Ameleva está operada por 1001511837 ONTARIO INC. (Cambridge, Ontario, Canadá). Los datos personales se alojan en Supabase, en Estados Unidos, cifrados en reposo con AES-256 y en tránsito con TLS 1.2+. Si el usuario lo activa, las entradas de diario, los valores y notas de los registros de hábitos y las respuestas de feedback se cifran además en el dispositivo con AES-256-GCM y una clave derivada localmente: el servidor solo guarda texto cifrado de esos campos y el equipo de Ameleva no puede leerlos. Contacto: contact@ameleva.com.

  • Cifrado en el dispositivo

    Cifrado opcional en el cliente con AES-256-GCM. La clave de 256 bits se deriva localmente a partir de tu contraseña de cifrado con PBKDF2 (100 000 iteraciones) y se guarda únicamente en el Llavero de iOS o en el Keystore de Android. Nunca sale de tu dispositivo.

  • En tránsito

    Todo el tráfico entre tu dispositivo y nuestro backend se cifra con TLS 1.2 o superior.

  • En reposo

    Los datos personales se alojan en Supabase, en Estados Unidos, cifrados en reposo con AES-256. Hay regiones UE disponibles a través de Supabase y trasladaremos los datos del EEE cuando el tráfico lo justifique.

  • Control de accesos

    Principio de mínimo privilegio para nuestro equipo. Row-level security en la base de datos. Supabase guarda los registros de autenticación durante 90 días.

  • Auditorías

    Tenemos una revisión externa de seguridad en la hoja de ruta. Publicaremos el informe completo cuando esté lista.

  • Divulgación

    Vulnerabilidades sospechadas o brechas: contact@ameleva.com. Según los artículos 33 y 34 del RGPD, nos comprometemos a notificar a los usuarios y a la autoridad supervisora correspondiente en un plazo de 72 horas tras detectar una brecha de datos personales con riesgo material.

Seguridad

Cómo protegemos tus datos.

Ameleva está construida con la privacidad primero. Cifrado opcional en el dispositivo, infraestructura cifrada en reposo y un proceso de divulgación transparente. Operada por 1001511837 ONTARIO INC. en Cambridge, Ontario.

Qué guardamos

Guardado en reposo, no cifrado de extremo a extremo

  • · Dirección de correo electrónico (cuenta, inicio de sesión, restablecimiento de contraseña)
  • · Nombre completo (nombre y apellido)
  • · URL del avatar (opcional)
  • · Contraseña de la cuenta (hasheada por Supabase Auth)
  • · Preferencia de idioma y zona horaria del dispositivo
  • · Nivel de suscripción (asociado a tu cuenta a través de RevenueCat)
  • · Títulos de hábitos y plantillas, metadatos de acciones y retos
  • · Contadores de racha y marcas de tiempo de finalización
  • · Notas de acciones y reflexiones (el cuerpo de tus notas no está cifrado por defecto)
  • · Analítica de producto agregada y no identificativa

Cifrado de extremo a extremo opcional (cuando lo activas)

  • · Entradas de diario
  • · Valores y notas de los registros de hábitos personalizados
  • · Respuestas de feedback

Infraestructura

Los datos personales se alojan en Supabase, en Estados Unidos. Hay regiones UE disponibles a través de Supabase pero ahora mismo no están en uso activo; trasladaremos los datos del EEE cuando el tráfico lo justifique y actualizaremos esta página. El estado de la suscripción lo procesa RevenueCat (Estados Unidos) sobre Apple In-App Purchase y Google Play Billing. La capa web se ejecuta en Cloudflare Pages con el runtime de Workers; los recursos estáticos se cachean en el edge.

Control de accesos

Nuestro equipo opera con el principio de mínimo privilegio sobre los datos de producción. La base de datos aplica row-level security para que cada usuario solo vea sus propias filas. Supabase guarda los registros de autenticación durante 90 días. Las copias de seguridad se toman a diario y se purgan en un plazo de 30 días.

Notificaciones

Ameleva usa notificaciones locales programadas por el sistema operativo de tu dispositivo. No guardamos tokens push remotos en nuestros servidores y no enviamos notificaciones push remotas.

Qué no recopilamos

  • Número de teléfono
  • Fecha de nacimiento
  • Dirección postal (más allá de la región opcional que puedas escribir en una entrada de diario)
  • GPS ni ubicación precisa
  • SDK de analítica de terceros, SDK publicitarios ni SDK de monitorización de errores en producción
  • Entrenamiento de modelos de IA o ML con tu contenido personal
  • Tus contactos, calendario, micrófono o cámara (salvo las fotos que adjuntes a una tarjeta de momento)

Divulgación

Vulnerabilidades sospechadas: contact@ameleva.com. En la página de divulgación tienes la infraestructura PGP. Acusamos recibo de los reportes dentro del alcance, publicamos una decisión de triaje y reconocemos al autor cuando se confirma y se corrige un problema. Para brechas con riesgo material para los usuarios seguimos los artículos 33 y 34 del RGPD (notificación en 72 horas).

Lee la guía del cifrado.

PBKDF2 (100 000 iteraciones) + AES-256-GCM, el modelo de amenaza y qué pasa si olvidas tu contraseña de cifrado.

Detalles del cifradoDivulgación