Política de Privacidad

Orbidev es la marca y la plataforma SaaS de gestión de operaciones de ingeniería. El servicio es prestado por Zyntek S.A.S., sociedad constituida en Colombia (en adelante también "nosotros" o "la Empresa"). El sitio y el servicio se ofrecen bajo el dominio orbidev.org. Para privacidad, datos personales o solicitudes legales puedes escribirnos a orbidev.sas@gmail.com.

Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos la información personal de los usuarios que acceden a nuestros servicios en orbidev.org y cualquiera de nuestras APIs o subservicios.

2.1 Datos de cuenta

• Nombre completo y dirección de correo electrónico.
• Contraseña (almacenada de forma cifrada, nunca en texto plano).
• Foto de perfil (opcional).
• Información de membresía y rol dentro de organizaciones en Orbidev.

2.2 Datos de uso

• Actividad dentro de la plataforma (proyectos, tareas, reuniones creadas).
• Registros de acceso (dirección IP, agente de usuario, timestamps).
• Datos de diagnóstico y errores para mejorar el servicio.

2.3 Datos obtenidos mediante Google APIs (Google Calendar)

Cuando el usuario elige conectar voluntariamente su cuenta de Google a Orbidev, solicitamos los siguientes permisos OAuth 2.0:

• openid, email, profile: identidad básica (nombre y correo de la cuenta de Google conectada).
• https://www.googleapis.com/auth/calendar.events: creación, lectura y eliminación de eventos en el calendario principal del usuario.

Qué hacemos con esos datos:

• Creamos eventos de reunión en el Google Calendar personal del usuario cuando el usuario lo solicita explícitamente desde la interfaz de Orbidev.
• Obtenemos el link de Google Meet asociado a ese evento y lo almacenamos dentro de la reunión en Orbidev, accesible para todos los miembros de la organización.
• Eliminamos el evento de Google Calendar cuando el usuario decide desvincularlo o revocar la integración.

Qué NO hacemos con esos datos:

• No leemos, almacenamos ni procesamos eventos de Google Calendar preexistentes del usuario.
• No compartimos tokens de Google ni datos del calendario con terceros bajo ninguna circunstancia.
• No usamos los datos del calendario para publicidad, perfilamiento ni transferencia a partes externas.

El uso de información obtenida a través de Google APIs se rige por la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de uso limitado.

• Los datos de sesión se almacenan en cookies HttpOnly y Secure con SameSite=Lax, con TTL de 14 días renovable.
• Los tokens OAuth de Google (access token y refresh token) se cifran con AES-256-CBC antes de guardarse en la base de datos. Nunca se almacenan en texto plano.
• La base de datos está alojada en infraestructura de nube con cifrado en reposo y en tránsito (TLS 1.2+).
• Las credenciales de usuarios se gestionan a través de AWS Cognito, un proveedor de identidad certificado ISO 27001 y SOC 2.
• El acceso a la base de datos está restringido por red y requiere autenticación mutua.

Orbidev no vende, alquila ni comparte tu información personal con terceros para propósitos comerciales. Podemos compartir datos únicamente en los siguientes casos limitados:

• Proveedores de infraestructura: AWS (cómputo, almacenamiento, autenticación), Neon (base de datos PostgreSQL), Convex (mensajería en tiempo real). Estos proveedores actúan como encargados del tratamiento bajo contratos de confidencialidad y solo procesan los datos necesarios para prestar el servicio.
• Requerimientos legales: si una autoridad competente nos obliga por ley, notificaremos al usuario en la medida en que la ley lo permita.

• Los datos de cuenta y actividad se conservan mientras la cuenta esté activa.
• Tras la eliminación de una cuenta, los datos personales se eliminan en un plazo máximo de 30 días, salvo obligación legal de conservarlos.
• Los tokens OAuth de Google se eliminan inmediatamente cuando el usuario desconecta la integración desde Ajustes → Integraciones en la plataforma, o cuando el usuario revoca el acceso desde myaccount.google.com/permissions. Orbidev también revoca el token en los servidores de Google en ese momento.

Con independencia de tu país de residencia, reconocemos los siguientes derechos sobre tus datos:

• Acceso: solicitar qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos desde el perfil o contactándonos.
• Supresión: solicitar la eliminación total de tu cuenta y datos.
• Portabilidad: obtener tus datos en formato legible por máquina.
• Revocación de permisos de Google: desconectar la integración en cualquier momento desde Ajustes → Integraciones. Orbidev eliminará los tokens y revocará el acceso en Google de forma inmediata.

Para ejercer estos derechos, escríbenos a orbidev.sas@gmail.com. Respondemos en un plazo máximo de 15 días hábiles.

Usamos cookies estrictamente necesarias para:

• Mantener tu sesión autenticada.
• Recordar la organización activa en el workspace.
• Protección CSRF.

No usamos cookies de rastreo, publicidad ni analítica de terceros (como Google Analytics).

Orbidev está dirigido a profesionales mayores de 18 años. No recopilamos intencionalmente datos de menores. Si detectas que un menor ha creado una cuenta, contáctanos para eliminarla.

Algunos de nuestros proveedores de infraestructura (AWS, Neon, Convex) operan en servidores de Estados Unidos. Al usar Orbidev aceptas que tus datos puedan procesarse en esa jurisdicción, bajo las salvaguardas contractuales y técnicas descritas en esta política.

Podemos actualizar esta política para reflejar cambios en nuestros servicios o en la normativa aplicable. Te notificaremos por correo electrónico o mediante un aviso en la plataforma con al menos 15 días de anticipación ante cambios materiales.

Si tienes preguntas sobre esta política o sobre el tratamiento de tus datos:

• Email: orbidev.sas@gmail.com
• Sitio web: orbidev.org