Este Aviso de Privacidad se aplica al tratamiento de información personal por parte de Gnomi App Corp (GNOMI), incluyendo nuestra aplicación móvil, nuestro sitio web en gnomi.com y nuestras demás ofertas en línea o fuera de línea (colectivamente, los Servicios).

1. Actualizaciones a Este Aviso de Privacidad

Podemos actualizar este Aviso de Privacidad de vez en cuando. Si lo hacemos, se lo haremos saber publicando el Aviso de Privacidad actualizado en nuestro sitio web, y/o también podemos enviar otras comunicaciones.

2. Información Personal Que Recopilamos

Recopilamos información personal que usted nos proporciona, información personal que recopilamos automáticamente cuando utiliza los Servicios, e información personal de fuentes de terceros.

A. Información Personal Que Usted Nos Proporciona Directamente

• Información de la Cuenta: Nombre de usuario, dirección de correo electrónico, contraseña, país de ubicación y otra información que almacena con su cuenta
• Información del Perfil: Nombre, cargo, biografía, cuentas de redes sociales vinculadas, género y fecha de nacimiento (privado)
• Funciones Interactivas: Contenido que envía a través de mensajes, comentarios y funciones de redes sociales
• Compras: Información de pago para suscripciones a GNOMI Premium
• Comunicaciones: Información que nos envía por correo electrónico o herramienta de chat
• Encuestas: Información de encuestas en las que participa
• Concursos: Información de sorteos o concursos
• Eventos: Información de conferencias y ferias comerciales
• Solicitudes de empleo: Información de contacto y CV si solicita empleo

B. Información personal recopilada automáticamente

• Información del dispositivo: Dirección IP, configuración de usuario, identificadores de cookies, información del navegador, información de ubicación
• Información de uso: Páginas visitadas, términos de búsqueda, interacciones con contenido, frecuencia y duración de actividad
• Cookies y tecnologías: Cookies, etiquetas de píxeles y balizas web para recopilar información sobre su uso de los Servicios

C. Información personal recopilada de terceros

Podemos recopilar información personal de servicios de terceros cuando conecta GNOMI con cuentas de redes sociales (Reddit, LinkedIn, Meta, X) o utiliza servicios de inicio de sesión de terceros.

3. Cómo utilizamos la información personal

A. Proporcionar los Servicios

• Gestionar su información y proporcionar acceso a funciones
• Atención al cliente y comunicaciones
• Procesamiento de pagos
• Procesamiento de solicitudes de empleo

B. Mejorar los Servicios y Desarrollar Nuevos Productos

• Entrenamiento de tecnologías de IA y aprendizaje automático
• Mejora y perfeccionamiento de los Servicios

C. Fines Administrativos

• Seguridad y prevención de fraudes
• Análisis y medición de participación
• Control de calidad y seguridad
• Cumplimiento legal

D. Marketing

Podemos utilizar su información personal para proporcionarle mensajes de marketing y ofertas a través de campañas de correo electrónico, según lo permitido por la ley aplicable.

F. Toma de Decisiones Automatizada

Podemos participar en la toma de decisiones automatizada, incluida la elaboración de perfiles, para entregar contenido personalizado basado en sus interacciones con los Servicios.

4. Cómo Divulgamos la Información Personal

A. Divulgaciones para Proporcionar los Servicios

• Proveedores de Servicios: Servicios de IA/ML, alojamiento, servicio al cliente, análisis, marketing, soporte de TI
• Otros Usuarios: Información que eliges compartir con otros usuarios de GNOMI
• Servicios de Terceros: Servicios con los que te conectas o interactúas
• Socios Comerciales: Socios con los que trabajamos para proporcionar servicios
• Afiliados: Nuestros afiliados corporativos
• Socios Publicitarios: Para usuarios gratuitos, podemos compartir información con socios publicitarios para publicidad dirigida

B. Divulgaciones para Protegernos a Nosotros o a Otros

Podemos divulgar información para cumplir con solicitudes legales, proteger derechos y seguridad, hacer cumplir políticas o ayudar con investigaciones.

C. Transacciones Comerciales

Tu información puede ser divulgada en relación con fusiones, adquisiciones u otras transacciones corporativas.

5. Tus Opciones y Derechos de Privacidad

Tus Opciones de Privacidad

• Comunicaciones por Correo Electrónico: Cancelar suscripción utilizando enlaces en los correos electrónicos
• Mensajes de Texto: Responde "STOP" para optar por no recibir
• Dispositivos móviles: Ajustar configuración de notificaciones push y ubicación
• Cookies: Ajustar preferencias del navegador (nota: puede afectar la funcionalidad)
• No Rastrear: No respondemos a señales DNT

Sus Derechos de Privacidad

Usted puede tener derecho a:

• Confirmar si estamos procesando su información personal
• Solicitar acceso a o portabilidad de su información personal
• Solicitar corrección de su información personal
• Solicitar eliminación de su información personal
• Solicitar restricción de o objetar al procesamiento
• Excluirse de publicidad dirigida, ventas o perfilado
• Retirar consentimiento

6. Transferencias Internacionales de Información Personal

La información personal puede ser transferida, procesada y almacenada en cualquier parte del mundo, incluidos países con diferentes leyes de protección de datos. Para transferencias desde la UE/Reino Unido, podemos utilizar las Cláusulas Contractuales Estándar de la UE como salvaguardas.

7. Retención de Información Personal

Almacenamos información personal mientras utilice los Servicios, o según sea necesario para cumplir propósitos, proporcionar Servicios, resolver disputas y cumplir con obligaciones legales.

8. Aviso Complementario para RGPD de la UE/Reino Unido

Esta sección se aplica a la información personal sujeta al RGPD de la UE o del Reino Unido. En algunos casos, proporcionar información personal puede ser requerido por ley o contrato. Le informaremos de las consecuencias si decide no proporcionar la información requerida.

9. Información Personal de Niños

Los Servicios no están dirigidos a niños menores de 16 años, y no recopilamos conscientemente información personal de niños. Si cree que su hijo ha subido información en violación de la ley aplicable, contáctenos.

10. Aviso de Privacidad de Promociones

GNOMI App Corp. ("Patrocinador") recopila y procesa información personal enviada por los participantes, incluyendo nombre, dirección de correo electrónico, país o estado de residencia, e información requerida para verificar la elegibilidad y entregar premios. Esta información se utiliza únicamente para administrar la promoción, prevenir fraudes, verificar la elegibilidad y entregar premios.

Para los participantes ubicados en el Espacio Económico Europeo o Reino Unido, el Patrocinador procesa datos personales basándose en la ejecución de un contrato (administración de la promoción) y los intereses legítimos del Patrocinador en operar y asegurar la promoción. Si los participantes eligen recibir comunicaciones de marketing, el procesamiento se basa en el consentimiento. La participación en la promoción no está condicionada a proporcionar consentimiento para marketing.

El Patrocinador puede utilizar proveedores de servicios para ayudar con la administración de la promoción, comunicaciones, análisis y entrega de premios. Los datos personales pueden ser transferidos y procesados en los Estados Unidos u otros países donde el Patrocinador o sus proveedores de servicios operan, sujeto a las salvaguardias legales apropiadas cuando sea requerido.

Los datos personales se conservan hasta doce (12) meses después de que finaliza la promoción y luego se eliminan o anonimizan, a menos que se requiera una retención más prolongada para fines legales o regulatorios. La promoción está abierta solo a personas que tienen al menos 18 años o la mayoría de edad en su jurisdicción.

Dependiendo de la ley aplicable, los participantes pueden tener derecho a solicitar acceso, corrección o eliminación de sus datos personales, restringir u objetar el procesamiento, o solicitar la portabilidad de datos. Los participantes en el EEE o Reino Unido también pueden presentar una queja ante su autoridad local de protección de datos. Los residentes de EE.UU. pueden tener derechos de privacidad adicionales según las leyes estatales aplicables.

Las solicitudes relacionadas con datos personales pueden enviarse a: privacy@gnomi.com

11. Política de Retención y Eliminación de Datos

Documentación de Cumplimiento del RGPD y Leyes de Privacidad Aplicables

2. Declaración de Cumplimiento del RGPD y Leyes de Privacidad Aplicables

GNOMI mantiene esta Política de Retención y Eliminación de Datos definida y aplicada para respaldar el cumplimiento de las leyes de privacidad y protección de datos aplicables, incluido el Reglamento General de Protección de Datos (RGPD) donde el RGPD se aplica a las actividades de procesamiento de GNOMI. Esta política está diseñada para operacionalizar los principios de retención y eliminación alineados con el RGPD, incluida la limitación de almacenamiento, minimización de datos, limitación de finalidad, integridad y confidencialidad, responsabilidad y manejo lícito de las solicitudes de eliminación y restricción de los interesados.

Los controles de retención y eliminación de GNOMI están destinados a garantizar que los Datos Personales no se retengan por más tiempo del necesario para los fines para los cuales se recopilan o se procesan de otra manera lícitamente, a menos que la retención continua sea requerida por motivos legales, regulatorios, contractuales, de seguridad, prevención de fraude, contabilidad, auditoría, resolución de disputas o fines comerciales legítimos.

Cuando GNOMI procesa información de cuentas financieras o carteras autorizadas por el usuario a través de Plaid o proveedores similares, GNOMI aplica controles de retención y eliminación diseñados para limitar la retención de datos de integración financiera al período necesario para proporcionar la funcionalidad autorizada, mantener la seguridad, satisfacer obligaciones contractuales, prevenir fraude y cumplir con la ley aplicable.

3. Alcance

Esta política se aplica a todos los datos recopilados, procesados, almacenados, transmitidos o mantenidos por GNOMI o por proveedores de servicios externos que actúan en nombre de GNOMI. Esto incluye sistemas de producción, servicios en la nube, bases de datos de aplicaciones, sistemas de cuentas de usuario, sistemas de integración financiera, sistemas de análisis de cartera, sistemas de inteligencia financiera generada por IA, sistemas de análisis financiero, integraciones de Plaid, integraciones de cuentas de corretaje, integraciones bancarias, registros de seguridad, entornos de análisis, herramientas de soporte al cliente, plataformas de proveedores, registros corporativos, copias de seguridad y sistemas de recuperación ante desastres.

Esta política se aplica a empleados, contratistas, consultores, proveedores de servicios y otro personal autorizado de GNOMI que cree, acceda, gestione, almacene, procese, transmita, retenga, elimine o disponga de datos en nombre de GNOMI.

4. Declaración de Política

GNOMI retiene datos solo durante el tiempo necesario para proporcionar y mejorar sus servicios, respaldar la funcionalidad autorizada del usuario, mantener la seguridad, satisfacer obligaciones contractuales y legales, realizar operaciones comerciales y proteger a GNOMI, sus socios y sus usuarios. Cuando los datos ya no son necesarios, GNOMI los elimina, anonimiza, agrega o dispone de ellos de manera segura utilizando controles administrativos, técnicos y procedimentales apropiados.

Los períodos de retención se basan en el tipo de datos, el propósito del procesamiento, la relación con el usuario, la base legal, la necesidad comercial, las obligaciones contractuales, los requisitos regulatorios y los requisitos de seguridad. GNOMI revisa periódicamente las prácticas de retención y eliminación para confirmar que siguen siendo apropiadas para su negocio, productos, sistemas, proveedores y obligaciones de privacidad aplicables.

GNOMI retiene datos de integración financiera autorizados por el usuario solo durante el tiempo necesario para proporcionar la funcionalidad de inteligencia financiera autorizada solicitada por el usuario, incluido el análisis de cartera, análisis de diversificación, generación de sentimiento de cartera, información financiera generada por IA, prevención de fraude y soporte de integración.

5. Principios de Retención Alineados con el RGPD

• Limitación de almacenamiento: GNOMI retiene Datos Personales solo durante el período necesario para el propósito de procesamiento relevante, a menos que una retención más prolongada esté justificada por ley, contrato, seguridad, resolución de disputas, auditoría, contabilidad o requisitos de cumplimiento.
• Minimización de datos: GNOMI limita los datos retenidos a lo que es razonablemente necesario para el propósito comercial, de producto, seguridad, legal o de cumplimiento relevante.
• Limitación de finalidad: GNOMI evalúa la retención en función del propósito para el cual se recopilaron los datos o se procesaron de otra manera lícitamente.
• Integridad y confidencialidad: GNOMI protege los datos retenidos con controles de acceso apropiados, permisos de privilegio mínimo, monitoreo y prácticas de manejo seguro.
• Responsabilidad: GNOMI mantiene responsabilidades de propiedad, revisión y aplicación para las decisiones de retención y eliminación.
• Derechos de los interesados: GNOMI procesa las solicitudes aplicables de eliminación, corrección, restricción y objeción de acuerdo con la ley de privacidad aplicable y cualquier excepción lícita.
• Limitación de autorización del usuario: Los datos de integración financiera se retienen y procesan solo durante la duración y para los fines autorizados por el usuario y respaldados por fundamentos de procesamiento lícitos aplicables.

6. Clasificación de Datos

GNOMI clasifica los datos en función de la sensibilidad, el propósito del procesamiento, las obligaciones aplicables y el uso operacional. Los controles de retención y eliminación se aplican de acuerdo con la naturaleza de los datos y los sistemas donde residen.

• Datos de clientes y usuarios: información relacionada con la cuenta, información del perfil de usuario, preferencias, datos de uso del producto, comunicaciones de soporte y registros relacionados con el servicio.
• Datos de conexión financiera: datos de cuentas de corretaje autorizados por el usuario, datos de relaciones bancarias, tenencias de cartera, metadatos de transacciones, metadatos de cuentas de inversión, saldos, identificadores de instituciones financieras, credenciales o tokens de integración financiera, información financiera generada por IA, resultados de análisis de cartera e información relacionada procesada a través de Plaid o proveedores similares de integración financiera.
• Datos de inteligencia financiera generados por IA: análisis de sentimiento de cartera, análisis de diversificación, resúmenes financieros, resultados de IA a nivel de cuenta e inteligencia financiera específica del usuario relacionada generada a partir de integraciones financieras autorizadas.
• Registros de seguridad y operacionales: registros de autenticación, registros de acceso, registros de auditoría, datos de monitoreo, registros de actividad del sistema y registros de respuesta a incidentes.
• Datos empresariales y administrativos: contratos, registros de proveedores, registros de facturación, registros corporativos, registros legales, registros fiscales y documentación operacional interna.
• Datos agregados, anonimizados o desidentificados: análisis, datos de mejora del producto y datos de informes que no están razonablemente vinculados a un individuo identificable.

7. Calendario de Retención

GNOMI aplica períodos de retención de acuerdo con las categorías a continuación. Los períodos específicos pueden ajustarse cuando lo requiera la ley, el contrato, la necesidad de seguridad, los requisitos técnicos del sistema o la necesidad empresarial aprobada. Cuando no se requiere legalmente un período de retención específico, GNOMI retiene los datos solo durante el tiempo necesario para el propósito aplicable y luego los elimina, anonimiza o dispone de ellos de manera segura.

Categoría de Datos	Propósito Principal	Estándar de Retención	Método de Eliminación
Datos de cuenta y perfil de usuario	Operación de cuenta, autenticación, soporte al usuario, prestación de servicios	Retenidos mientras la cuenta esté activa y por un período limitado después del cierre según sea necesario para fines de seguridad, prevención de fraude, legales, de auditoría o de soporte.	Eliminación, anonimización o purga segura de los sistemas activos.
Datos de integración financiera autorizados por el usuario	Proporcionar funciones de inteligencia financiera autorizadas, funcionalidad solicitada por el usuario, soporte de integración y seguridad	Retenidos únicamente mientras el usuario mantenga la conexión financiera autorizada o mientras sea necesario para proporcionar funcionalidad de inteligencia financiera autorizada, mantener la seguridad, prevenir fraude, respaldar operaciones comerciales legítimas, cumplir con obligaciones contractuales o satisfacer requisitos legales y regulatorios. Las integraciones revocadas, desconectadas, vencidas o inactivas se eliminan, desactivan, anonimizan o se revoca el token según los requisitos operativos y legales.	Eliminación de los sistemas activos, revocación segura de tokens, anonimización, retención de archivo restringido cuando sea legalmente requerido, o eliminación segura.
Información financiera generada por IA y análisis de cartera	Inteligencia de cartera, análisis de diversificación, análisis de sentimiento, funcionalidad de chat con IA, análisis solicitados por el usuario	Retenidos mientras las cuentas de usuario asociadas permanezcan activas y la funcionalidad permanezca habilitada, sujeto a solicitudes de eliminación, requisitos de seguridad, obligaciones legales y necesidad operativa	Eliminación, anonimización, agregación o eliminación segura
Registros de soporte y comunicaciones	Soporte al cliente, resolución de problemas, aseguramiento de calidad y cumplimiento	Retenidos según sea necesario para resolver solicitudes, mantener registros de servicio y respaldar requisitos comerciales o legales.	Eliminación o eliminación segura de archivo al vencimiento.
Registros de seguridad, acceso y auditoría	Monitoreo de seguridad, prevención de fraude, detección de incidentes, revisión de acceso, auditoría e integridad del sistema	Retenidos por un período apropiado al propósito de seguridad, requisitos del sistema y obligaciones legales o contractuales.	Vencimiento programado, purga segura o eliminación de archivo restringido.
Registros de facturación, fiscales, corporativos y legales	Contabilidad, impuestos, gobierno corporativo, auditoría, administración de contratos y cumplimiento legal	Retenidos por el período requerido por la ley aplicable, estándares de auditoría, contrato o requisitos de gobierno corporativo.	Eliminación segura después del vencimiento de la necesidad legal o comercial.
Datos agregados, anonimizados o desidentificados	Análisis, mejora de productos, investigación, informes e inteligencia de negocios	Pueden retenerse por períodos más largos cuando los datos no sean razonablemente identificables y estén fuera del alcance de los datos personales según la ley aplicable.	Uso continuo, mayor agregación o eliminación cuando ya no sean necesarios.
Copias de seguridad y datos de recuperación ante desastres	Continuidad del negocio, recuperación de seguridad y restauración del sistema	Retenidos según los cronogramas del ciclo de vida de las copias de seguridad y sobrescritos o purgados mediante la rotación normal de copias de seguridad a menos que estén sujetos a retención legal.	Sobrescritura programada, vencimiento o destrucción segura.

8. Procedimientos de Eliminación de Datos y Disposición Segura

GNOMI aplica la eliminación y disposición de datos mediante controles administrativos, técnicos y procedimentales. Los métodos de disposición se seleccionan en función del tipo de datos, sistema, sensibilidad, requisito de retención y viabilidad técnica.

• Eliminación o purga de los sistemas de producción activos cuando los datos ya no son necesarios.
• Anonimización o agregación cuando GNOMI necesita preservar análisis o información del producto sin retener datos personales razonablemente identificables.
• Restricción o desactivación de datos cuando la eliminación está temporalmente limitada por retención legal, seguridad, auditoría, contabilidad, resolución de disputas o restricciones técnicas.
• Disposición segura de registros y exportaciones utilizando procesos aprobados de eliminación, destrucción o revocación de acceso.
• Revisión de sistemas y proveedores para confirmar que las obligaciones de retención y disposición están operacionalizadas donde los datos se procesan en nombre de GNOMI.
• Revocación y eliminación de tokens de acceso de Plaid, credenciales OAuth, credenciales API y secretos de integración asociados cuando las integraciones se desconectan, expiran o ya no son necesarias.
• Eliminación o anonimización de información financiera generada por IA cuando las integraciones financieras subyacentes asociadas se revocan o eliminan, a menos que se requiera retención por otros motivos.

9. Solicitudes de Interesados GDPR y Cierre de Cuenta

Cuando se aplica el GDPR u otra ley de privacidad aplicable, GNOMI procesa las solicitudes de interesados relacionadas con acceso, corrección, eliminación, restricción, objeción y portabilidad de acuerdo con los requisitos legales aplicables y las excepciones legítimas. GNOMI evalúa las solicitudes en función de la identidad del solicitante, la naturaleza de los datos, la base legal aplicable, los requisitos del sistema y cualquier obligación legítima de retener datos.

Tras el cierre de cuenta verificado o solicitud de eliminación verificada, GNOMI elimina, anonimiza o restringe los Datos Personales aplicables de los sistemas activos a menos que la retención sea requerida o permitida por motivos legales, regulatorios, contractuales, de seguridad, prevención de fraude, contabilidad, auditoría, resolución de disputas o propósitos comerciales legítimos. Cuando los datos no pueden eliminarse inmediatamente de las copias de seguridad, se protegen del uso ordinario y se eliminan mediante el ciclo de vida de copia de seguridad aplicable.

Cuando sea técnicamente viable y legalmente permitido, GNOMI procesa solicitudes verificadas para desconectar integraciones financieras, revocar tokens de acceso financiero, eliminar datos de análisis de cartera asociados y eliminar información financiera generada por IA asociada con integraciones financieras autorizadas por el usuario.

10. Retenciones Legales y Excepciones de Retención

GNOMI puede suspender los calendarios normales de retención o eliminación cuando los datos están sujetos a una retención legal, disputa, investigación, solicitud regulatoria, requisito de auditoría, incidente de seguridad, obligación contractual, obligación contable u otro requisito comercial legítimo. Los datos sujetos a una retención legal o excepción aprobada se retienen solo durante el tiempo que se aplique la excepción y luego se devuelven al proceso de retención y disposición aplicable. Las obligaciones de seguridad, prevención de fraude, antiabuso, resolución de disputas, auditoría, revisión regulatoria u otras obligaciones de cumplimiento legítimas pueden requerir la retención continua limitada de registros de integración financiera o metadatos financieros relacionados con la seguridad.

11. Proveedores, Procesadores y Sistemas de Terceros

Cuando GNOMI utiliza proveedores de servicios de terceros para almacenar o procesar datos, GNOMI requiere un manejo apropiado de retención y disposición mediante revisión de proveedores, obligaciones contractuales cuando sea aplicable y controles operacionales. Para proveedores que actúan como procesadores o proveedores de servicios, GNOMI espera que las obligaciones de retención, eliminación, confidencialidad, seguridad y asistencia se aborden en los acuerdos aplicables, términos de procesamiento de datos o controles de proveedores.

GNOMI revisa las prácticas de manejo de datos de los proveedores según corresponda a la naturaleza del servicio, la sensibilidad de los datos y los requisitos de privacidad y seguridad aplicables. Cuando GNOMI recibe una solicitud de eliminación verificada que se aplica a datos mantenidos por un proveedor o procesador, GNOMI toma medidas razonables para comunicar o ejecutar la solicitud de eliminación, restricción o anonimización mediante el flujo de trabajo del proveedor aplicable, sujeto a excepciones legítimas.

GNOMI evalúa a Plaid y otros proveedores de integración financiera para controles apropiados contractuales, de privacidad, seguridad, retención, eliminación, confidencialidad y cumplimiento regulatorio.

Cuando sea requerido, GNOMI implementa salvaguardas de transferencia de datos conformes con GDPR apropiadas para el procesamiento transfronterizo que involucra datos de integración financiera.

12. Copias de Seguridad y Recuperación ante Desastres

Los datos contenidos en copias de seguridad o sistemas de recuperación ante desastres pueden persistir por un período limitado después de la eliminación de los sistemas de producción activos. Los datos de copia de seguridad están protegidos contra acceso no autorizado y están sujetos a controles de ciclo de vida, calendarios de retención y sobrescritura o eliminación programada. GNOMI no utiliza datos de copia de seguridad para procesamiento comercial ordinario después de una solicitud de eliminación aplicable, excepto cuando la restauración sea requerida por seguridad, recuperación ante desastres, necesidad legal u operacional. Los datos de integración financiera y la información financiera generada por IA retenidos dentro de los sistemas de copia de seguridad permanecen sujetos a restricciones de acceso, controles de cifrado, gestión del ciclo de vida y procedimientos de sobrescritura segura.

13. Aplicación y Responsabilidades

La gerencia, seguridad, ingeniería, producto, operaciones y personal de cumplimiento de GNOMI son responsables de aplicar esta política dentro de sus áreas de responsabilidad. Los empleados y contratistas deben seguir los procedimientos aprobados de retención, eliminación, control de acceso y disposición. La retención, exportación, copia o disposición no autorizada de datos fuera de los procesos aprobados está prohibida.

14. Revisión Periódica

Esta política se revisa al menos anualmente y tras cambios materiales en los productos, sistemas, proveedores, actividades de procesamiento de datos, requisitos legales, obligaciones contractuales o postura de seguridad de GNOMI. Las revisiones tienen como objetivo confirmar que los estándares de retención, procedimientos de disposición, prácticas alineadas con GDPR, controles de proveedores y aplicación operacional permanecen apropiados y efectivos. Las revisiones deben considerar nuevas funcionalidades de integración financiera, funcionalidad de análisis financiero por IA, sistemas de análisis de cartera, cambios en las integraciones de Plaid y obligaciones de privacidad o datos financieros en evolución.

15. Confirmación de Cumplimiento

GNOMI mantiene esta política como documentación activa de la empresa para retención, eliminación y disposición de datos. Esta política está diseñada para respaldar el cumplimiento de las leyes de privacidad de datos aplicables, incluido el GDPR cuando sea aplicable, y para proporcionar un marco definido y ejecutable sobre cómo GNOMI retiene, elimina, anonimiza y dispone de los datos.

16. Aprobación

Aprobada por la gerencia de GNOMI como política activa de la empresa para Retención y Disposición de Datos, incluidas las prácticas de retención y eliminación alineadas con GDPR.

12. Política de Seguridad de la Información

Incluyendo Controles del RGPD y de la Ley de Privacidad Aplicable

2. Alcance

Esta política se aplica a todos los empleados, fundadores, funcionarios, contratistas, consultores, proveedores de servicios, vendedores, sistemas, aplicaciones, entornos en la nube, bases de datos, repositorios de código fuente, activos de producción, dispositivos corporativos, datos de usuarios, datos de socios y cualquier otro activo de información utilizado para entregar productos y servicios de GNOMI.

Esta política se aplica a datos de la empresa, clientes, usuarios, financieros, técnicos, operacionales, de autenticación, API y gestionados por vendedores, incluyendo datos de cuentas de corretaje autorizadas por el usuario, datos de relaciones bancarias, tenencias de cartera, metadatos de transacciones, tokens de integración financiera, análisis de cartera generado por IA y resultados de inteligencia financiera, incluyendo Datos Personales, Datos Sensibles y datos regulados procesados por o en nombre de GNOMI.

3. Cumplimiento Legal, Regulatorio y de Privacidad

GNOMI diseña y opera su programa de seguridad para respaldar el cumplimiento con todas las leyes, normas, regulaciones y requisitos contractuales aplicables de seguridad de la información y privacidad relevantes para sus operaciones, incluyendo, cuando sea aplicable:

• Reglamento General de Protección de Datos (RGPD) y requisitos aplicables de protección de datos de la UE/EEE;
• Requisitos del RGPD del Reino Unido y de la Ley de Protección de Datos, cuando sean aplicables;
• Leyes estatales de privacidad y seguridad de EE. UU., incluyendo CCPA/CPRA y la Ley SHIELD de Nueva York, cuando sean aplicables;
• Requisitos de GLBA y la Regla de Salvaguardas de la FTC en la medida en que GNOMI procese datos sujetos a esas obligaciones;
• Obligaciones de seguridad contractuales con socios, incluyendo protección de datos, confidencialidad, control de acceso, notificación de incidentes y requisitos de seguridad de vendedores;
• Requisitos aplicables de notificación de brechas, minimización de datos, retención, eliminación y derechos de usuarios;
• Obligaciones contractuales de seguridad y manejo de datos de Plaid aplicables a entornos de integración financiera;
• Obligaciones aplicables de privacidad de datos financieros, salvaguarda y protección del consumidor relacionadas con integraciones financieras autorizadas por el usuario.

Cuando las leyes, contratos o requisitos de socios impongan obligaciones más estrictas que esta política, se aplica el estándar más estricto. GNOMI revisa periódicamente esta política para asegurar que permanezca alineada con los requisitos legales, regulatorios, de socios y de seguridad aplicables.

4. Requisitos del RGPD y Privacidad desde el Diseño

GNOMI aplica principios de privacidad desde el diseño y seguridad desde el diseño a sistemas y procesos que involucran Datos Personales. Cuando se aplica el RGPD, los controles de seguridad y privacidad de GNOMI están diseñados para respaldar los siguientes principios:

• Licitud, equidad y transparencia en las actividades de procesamiento de datos;
• Limitación de la finalidad y uso de datos solo para propósitos comerciales, de producto, legales, de seguridad o autorizados por el usuario legítimos;
• Minimización de datos y recopilación solo de datos razonablemente necesarios para el propósito declarado;
• Exactitud y procesos apropiados de corrección o eliminación;
• Limitación del almacenamiento mediante estándares definidos de retención y eliminación;
• Integridad y confidencialidad mediante medidas técnicas y organizativas apropiadas;
• Responsabilidad mediante documentación, titularidad, revisión y aplicación de controles de privacidad y seguridad.
• El procesamiento de datos financieros autorizados por el usuario debe limitarse al alcance del consentimiento, necesidad contractual u otra base legal aplicable a la funcionalidad solicitada.
• Las funciones de inteligencia financiera y la funcionalidad de análisis de cartera generado por IA deben incorporar minimización de datos, acceso de mínimo privilegio, procesamiento seguro y controles apropiados de transparencia para el usuario.

GNOMI respalda procesos de derechos de los interesados, incluyendo acceso, corrección, eliminación, restricción, portabilidad y objeción cuando sean aplicables. Las solicitudes se evalúan bajo la ley aplicable y los requisitos internos de privacidad, seguridad, retención y retención legal de GNOMI.

5. Gobernanza de Seguridad y Responsabilidad

• La dirección ejecutiva es responsable de garantizar que GNOMI mantenga un programa de seguridad de la información apropiado al tamaño de la empresa, perfil de riesgo, productos, datos y obligaciones con socios.
• Las responsabilidades de seguridad se asignan entre las partes interesadas de ingeniería, producto, operaciones, legal y ejecutivas según corresponda.
• Los requisitos de seguridad se incorporan en el desarrollo de productos, selección de proveedores, gestión de acceso, respuesta a incidentes, manejo de datos y toma de decisiones operativas.
• GNOMI mantiene procedimientos internos y controles de apoyo para implementar esta política, incluyendo controles de acceso, retención de datos, respuesta a incidentes, gestión de proveedores y prácticas de desarrollo seguro.

6. Gestión de Riesgos

GNOMI identifica, evalúa, mitiga y monitorea los riesgos de seguridad de la información que puedan afectar la confidencialidad, integridad, disponibilidad, privacidad o cumplimiento legal. La revisión de riesgos puede incluir arquitectura de sistemas, flujos de datos, dependencias de proveedores, controles de autenticación, privilegios de acceso, entornos de producción, nuevas funcionalidades de productos, integraciones de terceros e historial de incidentes.

Los riesgos materiales se escalan a la gerencia apropiada para remediación, aceptación, transferencia o controles adicionales. Las decisiones de tratamiento de riesgos deben considerar requisitos legales, obligaciones con socios, impacto en usuarios, impacto en seguridad y continuidad del negocio.

Las evaluaciones de riesgos deben considerar integraciones financieras, dependencias de Plaid, funcionalidad de análisis financiero generado por IA, sistemas de análisis de portafolios, controles de acceso a datos financieros, resultados de modelos y flujos de datos financieros de terceros.

7. Clasificación y Manejo de Datos

GNOMI clasifica y protege los datos según sensibilidad, valor comercial, obligaciones legales y riesgo. Las categorías de datos pueden incluir datos públicos, internos, confidenciales, sensibles, personales, financieros, de autenticación, código fuente, seguridad y datos de socios.

• Los Datos Sensibles y Personales deben ser accedidos únicamente por personal autorizado con una necesidad comercial legítima.
• Los datos deben almacenarse, transmitirse y procesarse utilizando sistemas aprobados y salvaguardas apropiadas.
• Los secretos, credenciales, tokens, claves API, claves privadas y certificados no deben almacenarse en repositorios de texto plano, documentos no seguros, mensajes de chat o sistemas no autorizados.
• Los datos de producción no pueden copiarse a entornos de no producción a menos que estén aprobados y apropiadamente protegidos, minimizados, anonimizados o seudonimizados cuando sea factible.
• El manejo de datos debe alinearse con los requisitos de retención, eliminación, disposición y privacidad de GNOMI.
• Los datos de cuentas de corretaje autorizados por el usuario, información bancaria, tenencias de portafolios, metadatos de transacciones, perspectivas financieras generadas por IA y resultados de sentimiento de portafolios deben clasificarse como Datos Sensibles.
• Los datos de integración financiera solo pueden procesarse a través de sistemas aprobados y flujos de trabajo autorizados.
• Los datos de integración financiera de producción no pueden copiarse en entornos de desarrollo o prueba a menos que estén minimizados, anonimizados, seudonimizados o apropiadamente protegidos de otra manera.

8. Gestión de Identidad y Acceso

GNOMI aplica controles de acceso diseñados para limitar el acceso a activos de producción, recursos en la nube, herramientas administrativas, sistemas, repositorios de código fuente y Datos Sensibles. El acceso se otorga en función del rol, necesidad comercial, mínimo privilegio y requisitos de aprobación.

• El control de acceso basado en roles (RBAC) se utiliza donde sea compatible con sistemas y aplicaciones.
• El acceso privilegiado y administrativo está limitado a personal autorizado y se revisa periódicamente.
• Las soluciones centralizadas de gestión de identidad y acceso se utilizan cuando sea apropiado para gestionar la autenticación y autorización de usuarios.
• La autenticación multifactor es requerida para cuentas privilegiadas y sistemas críticos donde sea compatible.
• Las revisiones y auditorías de acceso se realizan periódicamente para validar que el acceso siga siendo apropiado.
• El acceso se modifica o revoca cuando el personal cambia de rol, transfiere responsabilidades o termina su relación con GNOMI.
• La autenticación no humana, incluyendo cuentas de servicio, tokens OAuth, credenciales API y certificados TLS, debe ser aprobada, almacenada de forma segura, limitada a los privilegios mínimos requeridos y rotada o revocada cuando ya no sea necesaria.
• El acceso a sistemas de integración financiera, entornos administrativos de Plaid, sistemas de inteligencia financiera de IA y conjuntos de datos financieros de usuarios debe estar restringido a personal autorizado con una necesidad operativa, de seguridad, cumplimiento o soporte legítima.
• El acceso administrativo a sistemas capaces de recuperar o analizar datos de cuentas financieras autorizados por el usuario requiere autenticación multifactor donde sea compatible.

9. Seguridad de Activos de Producción

• Los entornos de producción deben estar protegidos mediante controles de acceso, registro, monitoreo, configuración segura y prácticas de gestión de cambios.
• El acceso a producción está restringido al personal con una necesidad operativa o de ingeniería aprobada.
• Los cambios en los sistemas de producción deben seguir prácticas apropiadas de revisión, prueba, aprobación e implementación basadas en el riesgo y la urgencia.
• Los datos sensibles de producción no deben ser exportados, descargados o transferidos a menos que estén autorizados para un propósito comercial, legal, de seguridad u operativo legítimo.
• El acceso de emergencia a producción debe ser limitado, registrado y revisado después de su uso.
• Los sistemas que procesan datos de integración financiera autorizados por el usuario deben implementar controles apropiados de registro, monitoreo, cifrado, restricción de acceso y configuración segura.
• El acceso a información financiera generada por IA y resultados de análisis de cartera debe estar restringido de manera consistente con la sensibilidad de los datos financieros del usuario asociados.

10. Cifrado, Secretos y Gestión de Claves

GNOMI utiliza salvaguardas técnicas apropiadas para proteger datos sensibles, credenciales y comunicaciones. El cifrado debe utilizarse para datos sensibles en tránsito y aplicarse a datos sensibles en reposo cuando sea compatible y apropiado. Los secretos, tokens, certificados, claves y credenciales deben almacenarse en sistemas seguros aprobados y protegerse contra el uso o divulgación no autorizados.

Las claves y credenciales deben rotarse, deshabilitarse o revocarse cuando estén comprometidas, ya no sean necesarias o cuando cambien los accesos de personal o proveedores. Las credenciales no deben compartirse entre usuarios excepto cuando se utilicen controles de cuenta de servicio aprobados.

Las credenciales de API de Plaid, tokens de integración financiera, credenciales OAuth, secretos de webhook, tokens de actualización y secretos relacionados con integración financiera deben cifrarse, almacenarse de forma segura y protegerse contra el acceso no autorizado.

11. Registro, Monitoreo y Revisión de Seguridad

GNOMI mantiene prácticas de registro y monitoreo apropiadas para sus sistemas y perfil de riesgo. Los registros pueden incluir eventos de autenticación, actividad administrativa, eventos de aplicación, actividad del sistema, cambios de producción, cambios de acceso y errores o alertas relevantes para la seguridad.

• Los registros se revisan según sea necesario para investigar eventos de seguridad, problemas operativos, anomalías de acceso e incidentes.
• Los eventos relevantes para la seguridad se escalan al personal responsable para su investigación y remediación.
• Los controles de monitoreo y alerta se actualizan a medida que evolucionan los sistemas, proveedores y riesgos comerciales.
• Los registros que contienen Datos Personales o información sensible deben protegerse y conservarse de manera consistente con las obligaciones de retención y privacidad de GNOMI.
• El monitoreo de seguridad debe incluir actividad de integración financiera, eventos de integración de Plaid, eventos de gestión de tokens, acceso privilegiado a conjuntos de datos financieros y patrones de acceso anómalos que involucren Información Financiera del usuario.

12. Desarrollo Seguro y Gestión de Cambios

GNOMI incorpora la seguridad en el desarrollo de software y la entrega de productos. Los requisitos de seguridad se consideran durante el diseño, desarrollo, prueba, implementación y mantenimiento de los sistemas de GNOMI.

• Los cambios de código deben revisarse antes de la implementación en producción cuando sea apropiado.
• Los cambios que impactan la seguridad deben evaluarse en cuanto al riesgo, incluyendo cambios que involucren autenticación, autorización, flujos de datos, APIs, integraciones, infraestructura de producción o datos sensibles.
• Las dependencias, bibliotecas y componentes de terceros deben revisarse y actualizarse según sea apropiado para reducir vulnerabilidades conocidas.
• Las vulnerabilidades identificadas mediante revisión interna, informes de terceros, monitoreo o notificaciones de proveedores deben clasificarse y remediarse según la gravedad y el impacto comercial.
• Los cambios que impactan la seguridad e involucran integraciones financieras, APIs de Plaid, análisis de cartera generado por IA, funcionalidad de análisis financiero o flujos de datos financieros del usuario deben someterse a una revisión apropiada de seguridad y privacidad antes de la implementación.

13. Seguridad de Proveedores y Terceros

GNOMI evalúa a proveedores externos, procesadores, subprocesadores y socios de integración en función del tipo de datos procesados, servicios proporcionados, dependencia operativa, postura de seguridad, obligaciones legales y requisitos contractuales.

• Los Proveedores que procesan datos sensibles, personales, financieros o de usuarios deben ser revisados para verificar las salvaguardas apropiadas de seguridad y privacidad.
• Los contratos deben incluir obligaciones de confidencialidad, protección de datos, seguridad, control de acceso, notificación de incidentes, retención, eliminación y subprocesadores cuando sea apropiado.
• El acceso de los Proveedores a los sistemas o datos de GNOMI debe limitarse al uso autorizado y revocarse cuando ya no sea necesario.
• GNOMI monitorea los riesgos materiales de los Proveedores y puede solicitar documentación de seguridad, certificaciones o evidencia de cumplimiento de los Proveedores cuando sea apropiado.
• Los proveedores de integración financiera, incluyendo Plaid y subprocesadores relacionados, deben ser evaluados en cuanto a postura de seguridad, controles de protección de datos, alineación con el cumplimiento regulatorio y obligaciones contractuales de privacidad.
• Las transferencias transfronterizas que involucren datos de integración financiera de la UE o el Reino Unido deben utilizar mecanismos de transferencia lícitos apropiados cuando sea requerido.

14. Respuesta a Incidentes y Notificación de Brechas

GNOMI mantiene procedimientos de respuesta a incidentes para identificar, investigar, contener, remediar, documentar y comunicar incidentes de seguridad. Los incidentes de seguridad pueden incluir acceso no autorizado, exposición de datos, compromiso de credenciales, compromiso de sistemas, pérdida de datos, malware, interrupción del servicio o sospecha de violación de confidencialidad, integridad o disponibilidad.

• Los incidentes deben ser escalados prontamente a las partes interesadas internas apropiadas.
• GNOMI evaluará la naturaleza, alcance, sistemas afectados, datos afectados, impacto en usuarios, impacto en socios, obligaciones legales y medidas de remediación.
• La notificación a usuarios, reguladores, socios, proveedores u otras partes se realizará cuando sea requerido por la ley aplicable, contrato o determinación de respuesta a incidentes de GNOMI.
• Las lecciones aprendidas de los incidentes pueden ser utilizadas para mejorar controles, procedimientos, capacitación, monitoreo y supervisión de proveedores.
• Los incidentes que involucren sistemas de integración financiera, credenciales de Plaid, información de corretaje o banca, sistemas de análisis de portafolio o resultados de inteligencia financiera generados por IA deben ser priorizados para investigación y contención.

15. Retención de Datos, Eliminación y Retención Legal

GNOMI retiene información solo durante el tiempo razonablemente necesario para el propósito para el cual fue recopilada o procesada, incluyendo entrega de productos, gestión de cuentas de usuarios, seguridad, prevención de fraude, análisis, cumplimiento legal, registros financieros, obligaciones contractuales, resolución de disputas y operaciones comerciales legítimas.

• Los Datos Personales deben ser eliminados, anonimizados o eliminados de manera segura cuando ya no sean requeridos, sujeto a necesidades de retención legales, regulatorias, contractuales, de seguridad o comerciales legítimas.
• Las solicitudes de eliminación de usuarios y cierre de cuentas se manejan de acuerdo con las leyes de privacidad aplicables y los requisitos de retención de GNOMI.
• Las copias de seguridad y registros se retienen y eliminan de acuerdo con prácticas de ciclo de vida definidas y pueden estar sujetos a eliminación retrasada debido a requisitos técnicos, de seguridad o legales.
• Las retenciones legales pueden suspender la eliminación o disposición cuando sea necesario preservar información para propósitos legales, regulatorios, de auditoría, investigación o disputa.
• Los datos de integración financiera y las perspectivas financieras generadas por IA deben ser eliminados, anonimizados, restringidos o con tokens revocados cuando ya no sean requeridos para funcionalidad autorizada, sujeto a requisitos de retención lícitos.

16. Seguridad del Personal y Capacitación

El personal y contratistas de GNOMI con acceso a sistemas de la empresa, activos de producción o datos sensibles deben seguir esta política y los procedimientos de seguridad aplicables. Se espera que el personal proteja las credenciales, utilice sistemas aprobados, reporte incidentes de seguridad sospechosos y maneje los datos de acuerdo con los requisitos de clasificación y necesidad de conocer.

La concientización sobre seguridad y privacidad puede proporcionarse a través de la incorporación, orientación específica del rol, comunicaciones internas y actualizaciones continuas a medida que evolucionan los productos, riesgos y obligaciones de cumplimiento de GNOMI.

El personal con acceso a sistemas de integración financiera o datos financieros autorizados por usuarios puede recibir orientación adicional sobre el manejo de datos financieros, obligaciones de privacidad, procesamiento seguro, prevención de phishing, seguridad de tokens y procedimientos de escalación de incidentes.

17. Continuidad del Negocio y Disponibilidad

GNOMI mantiene medidas razonables para apoyar la continuidad y disponibilidad de servicios críticos. Los controles pueden incluir resiliencia en la nube, copias de seguridad, monitoreo, escalación de incidentes, revisión de dependencia de proveedores, planificación de recuperación ante desastres y procedimientos de respuesta operacional basados en la criticidad del sistema y el riesgo. La planificación de continuidad del negocio debe considerar las dependencias de Plaid y otros proveedores de integración financiera, incluyendo riesgos de disponibilidad, interrupciones de proveedores, fallas de tokens e interrupciones del servicio de integración financiera.

18. Excepciones

Cualquier excepción a esta política debe ser aprobada por la gerencia apropiada de GNOMI basándose en la necesidad comercial, riesgo, controles compensatorios, duración y requisitos legales o contractuales. Las excepciones deben ser documentadas cuando sea apropiado y revisadas periódicamente hasta que sean remediadas o formalmente aceptadas.

19. Cumplimiento

El incumplimiento de esta política puede resultar en revocación de acceso, requisitos de remediación, acción del proveedor, acción disciplinaria, terminación del contrato u otras medidas apropiadas a la naturaleza y gravedad de la violación. GNOMI puede investigar violaciones sospechadas y tomar acción correctiva para proteger los sistemas de la empresa, usuarios, socios y datos.