Política de Privacidad y Tratamiento de Datos Personales

GESTIÓN Y SERVICIOS TÉCNICOS S.A.S, identificada con NIT 900.339.597-6, con domicilio en Bogotá D.C., Colombia, en adelante “GST”, es el responsable del tratamiento de los datos personales que recolecta a través de su plataforma SaaS accesible en gst-sas.co y subdominios asociados.

• Correo de contacto: soporte@gst-sas.co
• Domicilio: Bogotá D.C., Colombia

GST recolecta y trata las siguientes categorías de datos:

2.1 Datos del usuario administrador (Cliente)

• Nombre completo, correo electrónico y contraseña (almacenada en formato hash con algoritmo bcrypt — nunca en texto plano).
• Rol asignado dentro de la plataforma, registro de sesiones y auditoría de acciones.

2.2 Datos de la empresa Cliente

• Razón social, NIT, dirección, teléfono, correo corporativo, ciudad.
• Configuración DIAN: prefijo, clave técnica, software ID, PIN del software (cifrado con AES-GCM 256-bit antes de persistir).
• Certificado digital DIAN (.p12) — almacenado de forma cifrada en Vercel Blob; su contraseña se cifra con AES-GCM 256-bit.

2.3 Datos operacionales cargados por el Cliente

Estos datos son propiedad del Cliente y GST actúa únicamente comoencargado del tratamiento bajo la dirección del Cliente:

• Edificios / unidades / clientes finales del Cliente (nombre, NIT, dirección, contacto, correo).
• Facturas, pagos, registros contables y documentos electrónicos DIAN.
• Comprobantes y archivos adjuntos cargados por el Cliente.

2.4 Datos técnicos y de uso

• Dirección IP, agente de usuario, fecha y hora de acceso.
• Eventos de error capturados por nuestro sistema de monitoreo (Sentry) — los datos personales presentes en los stack traces son enmascarados (“PII scrubbing”).
• Cookies de sesión estrictamente necesarias para mantener la autenticación. No utilizamos cookies de tracking publicitario.

Los datos se utilizan exclusivamente para:

• Prestar el servicio de la plataforma según el plan contratado.
• Autenticar usuarios y prevenir accesos no autorizados.
• Emitir facturas electrónicas DIAN en nombre del Cliente.
• Enviar notificaciones transaccionales (recordatorios de pago, expiración de certificado, recibos).
• Generar estadísticas anonimizadas para mejorar el producto.
• Cumplir con obligaciones legales (DIAN, UGPP, requerimientos de autoridades).

GST no vende, alquila ni comparte los datos con terceros con fines comerciales o publicitarios.

Para operar la plataforma GST utiliza los siguientes proveedores de infraestructura y servicios, todos sometidos a estándares de seguridad y confidencialidad equivalentes:

La transferencia internacional de datos a Estados Unidos se realiza con base en cláusulas contractuales tipo y los compromisos de seguridad de cada proveedor, conforme al Decreto 1377 de 2013.

GST aplica medidas técnicas y organizativas razonables para proteger los datos:

• Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones.
• Cifrado en reposo (AES-256-GCM) para credenciales sensibles, contraseñas de certificados DIAN y URLs de bases de datos.
• Aislamiento de bases de datos por Cliente (cada tenant en su propio proyecto Neon).
• Auditoría de acciones críticas con registro de usuario, fecha y detalle.
• Rate limiting en endpoints sensibles para mitigar abuso.
• Monitoreo continuo de errores con enmascaramiento de PII en logs.

De acuerdo con la Ley 1581 de 2012, el titular de los datos tiene derecho a:

• Conocer qué datos suyos tratamos y con qué finalidad.
• Actualizar y rectificar los datos cuando estén incompletos o inexactos.
• Suprimir los datos cuando ya no sean necesarios o cuando se haya revocado la autorización.
• Revocar la autorización en cualquier momento (puede implicar la cancelación del servicio si los datos son indispensables para su prestación).
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) si considera que sus derechos no han sido atendidos.

El titular puede ejercer sus derechos enviando una solicitud a:

Correo: soporte@gst-sas.co
Asunto: Habeas Data — [Conocer / Rectificar / Suprimir / Revocar]

La solicitud debe incluir nombre completo, número de identificación, descripción del derecho que ejerce y datos de contacto. GST responderá en un plazo máximo de quince (15) días hábiles, prorrogable por ocho (8) días hábiles adicionales en casos que requieran consulta técnica.

Los datos se conservan mientras dure la relación contractual con el Cliente. Tras la terminación, los datos se eliminan dentro de los noventa (90) días siguientes, salvo aquellos que la legislación obligue a conservar:

• Documentos soporte de facturación electrónica DIAN: cinco (5) años (Estatuto Tributario, art. 631).
• Registros contables relacionados: diez (10) años (Código de Comercio, art. 60).
• Logs de auditoría de seguridad: seis (6) meses.

GST utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio: cookie de sesión de NextAuth (autenticación) y cookies CSRF para protección contra ataques de falsificación de petición. No usamos cookies de seguimiento publicitario, analíticas de terceros, ni cookies de redes sociales.

La plataforma está dirigida a empresas y profesionales. No solicitamos ni recolectamos conscientemente datos de menores de edad. Si detectamos información de un menor, será eliminada al ser informados.

GST podrá actualizar esta política para reflejar cambios legales o de prácticas. Las modificaciones se publicarán en esta misma URL con fecha de actualización visible. Cambios materiales se notificarán al correo registrado del Cliente con quince (15) días de anticipación.