Términos y Condiciones de Uso

1. Aceptación de los Términos

Al descargar, instalar o utilizar la aplicación móvil HAX (en adelante, "la App"), usted (en adelante, "el Usuario") acepta obligarse conforme a los presentes Términos y Condiciones de Uso. Si el Usuario no está de acuerdo con estos Términos, deberá abstenerse de utilizar la App.

La App es propiedad de Sistema de Historial Médico Universal, S.A.P.I. de C.V. ("HAX"), con domicilio en Sabinas #908, San Nicolás de los Garza, Nuevo León, México.

Los presentes Términos son independientes y complementarios al Aviso de Privacidad Integral y al Consentimiento Biométrico, los cuales forman parte integral del servicio y deberán ser aceptados durante el proceso de registro.

2. Descripción del servicio

HAX es una plataforma tecnológica que permite al Usuario realizar pagos en establecimientos afiliados mediante autenticación biométrica de huella dactilar. El servicio comprende:

• Creación y administración de cuenta de usuario
• Vinculación de tarjetas de débito o crédito mediante tokenización segura
• Firma del Consentimiento Biométrico con firma digital durante el registro
• Registro biométrico de huellas dactilares (enrollment presencial en establecimientos afiliados)
• Autenticación biométrica para autorización de pagos
• Consulta de historial de transacciones y comprobantes
• Configuración de preferencias de seguridad personal

HAX no es una institución financiera, no ofrece servicios bancarios, crediticios ni de fondos de pago electrónico. Todos los pagos son procesados por Stripe, Inc., procesador de pagos autorizado. HAX actúa exclusivamente como plataforma tecnológica de autenticación.

3. Requisitos de uso

Para utilizar la plataforma HAX, el Usuario debe cumplir con los siguientes requisitos:

• Ser mayor de 18 años y contar con plena capacidad legal para obligarse
• Ser titular legítimo de la tarjeta de débito o crédito que vincule a la plataforma
• Proporcionar información veraz, completa y actualizada durante el registro y mantener su actualización
• Contar con un dispositivo móvil compatible con la versión mínima requerida de la App
• Otorgar consentimiento biométrico expreso mediante firma digital durante el proceso de registro
• Aceptar el Aviso de Privacidad Integral y los presentes Términos y Condiciones

Declaración de veracidad

El Usuario declara bajo protesta de decir verdad que la información proporcionada a HAX (incluyendo nombre completo, fecha de nacimiento, identidad, correo electrónico, teléfono y titularidad de instrumentos de pago) es veraz, completa y actualizada. El Usuario se obliga a mantener actualizada su información de contacto y a notificar a HAX cualquier cambio relevante mediante la App o por correo a soporte@hax.com.mx.

HAX se reserva el derecho de suspender o cancelar cuentas registradas con información falsa, incompleta o que presenten irregularidades, sin responsabilidad y sin necesidad de previo aviso.

4. Registro de cuenta y proceso de onboarding

El proceso de registro en HAX se realiza en una sola ocasión, la primera vez que el Usuario abre la App, y consta de los siguientes pasos principales:

• Creación de cuenta con correo electrónico verificable
• Captura de datos de identificación, incluyendo fecha de nacimiento para verificación de mayoría de edad
• Aceptación del Aviso de Privacidad Integral
• Aceptación de los presentes Términos y Condiciones
• Lectura completa (scroll requerido) del Consentimiento Biométrico
• Firma digital del Consentimiento Biométrico mediante canvas táctil
• Configuración inicial del perfil

El Consentimiento Biométrico se firma durante el registro, antes de cualquier recolección de datos biométricos. Esto garantiza que el consentimiento es previo, informado y documentado conforme a la LFPDPPP. La firma digital queda almacenada junto con la versión del documento, la fecha y hora (timestamp UTC), el modelo del dispositivo, versión del sistema operativo, versión de la App, la dirección IP y un hash criptográfico del documento firmado.

El Usuario es responsable de mantener actualizada su información de contacto y de proteger sus credenciales de acceso. El Usuario será responsable de todas las operaciones realizadas desde su cuenta.

5. Registro biométrico (enrollment)

El registro biométrico de huellas dactilares se realiza de manera presencial en establecimientos afiliados a HAX, mediante lectores biométricos autorizados conectados al dispositivo del operador. Este proceso requiere la presencia física del Usuario y se lleva a cabo bajo la supervisión de un operador autorizado.

5.1 Requisitos previos al enrollment

Para que un establecimiento pueda registrar las huellas dactilares del Usuario, la App verificará automáticamente que:

• El Usuario tenga una cuenta activa en HAX
• El Usuario haya firmado el Consentimiento Biométrico durante su registro
• El Usuario haya declarado ser mayor de 18 años

Si el Usuario no ha firmado el Consentimiento Biométrico, el sistema no permitirá el registro de huellas bajo ninguna circunstancia.

5.2 Características del enrollment

• Se registran plantillas biométricas de huellas dactilares, no imágenes fotográficas
• Las plantillas se almacenan cifradas (AES-256 con gestión KMS) en los servidores de HAX
• El establecimiento no tiene acceso a los datos biométricos del Usuario
• El enrollment puede realizarse en cualquier establecimiento afiliado a HAX
• Una vez enrolado, el Usuario puede pagar en cualquier establecimiento afiliado sin re-enrolamiento

5.3 Vinculación de huellas a tarjetas (Finger Bindings)

El Usuario podrá vincular huellas dactilares específicas a tarjetas específicas. Al momento de pagar, la huella utilizada para autenticarse determinará automáticamente con cuál tarjeta se procesará el cargo. Esta configuración puede modificarse en cualquier momento desde la App.

5.4 Sello biométrico del Consentimiento

La primera huella registrada por el Usuario durante su enrollment se utilizará, además de su propósito de autenticación para pagos, como sello biométrico complementario del Consentimiento Biométrico previamente firmado digitalmente en la App. Esta vinculación criptográfica entre firma digital y huella enrolada refuerza la validez probatoria del consentimiento y constituye evidencia adicional de identidad física del Usuario para efectos legales, de auditoría y de no-repudio ante disputas.

El sellado biométrico es automático y transparente para el Usuario; no requiere acciones adicionales más allá del enrollment normal. La vinculación se realiza mediante hash criptográfico que combina el identificador del consentimiento, el identificador de la plantilla biométrica y una marca temporal UTC.

6. Autorización de pagos

Cada pago procesado a través de HAX requiere una autenticación biométrica exitosa. Al colocar su huella dactilar en el lector biométrico de un establecimiento afiliado, el Usuario autoriza expresamente el cargo correspondiente a la tarjeta vinculada a dicha huella.

Firma electrónica avanzada

Esta autorización biométrica, combinada con el registro criptográfico inmutable generado por el sistema (recibo firmado digitalmente por HAX, hash del consentimiento, timestamp UTC, identificadores técnicos del lector y del dispositivo iPad institucional, y sello biométrico del consentimiento), constituye firma electrónica avanzada para efectos de los artículos 89, 90 y 90 Bis del Código de Comercio y disposiciones análogas aplicables.

La autorización biométrica tiene las siguientes implicaciones legales:

• Constituye una autorización de pago presencial válida y vinculante
• Constituye firma electrónica avanzada del Usuario
• Genera un registro de evidencia inmutable que incluye: timestamp UTC, identificación del establecimiento, monto, dedo utilizado, identificador del lector, operador que procesó, y resultado de la autenticación
• La autenticación biométrica exitosa constituye prueba de no-repudio de que el titular de la cuenta autorizó el cargo

El cargo se realizará en tiempo real contra la tarjeta vinculada. El Usuario recibirá una confirmación de la transacción mediante notificación push y correo electrónico. El monto cobrado será el indicado por el establecimiento al momento de la transacción, visible en pantalla antes de colocar la huella.

7. Procesamiento de pagos y seguridad financiera

Todos los pagos se procesan a través de Stripe, Inc. mediante tokenización segura. Esto significa que:

• HAX no almacena, procesa ni tiene acceso a números de tarjeta, códigos CVV ni datos bancarios del Usuario
• Los datos de la tarjeta se tokenizan directamente en los servidores de Stripe al momento de la vinculación
• Los cargos se procesan en tiempo real mediante tokens seguros
• HAX no recibe, retiene ni administra los fondos de las transacciones en ningún momento

HAX no es responsable por rechazos de cargo derivados de decisiones del banco emisor de la tarjeta del Usuario, fondos insuficientes, tarjetas bloqueadas, límites de crédito excedidos u otras restricciones bancarias.

8. Herramientas de seguridad personal del Usuario

HAX pone a disposición del Usuario diversas herramientas de seguridad que el Usuario puede configurar voluntariamente desde la App. El uso de estas herramientas es opcional; sin embargo, HAX recomienda activarlas para mayor seguridad:

8.1 Límite por transacción

El Usuario puede configurar un monto máximo por transacción. Transacciones que excedan dicho límite serán rechazadas automáticamente. El Usuario puede modificar el límite en cualquier momento desde la App.

8.2 Dedo de pánico

El Usuario puede designar un dedo específico como "dedo de pánico" para situaciones de coacción. Si el Usuario utiliza dicho dedo en una transacción, el sistema podrá aplicar medidas automáticas de protección incluyendo: bloqueo temporal de la cuenta, notificación al Usuario, notificación a su contacto de confianza designado, y alerta a soporte de HAX. El funcionamiento específico, configuración y consecuencias del uso del dedo de pánico se describen en la App. El Usuario reconoce que el uso accidental del dedo de pánico activará el bloqueo automático y es responsable de elegir un dedo que no utilice normalmente para pagos.

8.3 Contacto de confianza

El Usuario puede designar opcionalmente a una persona de confianza que será notificada por correo electrónico en caso de activación del dedo de pánico u otros eventos críticos de seguridad. El Usuario es responsable de obtener el consentimiento de dicha persona para recibir estas notificaciones.

8.4 Congelamiento de cuenta

El Usuario puede congelar temporalmente su cuenta desde la App, inhabilitando cobros, cambios de configuración sensibles y vinculación de tarjetas. El descongelamiento requiere autenticación adicional.

8.5 Notificaciones de seguridad

El Usuario recibirá notificaciones automáticas ante eventos relevantes: nuevas transacciones, vinculación de nuevas tarjetas, cambios en configuración sensible, enrollment en nueva institución, inicios de sesión desde dispositivos nuevos. El Usuario es responsable de mantener activas estas notificaciones.

9. Aclaraciones, disputas y contracargos

Si el Usuario no reconoce un cargo realizado a través de HAX, deberá notificarlo a soporte@hax.com.mx preferentemente dentro de las 72 horas siguientes a la transacción.

Las aclaraciones serán evaluadas considerando los registros de autenticación biométrica, el registro criptográfico de la transacción (recibo criptográfico firmado por HAX), el sello biométrico del consentimiento, la bitácora del operador y cualquier evidencia adicional que aporte el establecimiento afiliado.

Validez probatoria: La autenticación biométrica exitosa combinada con el recibo criptográfico y el sello biométrico del consentimiento constituye evidencia de firma electrónica avanzada conforme al Código de Comercio, y será considerada prueba de que el titular de la cuenta autorizó el cargo. El Usuario reconoce el valor probatorio de estos registros.

Flujo de resolución

1. Usuario reporta disputa mediante App, correo o teléfono
2. HAX marca la transacción como disputada y notifica al establecimiento afiliado
3. El establecimiento afiliado cuenta con 72 horas para responder con evidencia
4. HAX facilita la comunicación entre las partes y aporta la evidencia técnica disponible
5. Si no hay acuerdo, el Usuario puede escalar el caso a su banco emisor mediante el proceso de contracargo estándar

HAX no garantiza reembolsos. Las disputas formales con el banco emisor se resolverán conforme a las reglas y procedimientos del banco y de Stripe, sobre los cuales HAX no tiene control.

10. Responsabilidad del Usuario

El Usuario se compromete a:

• No permitir que terceros utilicen su cuenta o sus huellas registradas para realizar pagos
• No coaccionar ni forzar a terceros a registrar sus huellas o realizar pagos en su nombre
• No intentar registrar huellas de terceros en su cuenta
• Utilizar la App únicamente para fines lícitos y legítimos
• No intentar eludir, vulnerar, atacar o comprometer los mecanismos de seguridad de la plataforma
• No realizar ingeniería inversa, descompilación, análisis de vulnerabilidades o pruebas de penetración sin autorización previa y por escrito de HAX
• Notificar inmediatamente a HAX en caso de pérdida de control sobre su cuenta, dispositivo o sospecha de uso no autorizado
• Notificar inmediatamente cualquier sospecha de fraude o actividad irregular
• Mantener actualizada su información de contacto
• Proteger la confidencialidad de sus credenciales de acceso
• Abstenerse de utilizar la App si es menor de edad sin consentimiento verificable de su tutor legal conforme a los procedimientos de HAX

El Usuario es responsable de todas las transacciones autorizadas mediante sus huellas dactilares registradas. HAX no será responsable por cargos realizados mediante autenticación biométrica legítima del Usuario.

11. Exactitud del sistema biométrico

El Usuario reconoce y acepta que los sistemas de autenticación biométrica, por su naturaleza, no son infalibles. Puede presentarse ocasionalmente:

• Falsos rechazos: la huella del Usuario no es reconocida a pesar de ser legítima
• Fallas de lectura derivadas de dedos húmedos, sucios, lesionados o con desgaste natural
• Fallas temporales del hardware biométrico

HAX no garantiza que la autenticación biométrica sea exitosa en el 100% de los intentos. En caso de fallas persistentes, el Usuario podrá contactar a soporte técnico para recalibrar o actualizar su registro biométrico, o solicitar revisión humana del caso. HAX utiliza algoritmos automatizados de matching biométrico que operan bajo parámetros deterministas de similitud y no constituyen decisiones automatizadas con efectos jurídicos adversos.

12. Establecimientos afiliados

Los establecimientos que aceptan pagos mediante HAX son terceros independientes que operan bajo su propia responsabilidad. HAX no es responsable por la calidad, precio, disponibilidad, garantía o entrega de los productos o servicios ofrecidos por los establecimientos afiliados. Cualquier reclamación relacionada con productos o servicios deberá dirigirse directamente al establecimiento correspondiente.

HAX no avala, recomienda ni certifica la calidad de los establecimientos afiliados. La afiliación a HAX únicamente indica que el establecimiento ha contratado el servicio de procesamiento de pagos biométricos.

13. Cancelación de cuenta

El Usuario puede solicitar la cancelación de su cuenta en cualquier momento desde la configuración de la App o mediante correo a soporte@hax.com.mx. Al cancelar la cuenta:

• Todas las tarjetas vinculadas se desvincularán automáticamente
• Los datos biométricos (plantillas de huellas) se eliminarán en un plazo máximo de 30 días naturales mediante destrucción criptográfica de las llaves asociadas
• El historial de transacciones podrá conservarse conforme a la legislación fiscal y comercial aplicable (hasta 5 años)
• Las transacciones pendientes al momento de la cancelación se procesarán normalmente

La cancelación de cuenta no exime al Usuario de las obligaciones derivadas de transacciones realizadas con anterioridad.

Política de inactividad (dormancy)

En caso de inactividad prolongada del Usuario (sin transacciones, sin login y sin cambios de configuración por 72 meses continuos), HAX procederá al cierre automático de la cuenta y eliminación irreversible de las Plantillas Biométricas, previa notificación progresiva al correo electrónico registrado a los 12, 24 y 48 meses.

Proceso post-mortem

En caso de fallecimiento del Usuario, sus causahabientes podrán solicitar la cancelación de la cuenta y eliminación irreversible de los datos biométricos mediante solicitud a soporte@hax.com.mx, acompañada de acta de defunción, identificación oficial del solicitante y documento que acredite parentesco o derecho.

14. Revocación del consentimiento biométrico

El Usuario puede revocar su consentimiento biométrico en cualquier momento desde la configuración de la App o mediante solicitud escrita a legal@hax.com.mx. Al revocar el consentimiento:

• Los datos biométricos se eliminarán en un plazo máximo de 30 días naturales
• El Usuario no podrá realizar pagos biométricos hasta otorgar un nuevo consentimiento y registrar nuevas huellas
• La cuenta del Usuario permanecerá activa, pero con funcionalidad limitada a consulta de historial

La revocación del consentimiento biométrico no implica la cancelación de la cuenta.

15. Propiedad intelectual

Todo el software, código fuente, diseño, algoritmos, sistema de autenticación biométrica, arquitectura técnica y contenido de la plataforma HAX son propiedad exclusiva de Sistema de Historial Médico Universal, S.A.P.I. de C.V. El Usuario recibe únicamente una licencia de uso limitada, personal, no exclusiva, intransferible y revocable para utilizar la App conforme a los presentes Términos.

Queda prohibida la reproducción, distribución, modificación, ingeniería inversa, descompilación o cualquier uso no autorizado del software o contenido de HAX. El Usuario no podrá realizar análisis de vulnerabilidades, pruebas de penetración ni escaneo de la plataforma sin autorización previa y por escrito de HAX.

16. Disponibilidad del servicio

HAX realizará esfuerzos razonables para mantener la disponibilidad de la plataforma. Sin embargo, HAX no garantiza un servicio continuo ni ininterrumpido. El servicio puede verse afectado por interrupciones derivadas de la conexión a internet del Usuario, interrupciones en los servicios de Stripe, interrupciones en la infraestructura cloud, mantenimiento programado o fallas técnicas imprevistas.

17. Limitación de responsabilidad

En la máxima medida permitida por la legislación aplicable, HAX no será responsable por:

• Cargos válidamente autorizados mediante autenticación biométrica del Usuario
• Información falsa o imprecisa proporcionada por el Usuario al registrarse o durante el uso
• Uso de la App por menores de edad que hayan declarado falsamente ser mayores
• Interrupciones del servicio derivadas de fallas en internet, infraestructura cloud o servicios de Stripe
• Fallas en el hardware biométrico de los establecimientos
• Decisiones del banco emisor respecto a cargos, rechazos o contracargos
• Pérdidas derivadas del uso no autorizado de la cuenta del Usuario por falta de protección de credenciales por parte del propio Usuario
• Calidad, entrega o cualquier aspecto de los productos o servicios de establecimientos afiliados
• Eventos de fuerza mayor (desastres naturales, apagones, ataques cibernéticos, fallas masivas de telecomunicaciones)
• Acciones de terceros fuera del control razonable de HAX

18. Límite de responsabilidad económica

La responsabilidad total acumulada de HAX frente al Usuario, por cualquier concepto y bajo cualquier teoría legal, se limitará al monto total de las comisiones efectivamente cobradas al Usuario por HAX (si las hubiere) durante los 12 (doce) meses inmediatos anteriores al evento que dé origen a la reclamación. En caso de que HAX no cobre comisiones directas al Usuario, la responsabilidad máxima se limitará a la cantidad de $1,000.00 MXN (mil pesos 00/100 Moneda Nacional).

19. Indemnización por el Usuario

El Usuario se obliga a indemnizar y sacar en paz y a salvo a HAX, sus directivos, empleados y representantes, de cualquier reclamación, demanda, daño, pérdida, multa, costo o gasto (incluyendo honorarios razonables de abogados) que se derive de:

• Información falsa o imprecisa proporcionada por el Usuario
• Uso de la App por el Usuario en violación de los presentes Términos
• Uso fraudulento o ilícito de la plataforma por parte del Usuario
• Violación de leyes o regulaciones aplicables por parte del Usuario
• Uso no autorizado de la cuenta por falta de protección de credenciales
• Reclamaciones de terceros derivadas de acciones del Usuario
• Uso de la App por menores de edad bajo supervisión o facilitación del Usuario

20. Suspensión de cuenta

HAX se reserva el derecho de suspender temporal o permanentemente la cuenta del Usuario, sin previo aviso, en los siguientes casos:

• Sospecha razonable de actividad fraudulenta
• Riesgo identificado por los sistemas antifraude de HAX o de Stripe
• Orden o requerimiento de autoridad competente
• Incumplimiento de los presentes Términos, del Aviso de Privacidad o del Consentimiento Biométrico
• Información falsa o inconsistente detectada en la cuenta del Usuario
• Detección de uso por menores de edad sin consentimiento válido de tutor
• Detección de patrones anómalos de comportamiento compatibles con fraude, lavado u otras conductas ilícitas

La suspensión no generará derecho a indemnización alguna a favor del Usuario. HAX notificará al Usuario las razones de la suspensión cuando la ley lo permita y las circunstancias del caso no lo impidan.

21. Seguridad

HAX implementa medidas de seguridad técnicas, administrativas y físicas para proteger los datos personales y biométricos del Usuario, alineadas con estándares reconocidos internacionalmente (NIST SP 800-57 para gestión de llaves criptográficas, ISO/IEC 27001 como marco de seguridad de la información, ISO/IEC 24745 para protección de información biométrica). Las medidas incluyen cifrado AES-256 en reposo, cifrado TLS 1.3 en tránsito, control de acceso basado en roles, registro de auditoría inmutable de todas las operaciones, monitoreo continuo de seguridad y protocolo de respuesta a incidentes con notificación al INAI dentro de 72 horas cuando corresponda.

22. Modificaciones

HAX se reserva el derecho de modificar los presentes Términos y Condiciones en cualquier momento. Cualquier modificación será notificada al Usuario a través de la App con al menos 15 (quince) días naturales de anticipación a su entrada en vigor. El uso continuado de la plataforma después de la fecha de entrada en vigor constituirá la aceptación de los nuevos Términos.

Las actualizaciones tecnológicas de los componentes biométricos de la plataforma (algoritmos, formatos de plantilla, proveedores de SDK) que no modifiquen las finalidades del tratamiento ni reduzcan las medidas de seguridad no constituyen modificación sustancial y no requieren renovación del consentimiento.

23. Fuerza mayor

HAX no será responsable por el incumplimiento de sus obligaciones cuando éste se deba a causas de fuerza mayor o caso fortuito, incluyendo sin limitación: desastres naturales, pandemias, apagones generalizados, ataques cibernéticos a infraestructura crítica, fallas masivas en telecomunicaciones, cambios regulatorios, actos de autoridad, fallas de terceros críticos (Stripe, AWS, Firebase, Apple, Google) o cualquier evento fuera del control razonable de HAX.

24. Ley aplicable y jurisdicción

Los presentes Términos y Condiciones se rigen e interpretan conforme a las leyes de los Estados Unidos Mexicanos. Para la interpretación, cumplimiento y ejecución de los presentes Términos, las partes se someten expresamente a la jurisdicción de los tribunales competentes en la ciudad de Monterrey, Nuevo León, renunciando a cualquier otro fuero que por razón de sus domicilios presentes o futuros pudiera corresponderles.

25. Contacto