Manual de uso y protección de datos TÉCNICO

Sobre:

Datos que reciben tratamiento y que pueden divulgarse a terceros.

Datos que produce el usuario dentro del App pueden ser usados para mejorar la experiencia del usuario y sugerir contenido parecido. Estos datos no se relacionan con la identidad del usuario.

  • Historial de búsquedas que se realiza en la marketplace

  • Ítems a los que el usuario indicó que le gustan

  • Ítems en los que el usuario comenta

  • Perfiles que el usuario visita

Estos datos únicamente se usarán para mantenerlo informado acerca de los últimos productos, actualizaciones en items de interés y próximos eventos. Estos datos no se comparten con terceros y se resguardan de manera segura.

Datos generados a partir de la interacción con la aplicación

Datos que produce el usuario al interactuar con la interfaz y que són usados para la mejora de la misma aplicación a la vez estos responde a las siguientes preguntas:

  • ¿En qué pantalla se quedaron antes de realizar una compra?

  • ¿Qué podemos mejorar en esas pantallas?

  • ¿Cuánto tiempo pasaron en la App?

  • Datos sobre ¿cómo usa el App y cuanto tiempo la usa?

Estos datos únicamente se usarán para facilitar a los desarrolladores la mejora de la aplicación, no se comparten a terceros, es únicamente para uso interno.

Datos que NO reciben tratamiento y son de carácter personal.

Por cumplimiento a normativas y leyes pedimos los siguientes datos antes de realizar cualquier transacción (compra/venta) de FNFTs o (compra/venta )de Token FRQs (activo digital) o publicar cualquier artículo en el marketplace o contenido en el canal. Estos datos se almacenan de tal manera que no es transparente la relación con los usuarios del App.

♦️ foto de como esta el tabla de datos que se tienen que usar.

https://docs.google.com/spreadsheets/d/1WOtBBvm6yJnDw3S-njBO9doikfrxeintK6sxZxSz7aU/edit#gid=0

Estos datos no se usan en ningún momento ni se procesan, solo se almacenan para la elaboración de los reportes en cumplimiento a las leyes:

  • Ley federal para la prevención e identificación de operaciones con recursos de procedencia ilícita

  • Ley federal “Ley antilavado”

Las cuales nos obliga a identificar y reportar a todo usuario que adquiere un activo digital, Estos datos se resguardan de manera encriptada y en ningún momento se comparten a terceros.

Datos que reciben tratamiento y son de carácter público, rastreables e inmodificables (Blockchain)

En la blockchain únicamente se guardarán los siguientes datos:

Dirección de la wallet de los usuarios y su relación con los cripto activos que poseen: En la blockchain no habrá ningún dato que vincule la identidad real de la persona con las propiedades sobre los cripto activos.

BLOCKCHAIN CODE
Usuario: Id: 0xf356003F8D70460859f70e1676Da208d2b997FB1 
Tiene Activo: 0xf356003F8D70460859f70e16762208d2be1676D2 
creado por Username: Username
Activo Id: 0xf356003F8D70460859f70e1676Da208D70460859 
creado por: Username: 
UsuarioName Price: 100 xFRQ

Protección y resguardo de datos:

El siguiente diagrama técnico describe el arquitectura de red bajo la cual se almacenan resguardan y procesan los datos de la aplicación:

Los datos de carácter personal se protegen bajo los siguientes mecanismos:

  • Las BDs tienen nombre ofuscado no descriptivo dentro de los servidores que las alojan. (DevOps).

  • Cloud Firewall: Para evitar ataques DoS y DDoS (DevOps).

  • OAuth2: Protocolo de autenticación en cada petición, asegura que el usuario está correctamente identificado.

  • Middleware: Permisos de cada usuario en el API que se expondrá para ser consumida por el App desde diferentes dispositivos.

  • CrossOrigin: Verificamos en cada petición que el origen sea la App móvil para evitar ataques de bots u otros dispositivos que no sean móviles con el App instalada y usuarios correctamente identificados (backend).

  • Encriptación de la base de datos de los usuarios: La base de datos está completamente encriptada en caso de hackeo y robo de estos datos, obtendrán datos encriptados ilegibles. (Backend y devops)

  • Cifrado de todo el tráfico entre la aplicación y el servidor SSL (Backend y devops)

  • Los datos locales que se guardan en el teléfono del cliente también se cifran, haciéndolos ilegibles en caso de descompilación o reversing. (Frontend)

  • Es posible implementar la doble autenticación del usuario al iniciar sesión (Ingresar código enviado por email) (Analisis Producto)

  • Los datos sensibles de carácter personal que hacen referencia a la identidad del usuario se guardan en una entidad separada (Tabla HashBytes) siendo solo posible indexarlos si se calcula el hash del usuario. (Backend)

  • Las bases de datos se guardan en un servidor diferente que en donde se procesan los datos. En caso de ataque tendrían que atacar 2 servidores. (DevOps)

  • Los servidores fueron tratados con un proceso de hardening que hace imposible la ejecución de otros programas o terceros que no hayan sido configurados al inicio además de la configuración de puertos y permisos de cada usuario en el servidor. (DevOps)

  • La lógica de la aplicación corre en contenedores aislados virtuales.

  • Se sugiere realizar pruebas de penetración (Cloud Pentesting) y auditorías de la arquitectura cloud y blockchain (Smart contracts Audits). (Product, TechLeads)

Nuestros compromisos con los usuarios:

  • Actualización: Contamos con un equipo de cumplimiento en apego a las normas y leyes que rigen los países en donde operamos.

  • Responsabilidad: somos responsables de nuestras prácticas relacionadas con la privacidad, nos aseguramos del cumplimiento y documentación adecuada de las normativas de protección de datos. También celebraremos reuniones con expertos, para conocer distintas opiniones y formas de proteger la privacidad de nuestros usuarios.

  • Transparencia: Nuestra Política de datos seguirá siendo el único marco unificado en el que se indicará cómo usamos y procesamos los datos personales.

Política de administración de artefactos a datos:

  • Solo se procesarán los datos por lotes, nunca por usuario.

  • Las tablas donde se guarda la actividad e información de los usuarios no tienen relación con la identidad de la persona real.

  • Los administradores de servidores están identificados y han firmado un acuerdo que confidencialidad y responsabilidad

  • El lugar físico donde se resguarda la información corre a cargo de un servicio de terceros especializado.

  • Todos los accesos de administradores a los servidores son registrados y monitoreados junto con las acciones que realiza, ver, copiar, etc.

Last updated

#173:

Change request updated