# Manual de uso y protección de datos TÉCNICO

Sobre:&#x20;

Datos que reciben tratamiento y que pueden divulgarse a terceros.

Datos que produce el usuario dentro del App pueden ser usados para mejorar la experiencia del usuario y sugerir contenido parecido. Estos datos no se relacionan con la identidad del usuario.

* Historial de búsquedas que se realiza en la marketplace
* Ítems a los que el usuario indicó que le gustan
* Ítems en los que el usuario comenta
* Perfiles que el usuario visita

Estos datos únicamente se usarán para mantenerlo informado acerca de los últimos productos, actualizaciones en items de interés y próximos eventos. Estos datos no se comparten con terceros y se resguardan de manera segura.

Datos generados a partir de la interacción con la aplicación

Datos que produce el usuario al interactuar con la interfaz y que són usados para la mejora de la misma aplicación a la vez estos responde a las siguientes preguntas:

* ¿En qué pantalla se quedaron antes de realizar una compra?
* ¿Qué podemos mejorar en esas pantallas?
* ¿Cuánto tiempo pasaron en la App?
* Datos sobre ¿cómo usa el App y cuanto tiempo la usa?

Estos datos únicamente se usarán para facilitar a los desarrolladores la mejora de la aplicación, no se comparten a terceros, es únicamente para uso interno.

Datos que NO reciben tratamiento y son de carácter personal.&#x20;

Por cumplimiento a normativas y leyes pedimos los siguientes datos antes de realizar cualquier transacción (compra/venta) de FNFTs o (compra/venta )de Token FRQs (activo digital) o publicar cualquier artículo en el marketplace o contenido en el canal. Estos datos se almacenan de tal manera que no es transparente la relación con los usuarios del App.

♦️ foto de como esta el tabla de datos que se tienen que usar.&#x20;

<https://docs.google.com/spreadsheets/d/1WOtBBvm6yJnDw3S-njBO9doikfrxeintK6sxZxSz7aU/edit#gid=0><br>

Estos datos no se usan en ningún momento ni se procesan, solo se almacenan para la elaboración de los reportes en cumplimiento a las leyes:

* Ley federal para la prevención e identificación de operaciones con recursos de procedencia ilícita&#x20;
* Ley federal  “Ley antilavado”

Las cuales nos obliga a identificar y reportar a todo usuario que adquiere un activo digital, Estos datos se resguardan de manera encriptada y en ningún momento se comparten a terceros.

<br>

### Datos que reciben tratamiento y son de carácter público, rastreables e inmodificables (Blockchain)

En la blockchain únicamente se guardarán los siguientes datos:

Dirección de la wallet de los usuarios y su relación con los cripto activos que poseen: En la blockchain no habrá ningún dato que vincule la identidad real de la persona con las propiedades sobre los cripto activos.&#x20;

{% code title="BLOCKCHAIN CODE" overflow="wrap" %}

```actionscript
Usuario: Id: 0xf356003F8D70460859f70e1676Da208d2b997FB1 
Tiene Activo: 0xf356003F8D70460859f70e16762208d2be1676D2 
creado por Username: Username
Activo Id: 0xf356003F8D70460859f70e1676Da208D70460859 
creado por: Username: 
UsuarioName Price: 100 xFRQ
```

{% endcode %}

### Protección y resguardo de datos:

El siguiente diagrama técnico describe el arquitectura de red bajo la cual se almacenan resguardan y procesan los datos de la aplicación:

Los datos de carácter personal se protegen bajo los siguientes mecanismos:

<figure><img src="https://1055781167-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FXvZMYeK3Xk3e7rxSyWOn%2Fuploads%2FxVIu1rrQh5dHXLbUIgRq%2FGroup%2014.png?alt=media&#x26;token=dfd3765c-d802-4218-8c7e-3a592ee4d614" alt=""><figcaption></figcaption></figure>

* Las BDs tienen nombre ofuscado no descriptivo dentro de los servidores que las alojan. (DevOps).
* [Cloud Firewall](https://www.cloudflare.com/learning/cloud/what-is-a-cloud-firewall/): Para evitar ataques [DoS y DDoS](https://www.osi.es/es/actualidad/blog/2018/08/21/que-son-los-ataques-dos-y-ddos)  (DevOps).
* [OAuth2](https://datatracker.ietf.org/doc/html/rfc7519)<mark style="color:blue;">:</mark> Protocolo de autenticación en cada petición, asegura que el usuario está correctamente identificado.
* [Middleware](https://www.redhat.com/es/topics/middleware/what-is-middleware): Permisos de cada usuario en el API que se expondrá para ser consumida por el App desde diferentes dispositivos.&#x20;
* [CrossOrigin](https://en.wikipedia.org/wiki/Cross-origin_resource_sharing): Verificamos en cada petición que el origen sea la App móvil para evitar ataques de bots u otros dispositivos que no sean móviles con el App instalada y usuarios correctamente identificados (backend).&#x20;
* Encriptación de la base de datos de los usuarios: La base de datos está completamente encriptada en caso de hackeo y robo de estos datos, obtendrán datos encriptados ilegibles. (Backend y devops)
* Cifrado de todo el tráfico entre la aplicación y el servidor [SSL](https://www.ssl.com/faqs/faq-what-is-ssl/) (Backend y devops)
* Los datos locales que se guardan en el teléfono del cliente también se cifran, haciéndolos ilegibles en caso de descompilación o [reversing](https://www.campusciberseguridad.com/blog/item/140-que-es-el-reversing). (Frontend)
* Es posible implementar la [doble autenticación](https://authy.com/what-is-2fa/) del usuario al iniciar sesión (Ingresar código enviado por email) (Analisis Producto)
* Los datos sensibles de carácter personal que hacen referencia a la identidad del usuario se guardan en una entidad separada (Tabla HashBytes) siendo solo posible indexarlos si se calcula el hash del usuario. (Backend)
* Las bases de datos se guardan en un servidor diferente que en donde se procesan los datos. En caso de ataque tendrían que atacar 2 servidores. (DevOps)
* Los servidores fueron tratados con un proceso de [hardening](https://blog.smartekh.com/que-es-hardening) que hace imposible la ejecución de otros programas o terceros que no hayan sido configurados al inicio además de la configuración de puertos y permisos de cada usuario en el servidor. (DevOps)
* La lógica de la aplicación corre en contenedores aislados virtuales. &#x20;
* Se sugiere realizar pruebas de penetración (Cloud Pentesting) y auditorías de la arquitectura cloud y blockchain (Smart contracts Audits). (Product, TechLeads)

### Nuestros compromisos con los usuarios:

* Actualización: Contamos con un equipo de cumplimiento en apego a las normas y leyes que rigen los países en donde operamos.
* Responsabilidad: somos responsables de nuestras prácticas relacionadas con la privacidad, nos aseguramos del cumplimiento y documentación adecuada de las normativas de protección de datos. También celebraremos reuniones con expertos, para conocer distintas opiniones y formas de proteger la privacidad de nuestros usuarios.
* Transparencia: Nuestra Política de datos seguirá siendo el único marco unificado en el que se indicará cómo usamos y procesamos los datos personales.

### Política de administración de artefactos a datos:

* Solo se procesarán los datos por lotes, nunca por usuario.
* Las tablas donde se guarda la actividad e información de los usuarios no tienen relación con la identidad de la persona real.
* Los administradores de servidores están identificados y han firmado un acuerdo que confidencialidad y responsabilidad
* El lugar físico donde se resguarda la información corre a cargo de un servicio de [terceros especializado](https://try.digitalocean.com/managed-databases/?utm_campaign=armx_brand_kw_en_cpc\&utm_adgroup=digitalocean_dbaas_bmm&_keyword=digital%20ocean%20database&_device=c&_adposition=\&utm_content=conversion\&utm_medium=cpc\&utm_source=google\&gclid=Cj0KCQjw1ZeUBhDyARIsAOzAqQJhS-Q1AX12WUE6VV13wOKeoA9qeUFi5WJRm_0VVx7C3WEWfumxAjYaAl-aEALw_wcB).
* Todos los accesos de administradores a los servidores son registrados y monitoreados junto con las acciones que realiza, ver, copiar, etc.

<br>

<br>