Seguridad

Póliticas de privacidad de Khipu

Seguridad para
el pagador

Cuidar los datos de los usuarios es lo más importante.

Khipu es una plataforma de pagos electrónicos que requiere utilizar datos personales para funcionar. En Khipu nos preocupamos de cuidar los datos de nuestros usuarios, evitando que terceros los puedan usar para un fin distinto de aquel para el cual fueron entregados.

Lo más importante que debes saber sobre la políticas de privacidad de Khipu, es que consideramos que las contraseñas de los bancos de nuestros usuarios son el dato más sensible con el que nuestra plataforma interactúa.

Por esta razón, nos hemos preocupado de diseñar el sistema de modo de que los usuarios puedan ingresar sus contraseñas del banco exclusivamente en aplicaciones de Khipu, y que estas viajen por canales que igualan o superan los estándares de seguridad de la industria bancaria. Esto gracias al uso del doble cifrado, HSTS y las mejores prácticas recomendadas por el estándar PCI.

Khipu no almacena en sus servidores las contraseñas de acceso al banco de sus clientes.

En estas políticas de privacidad te contamos qué datos personales utiliza nuestro servicio, para qué son usados dichos datos y los criterios seguidos para compartir información con terceros.

Nuestras políticas

Alcance de la plataforma Khipu

La plataforma Khipu incluye páginas web, bases de datos en servidores, aplicaciones que se ejecutan en servidores administrados por Khipu o en los dispositivos móviles de los usuarios.

Esta política de privacidad norma el comportamiento del personal humano y las aplicaciones de Khipu en todos los contextos controlados por la empresa.

Usuarios de Khipu

Son usuarios de Khipu las personas o sistemas que utilizan la plataforma para pagar, cobrar y gestionar su información en Khipu.

Esta política de privacidad es válida para todos los tipos de usuarios de Khipu.

Servidores de Khipu

Para brindar el servicio de Khipu se utilizan componentes de hardware arrendadas a IBM Cloud, empresa de clase mundial que provee el datacenter, servidores, firewall y otras componentes de hardware. Estos servidores son administrados por personal de khipu y el personal de IBM Cloud no cuenta con las claves de acceso.

Adicionalmente, algunos subsistemas son arrendados en modalidad de servicio a otras compañías, entre ellos SMTP a Amazon, almacenamiento de archivos a Amazon, sistema de tickets a Zendesk y Google Analytics.

Por otro lado, Khipu utiliza servicios de otros proveedores para la gestión de código fuente y código compilado, los que no son detallados en este documento por no recibir datos de los usuarios de Khipu.

Cuando este menciona “los servidores de Khipu”, se refiere a todos los servidores y servicios indicados en esta sección.

Datos recopilados

Khipu recopila datos de sus usuarios de las siguientes formas:

  • Al pagar: Para pagar, los usuarios utilizan un terminal de pagos de Khipu, el cual es un navegador web al cual se accede a través de una aplicación móvil o a través de la página web del comercio. Al pagar, el usuario debe ingresar sus credenciales de autenticación en el banco y frecuentemente datos de validación adicional, como claves dinámicas impresas en tarjetas, claves dinámicas mostradas por dispositivos entregados por el banco, aplicaciones móviles llamadas “Soft token” o mensajes enviados por el banco por e-mail o sms, entre otros. Si la terminal de pago se encuentra instalada en la aplicación móvil del usuario, las claves de los usuarios son enviadas directamente al servidor del banco, sin pasar por servidores de Khipu. Si el terminal se encuentra en la página web del comercio, las claves se transmiten al microservicio de Khipu con doble cifrado, por canales de comunicación seguras TLS 1.3, y éstos no son guardados en medios persistentes. En ninguno de los casos, Khipu almacena en sus servidores las claves de los usuarios. Al pagar, el terminal de pagos de Khipu envía a los servidores del Khipu los datos necesarios para identificar el pago al que corresponde la transferencia que se generó, incluyendo la cuenta corriente utilizada para realizar la transferencia. También se envían datos de navegación en el portal del banco, para permitir un análisis orientado a mejorar la experiencia de usuario en el pago, como nombre de la página o tiempo utilizado. Un subconjunto de esta información es enviado a servicios de Google Analytics, el que facilita un análisis por parte del equipo de Khipu sobre lo que está ocurriendo con el uso del sistema. Excepcionalmente, el terminal de pagos de Khipu puede encontrar una página del banco ante la cual no es capaz de tomar una decisión de acción para automatizar la transferencia. En este caso, la página encontrada es enviada a los servidores de Khipu para que sea analizada de modo que el sistema pueda ser reconfigurado para que se comporte adecuadamente en dicha página. Una vez que la página ha sido usada para reconfigurar el sistema, esta es guardada en los servidores de Khipu, sin identificar al titular de la cuenta o datos del pago que generaron su envío a los servidores. Las páginas guardadas en estas condiciones se usan para realizar un control de calidad automático de todas las nuevas versiones de Khipu y no son compartidas con terceros. Los datos del pago se utilizan para verificar la recepción en Khipu de los fondos correspondientes y para presentar reportes a los mismos usuarios que pagan o cobran utilizando Khipu.

  • Al cobrar: Antes de poder cobrar con Khipu, las personas o empresas deben crear un registro que los identifica y realizar un pago para verificar los datos de la cuenta de recaudación. Parte de los datos ingresados al registrarse en el sistema y el nombre registrado por el banco para la persona o empresa que hizo el pago de verificación, son usados por Khipu para mostrarle a los pagadores los datos de la persona o empresa a la que se le entregarán los fondos recaudados. Los datos ingresados al registrarse en Khipu, incluyendo una foto opcional y el contrato del cobrador, son guardados por Khipu en sus servidores. En el caso de que el terminal de pagos de Khipu se encuentre en la aplicación móvil de comercio, el sistema permite que el usuario solicite guardar algunas de las credenciales de autenticación con su banco. Esta opción produce el almacenamiento cifrado de dichas contraseñas en el dispositivo del mismo usuario, no en servidores de Khipu.

  • Navegación sin conectarse en el portal de Khipu ni aplicaciones móviles: Tanto el portal de Khipu, como sus aplicaciones móviles ofrecen información y algunas funcionalidades básicas que están disponibles para usuarios que no se han conectado y por lo tanto, no se han identificado en el sistema. En este caso, el sistema utiliza cookies para mejorar la experiencia de usuario y para actualizar estadísticas de navegación. Por ejemplo, el sistema recuerda el banco de pago y correo electrónico para los comprobantes de pago, de modo que el usuario no tenga que volver a ingresarlos al pagar en el mismo dispositivo. 

  • Navegación con conexión: En el caso de usuarios conectados al portal web o aplicaciones móviles de khipu además de las cookies utilizadas, se guardan los datos ingresados por los usuarios en formularios.

  • Conexión utilizando Google o Facebook: Para conectarse al portal web y las aplicaciones móviles de Khipu, los usuarios pueden crear credenciales de autenticación en Khipu, o utilizar sus credenciales de Facebook o Google en modalidad de conexión con una contraseña única, sistema conocido como SSO por las siglas de Single Sign On en inglés. En este caso, es usuario deberá permitir que Khipu tenga acceso a algunos de sus datos en Google o Facebook. Khipu obtendrá de estos sistemas el correo, nombre y foto de perfil y almacenará estos datos en los servidores de Khipu. Khipu no realizará publicaciones en Facebook a nombre del usuario. El usuario puede pedir en cualquier momento la deshabilitación de estos datos ingresando a la sección Soporte y Sugerencias disponible al pie de todas las páginas del portal web de Khipu, llenando el formulario disponible en la opción “Enviar una solicitud”.

Uso de la información

Khipu utilizará la información recopilada para cumplir con la acción directamente ejecutada por el usuario, como pagar o solicitar un pago. 

En el caso de los pagos, estos datos serán enviados por correo electrónico al pagador y opcionalmente a las cuentas que el cobrador haya configurado en Khipu.  

Los datos recopilados quedarán resguardados por Khipu para que pagador y cobrador puedan consultar en forma posterior reportes de su propia actividad en el sistema. 

Estos datos también serán usados por personal de Khipu para poder brindar soporte.  

Adicionalmente, el sistema genera indicadores y otras estadísticas.

Divulgación de datos personales

Khipu no divulga los datos personales de sus usuarios. No los entrega a terceros, excepto por aquellos que sean estrictamente necesarios para cumplir con el servicio comprometido, como ocurre con las credenciales del banco, que son entregadas al banco y los datos de los comprobantes de pago, que pasan por el servidor de correo electrónico cuyos servicios son administrados por Amazon.

Khipu podrá divulgar estadísticas de uso del sistema sin comprometer la confidencialidad de los datos de sus usuarios.

Ante una orden de un tribunal competente, Khipu entregará los datos solicitados a dicho tribunal y comunicará por correo electrónico a las casillas de los usuarios afectados sobre tal hecho.