1. Quiénes somos
Kulto es una plataforma de software como servicio (SaaS) que permite a negocios crear y operar programas de
fidelización digital. Los negocios suscritos (que llamamos "tenants") emiten tarjetas digitales
de sellos o puntos a sus propios clientes finales (que llamamos "clientes finales") a través de
Apple Wallet y Google Wallet.
En esta política, las palabras "Kulto", "nosotros" y "nuestro"
se refieren al servicio Kulto, accesible en kultoapp.com.
2. Alcance de esta política
Esta política de privacidad se aplica a:
- El sitio web público kultoapp.com.
- La aplicación web de Kulto utilizada por tenants y su personal autorizado.
- Los pases digitales emitidos a clientes finales en Apple Wallet y Google Wallet.
Roles bajo la legislación de protección de datos: Respecto a los datos de los tenants y su
personal, Kulto actúa como responsable del tratamiento. Respecto a los datos de los clientes
finales que los tenants registran en sus programas, el tenant es el responsable del tratamiento
y Kulto actúa como encargado del tratamiento, procesando dichos datos por cuenta y bajo
instrucciones del tenant.
3. Datos que recolectamos
3.1 Datos de tenants y su personal
- Datos de cuenta: nombre del negocio, nombre del usuario, correo electrónico, contraseña
(almacenada con hash).
- Datos de facturación: plan contratado, comprobantes de pago subidos por el tenant e
historial de transacciones de la suscripción.
- Datos operativos: programas de fidelización creados, configuración, diseño de tarjetas,
actividad dentro del panel.
- Datos técnicos: dirección IP, tipo de navegador, sistema operativo, registros de acceso para
seguridad y auditoría.
3.2 Datos de clientes finales
- Identificadores del pase: identificador único asignado por Kulto, identificador de Apple
Wallet o Google Wallet asociado al pase.
- Datos opcionales: nombre y/o correo electrónico del cliente final, solo si el tenant los
recolecta para su programa. Kulto no exige que el cliente final cree una cuenta.
- Actividad del programa: sellos acumulados, puntos otorgados, recompensas redimidas, fecha y
establecimiento de cada transacción registrada por el tenant.
- Datos técnicos del dispositivo: token de notificación push asociado al pase, necesario para
actualizar la tarjeta cuando cambian los sellos o puntos.
4. Cómo usamos los datos
Usamos los datos recolectados para los siguientes fines:
- Operar la plataforma y prestar el servicio contratado por el tenant.
- Emitir, actualizar y, cuando corresponda, revocar pases digitales en Apple Wallet y Google Wallet.
- Enviar notificaciones push asociadas al pase (por ejemplo, "ganaste un sello").
- Enviar correos electrónicos transaccionales (verificación de cuenta, recuperación de contraseña, recibos).
- Procesar pagos de la suscripción del tenant.
- Prevenir fraude, abuso y proteger la seguridad de la plataforma.
- Cumplir con obligaciones legales y contables.
- Generar estadísticas agregadas y anónimas sobre el uso del servicio.
5. Integración con Apple Wallet y Google Wallet
Kulto utiliza las APIs oficiales de Apple PassKit y Google Wallet API para
emitir loyalty cards (tarjetas de fidelización) en los dispositivos de los clientes finales. Para este propósito:
- Enviamos a Apple y Google únicamente los datos necesarios para mostrar el pase: nombre del negocio, nombre
del programa, sellos o puntos acumulados, identificador del pase, colores y logo configurados por el tenant.
- No transmitimos contraseñas, datos de pago ni información financiera a estos proveedores.
- Cuando el cliente final agrega el pase a su billetera, Apple o Google nos devuelven un identificador y un
token de notificación que usamos exclusivamente para actualizar el pase.
- El uso de los pases dentro de Apple Wallet y Google Wallet está adicionalmente sujeto a las políticas de
privacidad de Apple y Google.
6. Proveedores de servicios
Para operar el servicio compartimos datos estrictamente necesarios con proveedores de confianza, que actúan como
encargados del tratamiento por cuenta de Kulto:
- Apple Inc. — emisión de pases en Apple Wallet.
- Google LLC — emisión de pases en Google Wallet, envío de notificaciones push asociadas.
- Amazon Web Services (incluido Amazon SES) — alojamiento de la infraestructura y envío de
correos transaccionales.
No vendemos datos personales a terceros y no los usamos para publicidad cruzada.
7. Retención de datos
- Los datos de la cuenta del tenant se conservan mientras la cuenta esté activa y por un período razonable
posterior para fines legales y contables.
- Los datos de los clientes finales se conservan mientras el programa de fidelización del tenant esté activo, o
hasta que el tenant o el cliente final solicite su eliminación.
- Los registros técnicos y de auditoría se conservan por un período limitado, suficiente para detectar y
responder a incidentes de seguridad.
8. Tus derechos
Sin importar tu ubicación, te ofrecemos los siguientes derechos sobre tus datos personales:
- Acceso: solicitar una copia de los datos que tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Eliminación: solicitar el borrado de tus datos.
- Oposición y limitación: oponerte a ciertos tratamientos o solicitar que se limiten.
- Portabilidad: recibir tus datos en un formato estructurado y legible.
- Retiro de consentimiento: cuando el tratamiento se base en tu consentimiento.
Para ejercer cualquiera de estos derechos escríbenos a [email protected].
Si eres un cliente final cuyos datos fueron recolectados por un tenant, te recomendamos contactar primero al
negocio que emitió tu tarjeta. Si no obtienes respuesta, podemos atender tu solicitud directamente.
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger los datos, entre ellas:
- Cifrado en tránsito mediante HTTPS/TLS.
- Contraseñas almacenadas con funciones de hash robustas.
- Autenticación basada en tokens JWT con tiempos de expiración.
- Aislamiento por tenant: cada tenant accede únicamente a sus propios datos.
- Registros de auditoría sobre acciones críticas (acreditación de sellos y puntos, cambios de plan, accesos).
- Rotación dinámica de los códigos QR para prevenir fraude.
Ningún sistema es 100% inviolable, pero trabajamos continuamente para mejorar nuestras defensas.
10. Cookies y tecnologías similares
Kulto usa cookies y tecnologías equivalentes únicamente para los siguientes fines:
- Cookies estrictamente necesarias: mantener la sesión iniciada del usuario, recordar el
tenant activo y proteger contra ataques CSRF.
- Cookies funcionales: recordar preferencias como el idioma de la interfaz.
No utilizamos cookies de publicidad ni rastreadores de terceros con fines de marketing comportamental.
11. Menores de edad
Kulto no está dirigido a menores de 13 años. No recolectamos conscientemente datos de menores de esta edad. Si
consideras que un menor nos ha proporcionado datos personales, escríbenos a [email protected] y los eliminaremos.
12. Cambios a esta política
Podemos actualizar esta política de privacidad de tiempo en tiempo para reflejar cambios en el servicio o en la
normativa aplicable. Cuando los cambios sean significativos, notificaremos al tenant por correo electrónico o
mediante un aviso en la plataforma. La fecha de última actualización aparece al inicio del documento.
Si tienes preguntas, comentarios o quieres ejercer alguno de tus derechos, escríbenos a:
Correo: [email protected]