Política de Privacidad

Versión 1.0 · Vigente desde 20 de mayo de 2026

Resumen ejecutivo: NORA es un software de gestión gastronómica operado por SUMYTECH (RUC 0923260772001). Cumplimos la Ley Orgánica de Protección de Datos Personales de Ecuador (LOPDP). Solo recolectamos datos necesarios para prestar el servicio; nunca vendemos información. Como cliente, conservas todos los derechos ARCO sobre tus datos.

Contenido

Responsable del tratamiento
Datos que recolectamos
Finalidades del tratamiento
Base legal
Destinatarios y sub-encargados
Plazo de conservación
Derechos ARCO y portabilidad
Medidas de seguridad
Menores de edad
Cambios a esta política
Contacto y delegado de protección de datos

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recolectados a través del sitio web norasistema.com, el panel de administración hub.norasistema.com y las instancias del sistema POS provistas a clientes es:

Razón social: SUMYTECH
RUC: 0923260772001
Domicilio fiscal: Guayaquil, Ecuador [completar dirección exacta]
Email de contacto: soporte@norasistema.com
Email del Delegado de Protección de Datos: privacidad@norasistema.com

2. Datos que recolectamos

2.1 Datos de identificación del cliente

Nombre y apellido del contacto.
Razón social del negocio y nombre comercial del restaurante.
RUC, cédula o pasaporte.
Email y teléfono.
Dirección del establecimiento.

2.2 Datos operativos del servicio

Subdominio asignado, plan contratado, fecha de signup y vencimiento.
Configuraciones del sistema (puntos de emisión SRI, usuarios autorizados, productos, recetas, mesas, etc.).
Historial de transacciones que tú realices en el sistema (ventas, compras, inventarios).
Logs de actividad de los usuarios que tú autorices (auditoría).

2.3 Datos de pago

Los datos de tarjeta de crédito/débito son procesados directamente por PagoPlux S.A., pasarela autorizada por la Superintendencia de Bancos del Ecuador y certificada PCI DSS Nivel 1. NORA no almacena ni accede a números completos de tarjeta, CVV ni datos sensibles de la tarjeta. Solo recibimos un identificador tokenizado emitido por PagoPlux y datos no sensibles del comprobante: monto, fecha, últimos 4 dígitos, marca de la tarjeta, código de autorización.

2.4 Datos técnicos automáticos

Dirección IP del navegador, agente de usuario y resolución de pantalla.
Páginas visitadas dentro del sitio y duración de la sesión.
Cookies esenciales de sesión (ver Política de Cookies).

2.5 Datos de clientes finales del restaurante (datos de terceros)

Cuando tú, como cliente de NORA, cargas datos de tus propios clientes finales (consumidores que comen en tu restaurante) — por ejemplo nombre, teléfono, email para fidelización o RUC para facturación electrónica — actúas como responsable del tratamiento de esos datos y NORA actúa como encargado. Las condiciones de ese tratamiento se regulan en el Acuerdo de Tratamiento de Datos (DPA) que forma parte integrante de los Términos y Condiciones.

3. Finalidades del tratamiento

Tratamos tus datos personales para:

Ejecutar el contrato de servicio: provisión, soporte, facturación, comunicaciones operativas.
Cumplir obligaciones legales: emisión de comprobantes electrónicos SRI, retención fiscal, registros contables.
Procesar pagos a través de PagoPlux.
Mejorar y monitorear el servicio: métricas de uso agregadas, detección de incidentes, alertas operativas.
Comunicaciones comerciales únicamente con tu consentimiento previo y revocable.

4. Base legal del tratamiento

Conforme al artículo 7 de la LOPDP, las bases legales aplicables son:

Ejecución contractual para los datos necesarios para prestar el servicio.
Obligación legal para la emisión de comprobantes electrónicos y registros fiscales (Reglamento de Comprobantes de Venta del SRI).
Interés legítimo para detección de fraude, prevención de abuso del servicio y métricas operativas agregadas.
Consentimiento previo, expreso y revocable para comunicaciones comerciales y cookies no esenciales.

5. Destinatarios y sub-encargados

Compartimos datos estrictamente necesarios con los siguientes terceros, todos contractualmente obligados a confidencialidad y seguridad:

Sub-encargado	Servicio	Datos compartidos
PagoPlux S.A.	Procesamiento de pagos	Monto, email, identificación, token de tarjeta
Google Cloud Platform / proveedor de hosting	Hosting de servidores	Toda la base de datos en infraestructura encriptada
SRI Ecuador	Autoridad fiscal — emisor de comprobantes	Datos requeridos por norma SRI

No vendemos ni cedemos datos personales a terceros con fines comerciales.

6. Plazo de conservación

Datos del cliente activo: mientras dure la relación contractual.
Datos fiscales / facturación: 7 años después de la última transacción (Código Tributario art. 55).
Logs de actividad / auditoría: 12 meses, salvo investigación de incidente.
Backups encriptados: hasta 90 días después de la baja del cliente, luego eliminación segura.
Comunicaciones de soporte: 24 meses para mejora del servicio.

7. Derechos del titular (LOPDP arts. 12–22)

Como titular de tus datos personales, en cualquier momento puedes ejercer los siguientes derechos sin costo:

Acceso: solicitar información sobre qué datos tuyos tratamos.
Rectificación: corregir datos inexactos o desactualizados.
Eliminación / "derecho al olvido": solicitar la supresión de tus datos cuando ya no sean necesarios, sujeto a obligaciones legales de conservación (ej. SRI).
Oposición: oponerte al tratamiento por motivos relacionados con tu situación particular.
Portabilidad: recibir tus datos en formato estructurado y de uso común para transferirlos a otro proveedor.
Limitación del tratamiento en ciertos casos.
No ser objeto de decisiones automatizadas que produzcan efectos jurídicos.
Revocar el consentimiento otorgado, sin que afecte la licitud del tratamiento previo.

Para ejercer estos derechos, envía un correo a privacidad@norasistema.com identificándote y especificando el derecho que invocas. Responderemos en un plazo máximo de 15 días hábiles (LOPDP art. 23). En caso de inconformidad, puedes presentar denuncia ante la Superintendencia de Protección de Datos Personales del Ecuador.

8. Medidas de seguridad

Encriptación TLS 1.2+ en todas las comunicaciones.
Encriptación en reposo de credenciales y datos sensibles con AES-256.
Aislamiento por instancia: cada cliente opera en una base de datos independiente.
Autenticación de dos factores opcional para administradores.
Backups encriptados con retención configurable.
Logs de auditoría inmutables de acciones críticas.
Revisión periódica de accesos y revocación inmediata de credenciales en caso de baja.

En caso de brecha de seguridad que pueda afectar tus datos, notificaremos a los titulares afectados y a la autoridad competente dentro de las 72 horas de haberla detectado, conforme al artículo 45 de la LOPDP.

9. Menores de edad

NORA es un servicio B2B destinado exclusivamente a empresas registradas. No recolectamos intencionalmente datos personales de menores de 18 años. Si detectamos que se han registrado datos de menores sin consentimiento parental, procederemos a su eliminación inmediata.

10. Cambios a esta política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas, requerimientos legales o el servicio. Notificaremos los cambios sustanciales con al menos 30 días de antelación por correo electrónico al contacto registrado y publicaremos la nueva versión en esta página. El número de versión y la fecha de vigencia aparecen al inicio del documento.

11. Contacto

Cualquier consulta sobre esta política o sobre el tratamiento de tus datos personales puedes dirigirla a:

Email general: soporte@norasistema.com
Delegado de Protección de Datos: privacidad@norasistema.com
WhatsApp: +593 99 560 7147