Volver

Política de Privacidad de Doria

Vigente desde: 11 de febrero de 2026

En Doria tratamos datos para autenticar usuarios, conectar cuentas Gmail, identificar y procesar documentos DTE, generar paquetes ZIP, almacenar archivos en AWS S3 y mostrar analytics. Esta política explica qué datos usamos, para qué los usamos y qué control tiene el usuario.

1) Quiénes somos

Doria es una plataforma para gestión y análisis de documentos tributarios electrónicos (DTE).

Responsable del tratamiento: Doria.

Contacto de privacidad: marioua289@gmail.com

2) Qué datos recopilamos

Recopilamos y tratamos:

Datos de cuenta

  • Email
  • Nombre
  • DUI
  • Rol, plan y estado del plan

Datos de organización

  • Nombre de organización
  • NIT, NRC
  • Correo y dirección (si se completan)

Datos de autenticación y sesión

  • Contraseña hasheada (no texto plano)
  • deviceId, sessionId, identificadores de refresh token
  • Fecha de última actividad de sesión
  • Cookies técnicas (refreshToken, deviceId, csrfToken)
  • Registros antiabuso de login (combinación email + IP, conteo de fallos y bloqueos temporales)

Datos de conexión Gmail

  • Correo Gmail conectado
  • Refresh Token de Google (almacenado cifrado)
  • Estado de conexión (activa/deshabilitada, primaria, errores de autenticación)

Datos de extracción DTE

  • Correos detectados por filtros técnicos para procesamiento tributario
  • Adjuntos/archivos DTE (PDF, JSON, XML, ZIP)
  • Paquetes ZIP generados y su metadata (tamaño, fechas, conteos)
  • Claves de almacenamiento en S3

Datos analíticos derivados

  • Transacciones, ítems, impuestos, proveedores, categorías, anulaciones
  • Entradas manuales capturadas por usuarios
  • Métricas de uso mensual de DTE por plan

Logs operativos

  • requestId, ruta, método, estado HTTP, duración, userId
  • Eventos de extracción (inicio, fin, errores, deduplicación, límites)

3) Cómo y para qué usamos los datos

Usamos los datos para:

  • Crear y administrar cuentas/sesiones.
  • Proteger accesos (rate limiting, bloqueo progresivo de login, CSRF en refresh).
  • Conectar Gmail por OAuth y leer correos con alcance gmail.readonly.
  • Buscar DTEs por fecha/proveedor, deduplicar y generar paquetes ZIP.
  • Guardar paquetes en S3 y permitir descarga con URL firmada temporal.
  • Construir analytics e insights (productos, impuestos, proveedores, etc.).
  • Aplicar límites de plan y métricas de consumo.
  • Soporte técnico, auditoría y mejora operativa.

Especificación de extracción (alcance): Nuestro sistema utiliza algoritmos de filtrado para identificar exclusivamente correos con archivos adjuntos técnicos (.json, .pdf, .xml) provenientes de emisores tributarios. No leemos, almacenamos ni procesamos correos personales, de marketing o comunicaciones privadas no relacionadas con la gestión de DTEs.

4) Base legal del tratamiento

Tratamos datos sobre estas bases:

  • Ejecución del servicio/contrato (cuenta, extracción, analytics, descargas).
  • Interés legítimo (seguridad, prevención de abuso, estabilidad operativa).
  • Consentimiento para conectar Gmail vía OAuth.
  • Cumplimiento legal cuando aplique.

5) Proveedores y compartición de datos

No vendemos datos personales.

Sí usamos proveedores para operar el servicio:

  • Google (OAuth y Gmail API readonly).
  • AWS S3 (almacenamiento de paquetes ZIP y archivos asociados).
  • Infraestructura de hosting y monitoreo (según despliegue).

Transparencia de almacenamiento: Los datos extraídos de la API de Gmail se almacenan de forma aislada en buckets de AWS S3 con acceso restringido y cifrado en reposo. Doria prohíbe estrictamente el acceso humano a los datos en bruto extraídos de Gmail, salvo en casos excepcionales de soporte técnico solicitados explícitamente por el usuario.

6) Cláusula obligatoria de Google API Services

El uso de la información recibida de las API de Google por parte de Doria se adherirá a la Política de Datos de Usuario de los Servicios de API de Google , incluidos los requisitos de Uso Limitado.

7) Seguridad

Aplicamos medidas técnicas, organizativas y administrativas razonables para proteger la información contra acceso no autorizado, alteración, divulgación o destrucción. Estas medidas incluyen controles de autenticación, gestión de sesiones, cifrado de datos sensibles, controles de acceso por rol, validación de entradas y monitoreo operativo.

Por razones de seguridad, Doria no publica públicamente la configuración técnica detallada de sus controles, y puede actualizar estas medidas de forma continua según evolución de riesgos, estándares y requisitos regulatorios.

Cifrado de tokens: Los tokens de acceso de terceros se almacenan cifrados mediante estándares de grado industrial y controles de gestión segura de secretos.

Transparencia importante: Ningún sistema es 100% invulnerable. Trabajamos para reducir riesgo, no para prometer riesgo cero.

8) Retención de datos

Retenemos datos mientras sean necesarios para operar Doria o hasta que se eliminen por usuario/admin:

  • Sesiones inactivas: expiración automática aprox. 14 días.
  • Tokens de reset de contraseña: expiran aprox. 30 minutos.
  • Bloqueos antiabuso de login: expiran aprox. 2 días.
  • Intentos de reemplazo de Gmail (ReplaceIntent): expiración corta (minutos).
  • Datos de DTE, paquetes, analytics y catálogo: se conservan hasta purga/eliminación.
  • Logs: retención operativa según infraestructura.

9) Derechos y controles del usuario

El usuario puede solicitar:

  • Acceso a sus datos.
  • Rectificación de datos incorrectos.
  • Eliminación de datos/cuenta.
  • Revocación de conexión Gmail.
  • Restricción u oposición al tratamiento cuando sea legalmente aplicable.

Canal de solicitud: marioua289@gmail.com

10) Eliminación de datos

Cuando se ejecuta purga/eliminación:

  • Se eliminan registros de base de datos relacionados al usuario/organización.
  • Se intenta eliminar también objetos en S3 asociados.
  • Puede existir una ventana técnica breve para limpieza operativa (logs, reintentos o backups de infraestructura).

11) Transferencias internacionales

Dependiendo de la infraestructura configurada, los datos pueden procesarse o almacenarse fuera del país del usuario.

12) Menores de edad

Doria no está diseñada para uso por menores sin autorización legal aplicable.

13) Cambios a esta política

Podemos actualizar esta política por cambios técnicos, legales o de producto. Publicaremos la versión vigente con fecha de actualización.

© 2026 Doria