Privacidad y seguridad
Esta página explica con detalle cómo fondflex maneja tus credenciales del SAT y tu información fiscal.
Lo más importante en una frase
Resumen
fondflex nunca ve tu CIEC en texto plano. Tus credenciales viajan cifradas a Belvo, nuestro proveedor regulado especializado en conexiones bancarias y fiscales en Latam. Belvo se conecta al SAT en tu nombre, descarga la información que autorizaste, y nos la entrega. Tu información fiscal es tuya: no la vendemos, no la compartimos, y la puedes exportar o eliminar cuando quieras.
La arquitectura de seguridad
Hay 3 partes en juego:
┌─────────────┐
Tú │ El SAT │
│ │
───────────── │ │
│ (portal) │
└─────────────┘
▲
│ Belvo se autentica
│ con tu CIEC
│ y descarga la
│ información
│
┌────┴─────┐
│ Belvo │
│ │
│ regulado │
└──┬───────┘
│ Belvo entrega los
│ datos descifrados
│ a fondflex
▼
┌─────────────────┐
│ fondflex │
│ │
│ Tu dashboard, │
│ cálculos KPI, │
│ histórico │
└─────────────────┘Belvo
Belvo es la pieza clave. Es una empresa especializada en proporcionar acceso programático a datos financieros y fiscales en Latinoamérica. Está registrada y opera bajo regulación de cada país donde tiene presencia, incluyendo México.
Belvo es quien:
- Recibe tus credenciales (cifradas en tránsito)
- Las almacena cifradas en su lado
- Ejecuta el login al SAT en tu nombre
- Descarga la información que autorizaste
- Nos la entrega ya descifrada
fondflex es cliente de Belvo. No tenemos acceso al almacenamiento donde Belvo guarda tu CIEC. Cuando necesitamos sincronizar datos, le pedimos a Belvo que lo haga por nosotros. Belvo lo hace y nos manda los resultados.
fondflex
Lo que sí guardamos:
- Los resultados de las descargas de Belvo: tu Constancia, tus declaraciones, tus CFDIs, tus Estados Financieros.
- Los cálculos derivados: tu Score, tus KPIs, tu histórico, tus banderas.
- Tu identidad en fondflex: tu correo, contraseña (hash), perfil de empresa.
Lo que no guardamos:
- Tu CIEC en texto plano.
- Tu e.firma (no la usamos en absoluto).
- Tu contraseña del SAT.
Tú
Lo que tienes que hacer para mantener seguridad:
- Usa una contraseña fuerte en fondflex. Activa autenticación de dos factores (próximamente).
- No compartas tu contraseña de fondflex con nadie. Si necesitas que tu contador o un socio acceda, agrégalo en "Equipo" con su propia cuenta.
- Cambia tu CIEC periódicamente, idealmente cada 6 a 12 meses. fondflex te avisará y te pedirá reconectar.
¿Qué pasa si Belvo es comprometido?
Belvo es la pieza más sensible. Por eso:
- Belvo cumple con SOC 2 Type II y otras certificaciones de seguridad.
- Tus credenciales con Belvo están cifradas con encryption-at-rest.
- Belvo tiene su propio equipo de seguridad.
Si Belvo tuviera una brecha (lo cual no ha pasado), nos enteraríamos por su comunicación oficial. La reacción correcta es:
- Cambiar tu CIEC en el portal del SAT.
- Reconectar fondflex con la nueva CIEC.
La CIEC vieja deja de funcionar y cualquier acceso ilícito queda anulado.
Cifrado en tránsito
Toda la comunicación entre tu navegador, fondflex, Belvo y el SAT viaja cifrada con TLS 1.3. Lo verificas viendo el candado en la barra de tu navegador.
Cifrado en reposo
Nuestra base de datos en Mongo Atlas tiene cifrado AES-256 en reposo. Los discos están cifrados a nivel infraestructura.
Exportar tu información
Puedes pedir la exportación completa de tus datos en cualquier momento:
Cómo exportar
- Ve a "Configuración → Exportar datos"
- Elige formato: CSV (para Excel/contadores) o JSON (para integraciones)
- Te enviamos un correo con el enlace de descarga (válido 24 horas)
El export incluye:
- Datos crudos del SAT (sin nuestros cálculos)
- KPIs calculados
- Historia completa de Scores
- Lista de banderas levantadas
Es decir, todo lo que tenemos sobre tu empresa.
Eliminar tu cuenta
Es permanente
Una vez eliminada tu cuenta, no podemos recuperarla. Si decides regresar, empiezas de cero, incluyendo la sincronización inicial.
Para eliminar:
- Ve a "Configuración → Eliminar cuenta"
- Confirma con tu contraseña
- Recibirás un correo de confirmación
En las siguientes 24 a 48 horas:
- Borramos todos tus datos en fondflex (Mongo, S3, logs).
- Le pedimos a Belvo que elimine tu vinculación.
- Tu cuenta y todo lo asociado desaparece.
Si después necesitas confirmación de la eliminación, escríbenos a privacidad@fondflex.com y te enviamos el comprobante.
Tus derechos bajo la Ley Federal de Protección de Datos Personales (LFPDPPP)
Como ciudadano mexicano tienes derechos ARCO sobre tus datos:
| Derecho | Cómo lo ejerces |
|---|---|
| Acceso | Ver qué datos tenemos. Usa "Exportar datos". |
| Rectificación | Corregir datos incorrectos. La mayoría se corrige actualizando en el SAT y resincronizando. Para el resto, escríbenos. |
| Cancelación | Eliminar tus datos. Usa "Eliminar cuenta". |
| Oposición | Oponerte a procesamiento específico. Escríbenos a privacidad@fondflex.com con el detalle. |
Por ley, nuestro Aviso de Privacidad Integral está disponible en www.fondflex.com/privacidad.
Si detectas algo sospechoso
Si recibes correos extraños que dicen ser de fondflex, accesos que no reconoces, o cualquier comportamiento sospechoso de tu cuenta:
- Cambia tu contraseña de fondflex inmediatamente.
- Cambia tu CIEC en el portal del SAT.
- Escríbenos a seguridad@fondflex.com con el detalle.
Investigamos cada reporte y te tendremos respuesta dentro de 48 horas.
Próximos pasos
- Cómo conectar tu RFC al SAT — el proceso paso a paso de la conexión inicial
- Preguntas frecuentes — más dudas comunes