Política de Privacidad

Última actualización: mayo de 2026

Esta política de privacidad describe cómo Kavynox ("la aplicación", "nosotros") gestiona la información cuando utilizas nuestra aplicación para Windows y Android, así como los servicios de sincronización asociados.

        Kavynox está diseñado con un enfoque zero-knowledge: el cifrado y descifrado de tus contraseñas se realiza íntegramente en tu dispositivo. Nuestros servidores nunca reciben ni pueden leer el contenido de tu vault.
    

1. Responsable del tratamiento

El responsable del tratamiento de los datos recogidos a través de Kavynox es el desarrollador de la aplicación, contactable en info@kavynox.com.

2. Datos que recopilamos y para qué

Kavynox recopila únicamente los datos estrictamente necesarios para su funcionamiento:

Correo electrónico: usado como identificador único de cuenta para autenticación y sincronización.
Hash de contraseña maestra: derivado mediante BCrypt (factor 12). Nunca se almacena la contraseña en texto claro. El servidor únicamente almacena el hash de verificación.
Salt criptográfico: cadena aleatoria de 32 bytes asociada a tu cuenta, necesaria para derivar las claves de cifrado en tu dispositivo.
Entradas del vault: cifradas con AES-256-GCM en tu dispositivo antes de ser enviadas al servidor. El servidor almacena exclusivamente blobs cifrados que no puede descifrar.
Identificadores de dispositivo: en cada inicio de sesión se envían al servidor el nombre del dispositivo, versión del sistema operativo, tipo de red, idioma, zona horaria y un identificador técnico del dispositivo. Estos datos se usan para la gestión de accesos y auditoría de seguridad.
Dirección IP: registrada por el servidor en cada acceso con fines de seguridad y detección de accesos no autorizados.
Token de sesión (JWT): emitido por el servidor tras el login y almacenado localmente en el dispositivo para mantener la sesión activa.

3. Cómo se almacenan tus datos

En tu dispositivo:

La base de datos local del vault utiliza SQLCipher (SQLite cifrado con AES-256), protegida con una clave derivada de tu contraseña maestra.
El token de sesión se almacena protegido por las APIs de seguridad del sistema operativo: DPAPI en Windows, Android Keystore en Android.
Si usas el modo Blindado (kdfVersion 3), la segunda contraseña se almacena en DPAPI (Windows) o Android Keystore, vinculada a tu perfil de usuario y dispositivo.

En nuestros servidores:

Los blobs cifrados de tu vault se almacenan en servidores propios de Kavynox (passwords.kavynox.com), ubicados en la Unión Europea.
El servidor no tiene acceso a las claves de cifrado ni al contenido de tu vault.
Las comunicaciones entre la aplicación y el servidor se realizan mediante TLS 1.2/1.3.

4. Datos que NO recopilamos

No recopilamos datos de telemetría ni análisis de comportamiento dentro de la aplicación.
No vendemos, alquilamos ni compartimos datos personales con terceros.
No utilizamos publicidad ni redes de seguimiento.
No tenemos acceso al contenido de las contraseñas almacenadas en tu vault.
No almacenamos datos biométricos. La autenticación mediante huella dactilar se gestiona íntegramente por el sistema operativo del dispositivo y Kavynox no recibe ni procesa dichos datos.

5. Permisos de la aplicación Android

La aplicación Android puede solicitar los siguientes permisos:

Cámara: para capturar credenciales mediante OCR (reconocimiento óptico de caracteres). Solo se activa cuando el usuario lo solicita explícitamente.
Biometría: para autenticación opcional mediante huella dactilar.
Internet: para sincronizar el vault con el servidor de Kavynox.

6. Base legal del tratamiento (RGPD)

El tratamiento de tus datos personales se basa en:

Ejecución de un contrato: el correo electrónico, el hash de contraseña y los datos del vault son necesarios para prestar el servicio de gestión de contraseñas con sincronización.
Interés legítimo: el registro de IP y los identificadores de dispositivo se tratan para garantizar la seguridad del servicio y detectar accesos no autorizados.

7. Conservación de los datos

Los datos de tu cuenta y vault se conservan mientras la cuenta esté activa.
Tras la eliminación de la cuenta, los datos se borran de nuestros servidores en un plazo máximo de 30 días.
Los registros de acceso (IP, dispositivo) se conservan durante un máximo de 12 meses con fines de seguridad.

8. Seguridad técnica

Kavynox implementa las siguientes medidas de seguridad en la versión actual:

Cifrado de entradas: AES-256-GCM con nonce aleatorio de 12 bytes por campo y por escritura.
Derivación de clave principal: Argon2id con 64 MB de memoria y 3 iteraciones (modos Profesional y Blindado). PBKDF2-SHA256 con 300.000 iteraciones en cuentas anteriores a la migración.
Separación de claves: la clave del vault SQLCipher y la clave de cifrado de entradas son independientes, derivadas mediante HKDF-SHA256.
Hash de autenticación: BCrypt con work factor 12.
Comunicaciones: TLS 1.2/1.3 en todas las comunicaciones con el servidor.
Vault local: SQLCipher AES-256 — el archivo de base de datos es ilegible sin la clave derivada de tu contraseña maestra.

Kavynox utiliza algoritmos criptográficos considerados seguros según el estado actual de la técnica, pero no puede garantizar protección absoluta frente a futuras vulnerabilidades criptográficas o ataques desconocidos en el momento del diseño.

9. Tus derechos (RGPD)

Si resides en el Espacio Económico Europeo, tienes los siguientes derechos respecto a tus datos personales:

Acceso: solicitar información sobre los datos que tratamos.
Rectificación: corregir datos inexactos.
Supresión: solicitar la eliminación de tu cuenta y datos asociados.
Portabilidad: recibir una copia de tus datos en formato estructurado. La propia aplicación incluye una función de exportación del vault.
Oposición y limitación: oponerte al tratamiento o solicitar su limitación en determinadas circunstancias.
Reclamación: presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Para ejercer cualquiera de estos derechos, contacta en info@kavynox.com.

10. Menores de edad

Kavynox no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si eres padre o tutor y crees que tu hijo ha proporcionado información personal, contacta con nosotros en info@kavynox.com para proceder a su eliminación.

11. Cambios en esta política

Podemos actualizar esta política ocasionalmente para reflejar cambios en la aplicación o en la normativa aplicable. Notificaremos cualquier cambio significativo mediante la propia aplicación o en esta página, indicando la fecha de la última actualización. El uso continuado de la aplicación tras los cambios implica la aceptación de la nueva política.

12. Contacto

Si tienes preguntas sobre esta política de privacidad o deseas ejercer tus derechos, puedes contactarnos en:
info@kavynox.com