente (recurrente.com), procesador certificado PCI DSS

2.5 Datos de Usuarios Finales (Clientes de tu Negocio)

Cuando los clientes de tu negocio interactúan con nuestros productos (pagan en un kiosco, compran en una máquina vending, cargan su vehículo eléctrico o despachan combustible), podemos procesar datos limitados en tu nombre:

• NIT o identificación fiscal (si solicitan factura)
• Nombre (si solicitan factura)
• Referencia de la transacción de pago

En este caso, tu negocio es el responsable del tratamiento y VentaMatic actúa como encargado del tratamiento (data processor). Tu negocio es responsable de informar a sus clientes sobre el uso de sus datos.

3. Cómo Usamos tu Información

• Proveer los Servicios: Gestionar tu cuenta, procesar pedidos y transacciones, emitir facturas electrónicas, mostrar reportes y dashboards
• Facturación electrónica: Transmitir datos fiscales a la autoridad tributaria del país correspondiente (SAT en Guatemala, Hacienda en El Salvador, DGI en Panamá, etc.) a través de certificadores autorizados
• Telemetría y monitoreo: Supervisar el estado operativo de máquinas vending, bombas de combustible y estaciones de carga para garantizar disponibilidad
• Suscripción y pagos: Procesar pagos recurrentes, gestionar períodos de prueba, enviar avisos de vencimiento
• Soporte técnico: Resolver problemas, responder consultas, realizar diagnósticos remotos de equipos
• Comunicaciones: Enviar correos transaccionales (facturas, alertas de cuenta, avisos de mantenimiento), y comunicaciones de producto solo con tu consentimiento
• Seguridad: Detectar y prevenir fraude, accesos no autorizados, manipulación de equipos y uso indebido
• Mejora del servicio: Analizar patrones de uso agregados y anonimizados para mejorar funcionalidades y rendimiento

4. Con Quién Compartimos tu Información

VentaMatic no vende tus datos personales ni los de tu negocio a terceros bajo ninguna circunstancia. Compartimos información únicamente con los siguientes terceros, exclusivamente para proveer los Servicios:

• Digifact (digifact.com) — Certificador autorizado de facturación electrónica. Recibe datos fiscales (NIT, nombre del contribuyente, detalle de factura) para emitir documentos tributarios electrónicos válidos ante la SAT (Guatemala), Hacienda (El Salvador), DGI (Panamá), DGII (República Dominicana) y demás autoridades fiscales en los países donde operamos
• Recurrente (recurrente.com) — Procesador de pagos certificado PCI DSS. Procesa cobros recurrentes de suscripciones mensuales
• Procesadores de tarjeta integrados — Las terminales de pago integradas en kioscos, máquinas vending, bombas de combustible y estaciones de carga procesan tarjetas a través de adquirentes bancarios autorizados (BAC Credomatic, entre otros)
• Google Cloud Platform (cloud.google.com) — Servidores, almacenamiento y bases de datos en la región us-central1 (Iowa, EE.UU.)
• Resend (resend.com) — Servicio de correo electrónico transaccional para envío de verificaciones de cuenta, alertas y notificaciones
• Meta / WhatsApp Business API — Para comunicación con clientes a través de nuestro asistente de WhatsApp (cuando el cliente inicia la conversación)
• Anthropic (anthropic.com) — Proveedor de inteligencia artificial que procesa consultas del asistente de WhatsApp. Las conversaciones se procesan en tiempo real y no se almacenan por Anthropic después del procesamiento
• Obligación legal: Cuando sea requerido por ley, orden judicial, requerimiento fiscal o autoridad competente

5. Seguridad de los Datos

Implementamos múltiples capas de seguridad:

• Cifrado en tránsito (TLS 1.2+ / HTTPS en todas las comunicaciones)
• Contraseñas cifradas con bcrypt de 12 rondas
• PINs de cajero cifrados con HMAC-SHA256
• Tokens de autenticación JWT con expiración de 7 días
• Rate limiting en endpoints de autenticación (máx. 5 intentos por 5 minutos)
• Headers de seguridad HTTP (HSTS, X-Frame-Options, CSP, Referrer-Policy)
• CORS restringido a dominios autorizados (sin wildcards)
• Acceso basado en roles (super_admin, propietario, administrador, cajero, cocina)
• Aislamiento de datos por tenant (cada negocio solo accede a sus propios datos)
• Verificación de firma HMAC-SHA256 en webhooks de pago (protección contra replay attacks)
• Sanitización de inputs contra XSS y SQL injection
• Copias de seguridad automatizadas de la base de datos
• Monitoreo de accesos y actividad sospechosa

Ningún sistema es 100% seguro. En caso de una brecha de seguridad que afecte tus datos, te notificaremos dentro de las 72 horas siguientes al descubrimiento, junto con las medidas tomadas para mitigar el impacto.

6. Retención de Datos

• Datos de cuenta: Mientras tu cuenta esté activa. Puedes solicitar eliminación en cualquier momento
• Datos fiscales y facturas: Mínimo 4 años según el Código Tributario de Guatemala (o el período equivalente del país de operación)
• Datos de transacciones: Mientras la cuenta esté activa y por 1 año adicional después de la cancelación
• Telemetría de equipos: 90 días para datos en tiempo real; reportes agregados se conservan 2 años
• Logs técnicos y de seguridad: Máximo 90 días
• Conversaciones de WhatsApp: Mientras la conversación esté activa o hasta 6 meses de inactividad
• Datos de usuarios finales (clientes de tu negocio): Según las instrucciones del negocio responsable, sujeto a la retención mínima fiscal

7. Tus Derechos

Como titular de datos personales, tienes derecho a:

• Acceso: Solicitar una copia de todos tus datos personales en nuestro poder
• Rectificación: Corregir datos inexactos o incompletos
• Eliminación: Solicitar la eliminación de tu cuenta y datos personales (sujeto a obligaciones legales de retención fiscal)
• Portabilidad: Exportar tus datos en formato estándar (CSV o JSON)
• Oposición: Oponerte al uso de tus datos para fines de marketing o análisis no esenciales
• Limitación: Solicitar que restrinjamos el procesamiento de tus datos mientras se resuelve una disputa

Para ejercer estos derechos, escríbenos a privacidad@ventamatic.com indicando tu nombre, producto que utilizas y el derecho que deseas ejercer. Responderemos dentro de los 30 días hábiles.

8. Cookies y Tecnologías Similares

• Sitio web (ventamatic.com): Almacenamiento local del navegador (sessionStorage) para recordar país detectado y preferencia de idioma. No utilizamos cookies de rastreo ni publicidad de terceros
• App web (app.ventamatic.com): Cookie de sesión (PHPSESSID) con flags HttpOnly, Secure y SameSite=Strict para gestión de sesión del panel de administración
• API: Token JWT almacenado en el cliente (aplicación móvil o navegador). No se utilizan cookies para la API

9. Datos de Menores

Nuestros Servicios están dirigidos exclusivamente a empresas y personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad. Los usuarios finales que interactúan con kioscos, máquinas vending o estaciones de carga no requieren registro ni proporcionan datos personales, a menos que soliciten factura voluntariamente.

10. Transferencias Internacionales

Tus datos pueden ser procesados en servidores ubicados en Estados Unidos (Google Cloud Platform, región us-central1) y por proveedores de servicios con infraestructura global (Anthropic, Resend, Meta). Estas transferencias se realizan con medidas de seguridad adecuadas, incluyendo cifrado en tránsito y en reposo.

VentaMatic opera actualmente en: Guatemala, El Salvador, Panamá, República Dominicana, Costa Rica, México, Perú y Chile. Los datos fiscales se procesan a través de los servidores de Digifact en el país correspondiente.

11. Consideraciones Específicas por Producto

VentaMatic POS

El sistema POS procesa datos de ventas, inventario, empleados y clientes de tu restaurante o comercio. Los datos de empleados (nombre, PIN, rol) se almacenan cifrados. La pantalla de cocina (KDS) transmite datos de pedidos en tiempo real vía conexiones seguras dentro de tu red local.

VentaMatic Kiosk

Los kioscos de autoservicio procesan pedidos y pagos sin almacenar datos del usuario final en el dispositivo. Los datos de transacción se transmiten al servidor central inmediatamente. No se capturan datos biométricos ni imágenes de los usuarios.

VentaMatic Vending

Las máquinas vending recopilan datos de telemetría (temperatura, estado de motores, nivel de inventario) y datos de transacciones (producto seleccionado, método de pago, monto). Estos datos se transmiten al servidor central para monitoreo remoto. No se recopilan datos personales del comprador a menos que solicite factura.

VentaMatic Fuel

El sistema pay-at-pump procesa datos de la transacción de combustible (galones, tipo de combustible, monto, referencia de autorización bancaria). Los datos de tarjeta son procesados por la terminal de pago y nunca pasan por nuestros servidores. Si el cliente solicita factura, se procesa su NIT y nombre a través de Digifact.

VentaMatic Charge

Las estaciones de carga EV recopilan datos de la sesión de carga (kWh entregados, duración, tipo de conector, estado de la estación). El cobro por kWh se procesa a través de la terminal de pago integrada. Los datos de energía entregada se utilizan para facturación y reportes de rentabilidad.

12. Cambios a esta Política

Podemos actualizar esta política cuando agreguemos nuevos productos, integraciones o funcionalidades. Te notificaremos de cambios sustanciales por correo electrónico o mediante un aviso en la plataforma con al menos 15 días de anticipación. La fecha de última actualización se indica al inicio de este documento.

13. Contacto

Si tienes preguntas sobre esta política o sobre el manejo de tus datos:

• Correo: privacidad@ventamatic.com
• WhatsApp: +502 4793-8025
• Web: ventamatic.com
• Empresa: Nabu Holding, S.A. — Ciudad de Guatemala, Guatemala