Política de privacidad

Última actualización: 2026-07-10

Wisenomy es un proyecto open-source autoalojable. Esta política describe el comportamiento del software por defecto. Si estás usando una instancia desplegada por un tercero, la responsabilidad sobre tus datos recae en quien la opere.
Datos que almacena la aplicación
  • Cuenta: nombre, email y contraseña (esta última cifrada con bcrypt, nunca en texto plano).
  • Uso: grupos creados, participantes, transacciones, miembros e invitaciones.
  • Seguridad: dirección IP e intentos de inicio de sesión recientes (protección anti-fuerza-bruta).

Todos los datos se guardan en una base de datos local (SQLite por defecto, opcionalmente PostgreSQL en despliegues). No hay base de datos central compartida entre instancias.

Lo que la aplicación NO hace
  • No envía datos personales a terceros con fines comerciales.
  • No usa cookies de seguimiento, ni Google Analytics, ni píxeles publicitarios.
  • No realiza perfilado ni decisiones automatizadas sobre los usuarios.
  • No vende ni cede datos a anunciantes (no hay anunciantes).
Servicios externos invocados
  • API de tipos de cambio: api.frankfurter.dev (datos del Banco Central Europeo). Solo se envía la divisa consultada, ningún dato personal.
  • CDN de Bootstrap: cdn.jsdelivr.net para servir CSS/JS. Tu navegador realiza peticiones a este CDN, que puede registrar la IP y el User-Agent. Si esto te preocupa, autoaloja los recursos estáticos.
Cookies

Wisenomy utiliza una única cookie técnica de sesión (PHPSESSID), imprescindible para mantenerte identificado mientras navegas. Es HttpOnly y SameSite=Lax, y se transmite solo por HTTPS en despliegues. Conforme al artículo 22.2 de la LSSI no requiere consentimiento previo.

Conservación y eliminación

Tus datos se conservan mientras tu cuenta esté activa. Desde tu perfil puedes:

  • Cambiar tu nombre y contraseña en cualquier momento.
  • Eliminar tu cuenta de forma permanente. Esta acción borra en cascada todos los grupos que creaste, sus participantes, transacciones, invitaciones y tu membresía en grupos ajenos. La eliminación es inmediata e irreversible.

Los registros de intentos de inicio de sesión se purgan automáticamente tras 24 horas.

Tus derechos

Si usas una instancia operada por un tercero, este es el responsable del tratamiento y puedes ejercer ante él los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad reconocidos por el RGPD. En las instancias públicas, los datos de contacto del responsable se publicarán en el aviso legal correspondiente.

En la instancia oficial del proyecto, los derechos pueden ejercerse desde la propia interfaz (edición de perfil y eliminación de cuenta). Para cualquier otra cuestión, abre una issue en el repositorio.

Medidas de seguridad implementadas
  • Contraseñas cifradas con bcrypt.
  • Protección CSRF en todos los formularios.
  • Limitación de intentos de inicio de sesión (5 fallos / 15 min).
  • Cookies de sesión HttpOnly + SameSite=Lax.
  • Cabeceras de seguridad: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, HSTS (en HTTPS).
  • Política de contraseñas fuertes (mín. 8 caracteres, mayúsculas, minúsculas, número, especial).
Volver