HAX · Pagos biométricos

Aviso de Privacidad

Aplicación HAX — Institución (Operador)

Versión: 1.1 Fecha: Abril 2026 Vigente
Descargar versión PDF

1. Identidad del responsable

Sistema de Historial Médico Universal, S.A.P.I. de C.V. (en adelante "HAX"), con domicilio en Sabinas #908, San Nicolás de los Garza, Nuevo León, México, es responsable del tratamiento de los datos personales recabados a través de la aplicación HAX Operador.

2. Datos personales que recabamos

2.1 Datos de la Institución (Persona Moral)

HAX podrá recabar los siguientes datos de la Institución:

  • Razón social
  • RFC
  • Domicilio fiscal
  • Giro comercial
  • Dirección del establecimiento
  • Nombre del representante legal
  • Correo electrónico del representante legal
  • Teléfono de contacto
  • Identificadores de cuenta Stripe Connect (ej. acct_xxx)
  • Información de verificación solicitada por Stripe Connect

2.2 Datos del Personal Operador

HAX podrá recabar los siguientes datos del personal operador (Owner, Supervisor y Cajero):

  • Nombre completo
  • Correo electrónico
  • Número telefónico
  • Rol dentro de la plataforma (Owner, Supervisor, Cajero)
  • Historial de accesos
  • Bitácora de actividad dentro de la aplicación
  • Identificadores técnicos del dispositivo (device_id) autorizado para operar

2.3 Datos Financieros

HAX NO recaba ni almacena números de tarjeta, códigos CVV, fechas de expiración, CLABEs bancarias ni cuentas bancarias. Toda la información bancaria es administrada exclusivamente por Stripe, Inc. mediante su plataforma Stripe Connect.

HAX únicamente almacena:

  • ID de cuenta conectada (acct_xxx)
  • ID de método de pago tokenizado (pm_xxx)
  • Identificadores de transacciones
  • Montos, fechas y estatus de pago

Los pagos se procesan mediante tokenización segura, sin que los datos financieros pasen por servidores de HAX.

2.4 Datos Biométricos

HAX NO recaba datos biométricos del personal operador ni de la Institución. Los datos biométricos corresponden exclusivamente a los clientes finales, bajo su consentimiento expreso y conforme al Aviso de Privacidad de Usuarios.

La Institución no tiene acceso a datos biométricos de clientes. La Institución únicamente recibe:

  • Confirmación de autenticación
  • Nombre del cliente
  • Resultado de la transacción

3. Finalidades del tratamiento

3.1 Finalidades Primarias

Los datos personales serán utilizados para:

  • Crear y administrar la cuenta de la Institución
  • Verificar identidad conforme a requisitos de Stripe Connect
  • Permitir el uso de la aplicación HAX
  • Procesar pagos biométricos mediante Stripe
  • Liquidar pagos a favor de la Institución
  • Generar reportes de transacciones
  • Permitir acceso al dashboard
  • Administrar operadores
  • Registrar actividades en bitácora de auditoría
  • Detectar y prevenir fraude
  • Autorizar y gestionar lectores biométricos y dispositivos iPad asignados a la Institución
  • Brindar soporte técnico
  • Cumplir obligaciones fiscales, legales y regulatorias

3.2 Finalidades Secundarias

Los datos podrán utilizarse para:

  • Informar actualizaciones de la plataforma
  • Notificar nuevas funcionalidades
  • Compartir recomendaciones operativas y mejores prácticas

La Institución podrá solicitar la cancelación de finalidades secundarias mediante correo a legal@hax.com.mx.

4. Base legal del tratamiento

El tratamiento de datos personales se realiza con fundamento en:

  • El consentimiento otorgado por la Institución
  • La relación contractual entre HAX y la Institución (Contrato de Prestación de Servicios)
  • El cumplimiento de obligaciones legales y fiscales
  • La prevención de fraude

5. Transferencias de datos

Los datos personales podrán transferirse a los siguientes terceros:

Destinatario Finalidad Datos transferidos
Stripe, Inc. Creación y administración de cuenta conectada, procesamiento de pagos Datos fiscales, bancarios, representante legal, información de verificación KYC
Amazon Web Services (AWS) Hospedaje de infraestructura cloud, gestión de llaves criptográficas Datos almacenados cifrados en tránsito y en reposo
Google Firebase Autenticación de operadores, base de datos, notificaciones push Email, identificadores de usuario, tokens de sesión

Stripe actúa como responsable independiente del tratamiento de datos financieros. Todas las transferencias se realizan bajo medidas de seguridad y confidencialidad conforme a la legislación mexicana.

Importante La Institución NO tiene acceso a los datos biométricos de sus clientes a través de la plataforma. La Institución únicamente recibe confirmación de autenticación y el nombre del cliente para efectos de la transacción.

6. Responsabilidad sobre datos de clientes finales

HAX es responsable del tratamiento de los datos biométricos de los clientes finales. La Institución se obliga a:

  • Verificar que el cliente haya otorgado consentimiento biométrico previo al enrollment (la plataforma lo valida automáticamente)
  • No almacenar datos biométricos fuera de la plataforma HAX
  • No solicitar huellas dactilares fuera del sistema HAX
  • Informar a los clientes que el establecimiento utiliza autenticación biométrica para pagos
  • Cooperar con HAX en la atención de solicitudes ARCO de clientes finales
  • Abstenerse de enrolar a menores de edad; la plataforma HAX está diseñada exclusivamente para personas mayores de 18 años
  • Reportar a HAX dentro de 24 horas cualquier incidente de seguridad, pérdida o robo de lector biométrico, o acceso no autorizado

7. Seguridad de la información

HAX implementa medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales, alineadas con estándares reconocidos internacionalmente (NIST SP 800-57 para gestión de llaves criptográficas, ISO/IEC 27001 como marco de seguridad de la información), incluyendo:

  • Cifrado HTTPS/TLS 1.3 en todas las comunicaciones
  • Cifrado AES-256 de bases de datos en reposo mediante servicio KMS
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio
  • Autenticación multifactor (MFA) obligatoria para personal administrativo
  • Autorización por dispositivo (device_id) para iPads de operadores
  • Autorización por número de serie para lectores biométricos
  • Registro completo de auditoría de acciones de operadores
  • Monitoreo continuo de seguridad y detección de patrones anómalos
  • Respaldos cifrados periódicos con pruebas de restauración
  • Firewall de aplicación web (WAF) y protección contra ataques de denegación de servicio
  • Protección contra accesos no autorizados

Protocolo de respuesta a incidentes

HAX mantiene un protocolo documentado de respuesta a incidentes de seguridad que incluye: contención inmediata, preservación de evidencia forense, investigación de causa raíz, notificación al INAI dentro de las 72 horas en los casos previstos por la LFPDPPP, notificación a la Institución y a los titulares afectados cuando exista riesgo significativo, medidas correctivas y análisis post-mortem.

8. Bitácora de auditoría

Todas las acciones realizadas en la aplicación de operador quedan registradas en una bitácora que incluye:

  • Usuario operador que realizó la acción (UID)
  • Fecha y hora (timestamp UTC)
  • Tipo de acción (cobro, enrollment, consulta, modificación, etc.)
  • Resultado de la acción (éxito, falla, error específico)
  • Dispositivo utilizado (device_id del iPad)
  • Lector utilizado (serial number) cuando aplique
  • Referencias técnicas para auditoría y no-repudio

Esta información se conserva por el periodo que requiera la legislación aplicable y las obligaciones fiscales.

9. Conservación de datos

Los datos personales se conservarán durante los siguientes períodos:

Categoría de datos Período de conservación
Datos de la Institución Durante la vigencia del Contrato y 5 años posteriores a su terminación, conforme a obligaciones fiscales
Datos del personal operador Durante su rol activo y 2 años posteriores para auditoría
Historial de transacciones 5 años desde la fecha de cada transacción
Bitácoras de auditoría Mínimo 12 meses, máximo 5 años según tipo de evento
Datos fiscales y contractuales Conforme a legislación fiscal vigente (mínimo 5 años)

Una vez concluidos los períodos de conservación, los datos serán eliminados o anonimizados de forma segura.

10. Encargados del tratamiento

HAX podrá utilizar proveedores de servicios que actúan como encargados de tratamiento en las áreas de infraestructura cloud, autenticación y procesamiento de pagos. Dichos proveedores tratan los datos personales únicamente conforme a las instrucciones de HAX y bajo las medidas de seguridad correspondientes, con obligaciones contractuales de confidencialidad, seguridad y uso limitado.

11. Derechos ARCO

Los titulares de datos personales pueden ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición mediante solicitud dirigida a:

Correo: legal@hax.com.mx

La solicitud deberá incluir:

  • Nombre completo del titular
  • Copia de identificación oficial
  • Descripción clara y precisa de la solicitud
  • Medio preferido para recibir la respuesta

HAX dará respuesta en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud completa.

12. Revocación del consentimiento

La Institución puede revocar su consentimiento para el tratamiento de datos personales enviando solicitud por escrito a legal@hax.com.mx. La revocación del consentimiento podrá implicar la imposibilidad de continuar prestando el servicio y, en consecuencia, la cancelación de la cuenta de la Institución en la plataforma.

Los datos biométricos de los clientes finales enrolados en la Institución no se eliminan con la cancelación de la cuenta de la Institución, pues corresponden a los clientes y permanecen bajo custodia de HAX conforme a su propio consentimiento y relación directa con HAX. Lo que cesa es la habilitación de la Institución para procesar cobros.

13. Limitación de responsabilidad

La Institución es responsable de:

  • El uso adecuado de sus credenciales de acceso
  • La confidencialidad de las contraseñas de sus operadores
  • La revocación oportuna de accesos de personal que cause baja
  • El cuidado y custodia de los lectores biométricos y dispositivos iPad autorizados
  • El cumplimiento de sus obligaciones legales frente a sus clientes
  • La veracidad de la información proporcionada a HAX

HAX no será responsable por el uso indebido de credenciales de acceso por parte de la Institución o sus operadores, ni por acciones realizadas por terceros no autorizados a quienes la Institución haya facilitado credenciales o acceso a dispositivos autorizados.

14. Tecnología utilizada

La plataforma HAX opera mediante:

  • Aplicación nativa iOS (HAX Operador)
  • Lectores biométricos SecuGen conectados vía Bluetooth Low Energy (BLE)
  • Servicios cloud (Amazon Web Services, Google Firebase)
  • Procesador de pagos Stripe Connect

HAX no fabrica hardware biométrico. Los lectores de huellas son dispositivos de terceros integrados a la plataforma y están sujetos a las certificaciones y garantías del fabricante.

Actualizaciones tecnológicas

HAX podrá actualizar componentes tecnológicos subyacentes (algoritmos biométricos, formatos de plantilla, proveedores de SDK, infraestructura cloud) sin modificar las finalidades de tratamiento ni reducir las medidas de seguridad. Dichas actualizaciones no constituyen modificación sustancial del presente Aviso.

15. Modificaciones al Aviso de Privacidad

Cualquier modificación al presente Aviso de Privacidad será notificada a la Institución mediante la aplicación HAX y por correo electrónico, con al menos 30 días naturales de anticipación a su entrada en vigor.

16. Jurisdicción

El presente Aviso de Privacidad se rige por las leyes de los Estados Unidos Mexicanos. Para cualquier controversia derivada del mismo, las partes se someten a la jurisdicción de los tribunales competentes en el Estado de Nuevo León, renunciando a cualquier otro fuero que pudiera corresponderles.

17. Contacto

HAX

Sistema de Historial Médico Universal, S.A.P.I. de C.V.

Sabinas #908, San Nicolás de los Garza, Nuevo León, México

Asuntos legales y privacidad: legal@hax.com.mx Soporte técnico: soporte@hax.com.mx