Aviso de Privacidad

Transparencia y seguridad en el manejo de tu información fiscal

Última actualización: 16 de Julio de 2026
🇬🇧 English Summary (TL;DR) — click to expand

Plain-English overview for international readers and security reviewers. The full Spanish version below is the legally binding text under Mexico's LFPDPPP.

Controller. iAudita, operated by TsCancun, Av Chapultepec #417 A PH Col. Juárez, Mexico City CP 06000, Mexico. We are the data controller under Mexico's Federal Law on Protection of Personal Data Held by Private Parties (LFPDPPP).

Data we collect.

  • Identity & contact: name, Mexican tax ID (RFC), email, phone, fiscal address.
  • Fiscal credentials: Digital Stamp Certificates (CSD), Mexican e-signature files (e.firma / FIEL), private-key passwords (encrypted at rest with AES-256-GCM in an isolated vault), SAT (tax authority) portal credentials when needed.
  • Fiscal documents: issued and received electronic invoices (CFDIs), tax filings, SAT compliance opinions, banking movements.
  • Technical: IP, user agent, session and audit logs, essential cookies (CSRF, JWT session, preferences).
  • From OAuth providers (Google / Microsoft, optional): name, email, profile picture, provider sub. We never push your fiscal data to these providers — the flow is one-way (provider → iAudita).

We do not collect data classified as sensitive under LFPDPPP Art. 3 (race, health, religion, sexual orientation, political opinions). Fiscal data is treated as patrimonial/operational, not sensitive in the strict legal sense.

How we use it. Authentication; integration with Mexico's tax authority (SAT) for bulk invoice download; fiscal analysis, audit and reconciliation; SAT blacklist validation (EFOS / Art. 69-B); e-invoice issuance; support; fraud prevention; legal/regulatory compliance. Optional secondary purposes (newsletters, aggregate analytics) — you can opt out at [email protected] without losing service.

Who we share with.

  • Mexican tax authority (SAT) and Authorized Certifiers (PACs) — required by the nature of the service.
  • Infrastructure providers (data processors), bound by confidentiality and data-protection clauses equivalent to LFPDPPP: Cloudflare (US, DDoS / CDN / WAF), SMTP2GO (NZ / US, transactional email), Stripe (US, payment processing — we never store full card data, only Stripe tokens), Google LLC and Microsoft Corp. (US, optional OAuth login). These are international transfers; all listed providers comply with SOC 2, ISO 27001, or equivalent standards.
  • Third-party applications you explicitly authorize via our OAuth 2.1 / MCP API (e.g. AI assistants such as Anthropic's Claude or OpenAI's ChatGPT). You grant scoped access (mcp:read, mcp:write, profile) and can revoke it at any time from your settings.
  • Competent authorities when legally required.

We never sell or rent your data for advertising. Data is shared with third-party apps only after you give explicit, scoped consent.

Retention & deletion. While your subscription is active we keep fiscal data to provide the service. On cancellation — or when you remove an RFC from the platform, or upon a valid ARCO cancellation request — we email you a secure download link covering everything stored about your account (CFDIs, reports, uploaded files, certificates, audit logs). You have 30 calendar days to download the export. After 30 days, all data is permanently and irrecoverably deleted from our servers, and any third-party app access tokens are revoked. If you request immediate deletion (no download window), state so explicitly in your ARCO request.

Important note: Mexico's Federal Tax Code (Art. 30 CFF) places the obligation to keep accounting and fiscal records for 5–10 years on the taxpayer, not on iAudita. iAudita is a technology tool, not a fiscal-records depositary.

Your rights (ARCO + revocation). You may Access, Rectify, Cancel, Object, and revoke consent at any time. Send a request with a valid government ID to [email protected]. We respond within 20 business days (LFPDPPP Art. 32), extendable by 10 additional business days when complexity requires it. If you are dissatisfied with our response you may file a complaint with Mexico's data protection authority, INAI (www.inai.org.mx).

Security. TLS 1.2+ in transit (AES-256 ciphers). At-rest: passwords with double-hash (client + server), private-key vault with AES-256-GCM envelope encryption on an isolated network with no internet egress, master key kept outside the database. Multi-factor authentication available. Granular role-based access. Audit logging, intrusion detection, automatic IP jails against malicious scanning. Personnel with data access sign confidentiality agreements. Breach notification: per Art. 20 LFPDPPP we email affected users within 72 hours of detecting a security event that materially affects their patrimonial or moral rights, including incident nature, data scope, corrective actions, and recommendations.

e.firma (Mexican e-signature) — strict-use clause. The e.firma is used exclusively to authenticate against SAT for: (a) bulk metadata and XML download of CFDIs, (b) Buzón Tributario (mailbox) queries, (c) compliance-opinion (32-D) retrieval. We never use it to sign contracts, file annual returns, or issue invoices. The CSD (Digital Stamp Certificate) is used only inside the e-invoicing module under your explicit per-invoice instruction. Both can be removed instantly from Settings → Certificates.

Cookies & analytics. Inside the authenticated app: only essential cookies (CSRF, JWT session, user preferences). On public marketing pages: Google Analytics 4, Microsoft Clarity, Meta Pixel, Google reCAPTCHA v3 — all gated behind explicit consent (LFPDPPP-compliant cookie banner). No fiscal data is shared with these tools.

Contact. Privacy department: [email protected]. General support: [email protected]. Postal: Av Chapultepec #417 A PH Col. Juárez, Ciudad de México, CP 06000, Mexico.

For Anthropic / Google MCP & OAuth reviewers: this MCP server uses spec-compliant OAuth 2.1 with PKCE S256, Dynamic Client Registration (RFC 7591), and resource metadata (RFC 9728). Documentation at https://iaudita.com/MCP.

iAudita, operada por TsCancun (en adelante "El Responsable"), con domicilio fiscal en Av Chapultepec #417 A PH Col. Juárez, Ciudad de México, C.P. 06000, México, es responsable del tratamiento de sus datos personales conforme a lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Entendemos la importancia de la información contable y fiscal. Este Aviso de Privacidad detalla cómo protegemos los datos que usted nos proporciona para el uso de nuestra plataforma SaaS de auditoría y gestión fiscal.

1. Datos Personales que Recabamos

Para las finalidades descritas en el presente aviso, recabaremos los siguientes datos:

Datos de Identificación y Contacto

  • Nombre completo o Razón Social
  • Registro Federal de Contribuyentes (RFC)
  • Correo electrónico (para acceso al sistema y notificaciones)
  • Número de teléfono / WhatsApp (para verificación y notificaciones)
  • Domicilio fiscal

Datos Fiscales y Patrimoniales (Necesarios para el servicio)

  • Archivos de Certificados de Sello Digital (CSD)
  • Archivos de Firma Electrónica Avanzada (e.firma/FIEL) — Ver cláusula de seguridad en Sección 6
  • Contraseñas de claves privadas (almacenadas de forma encriptada)
  • Comprobantes Fiscales Digitales por Internet (CFDIs) emitidos y recibidos
  • Declaraciones fiscales y Opinión de Cumplimiento
  • Credenciales de acceso al portal del SAT (CIEC) si fueran requeridas

Datos Técnicos y de Uso

Para efectos de seguridad, prevención de fraudes y mejora del servicio, se registran automáticamente:

  • Dirección IP y tipo de dispositivo (User-Agent)
  • Fecha, hora y duración de cada acceso
  • Acciones realizadas dentro de la plataforma (logs de auditoría)
  • Cookies esenciales y tokens de sesión (ver Sección 5)

Permisos de Dispositivo y Archivos

Para el correcto funcionamiento de la plataforma web y la aplicación, podríamos requerir acceso a:

  • Almacenamiento de archivos: Para la carga ("upload") de archivos .XML, .PDF, certificados .CER y llaves privadas .KEY.
  • Cámara (opcional): En caso de requerir escaneo de códigos QR de constancias o facturas.

Datos Recibidos de Proveedores de Identidad

Si usted elige iniciar sesión mediante un proveedor de identidad externo (Google, Microsoft u otros disponibles), recibimos de dicho proveedor únicamente los siguientes datos:

  • Nombre y apellido
  • Dirección de correo electrónico
  • Fotografía de perfil (si está disponible)
  • Identificador único del proveedor (para vincular su cuenta)

iAudita no envía datos personales ni fiscales del usuario hacia estos proveedores de identidad. El flujo de datos es unidireccional: del proveedor hacia iAudita.

No recabamos datos personales sensibles en términos del artículo 3, fracción VI de la LFPDPPP (origen racial, estado de salud, creencias religiosas, orientación sexual, opiniones políticas, etc.). Los datos fiscales procesados se consideran patrimoniales y operativos, no sensibles en sentido estricto.

2. Finalidades del Tratamiento

Finalidades Primarias (Necesarias)

  • Autenticación y acceso seguro a la plataforma iAudita.
  • Conexión automatizada con los servicios del SAT para descarga de XMLs (metadata y archivos).
  • Análisis, auditoría y conciliación de información fiscal.
  • Generación de reportes de impuestos y validación de listas negras (EFOS/EDOS).
  • Facturación electrónica y timbrado.
  • Soporte técnico y atención a clientes.
  • Prevención de fraude, detección de uso indebido y protección de la seguridad del Servicio.
  • Cumplimiento de obligaciones legales, fiscales y regulatorias.

Finalidades Secundarias (Opcionales)

  • Envío de boletines sobre actualizaciones fiscales y mejoras del sistema.
  • Análisis estadístico anónimo para mejora del rendimiento de la aplicación.

Usted puede oponerse al tratamiento de sus datos para las finalidades secundarias enviando un correo a [email protected], sin que ello afecte la prestación del servicio principal.

Plazo de Conservación y Baja del Servicio:
Mientras su suscripción esté activa, iAudita conservará la información fiscal procesada para garantizar la continuidad del servicio. Al momento de cancelar su suscripción o eliminar una empresa (RFC) de la plataforma, iAudita conservará sus datos por un periodo de 30 días calendario, durante el cual se enviará al correo electrónico registrado un enlace seguro de descarga con la totalidad de la información asociada a su cuenta (CFDIs, reportes, archivos cargados, certificados, bitácoras, etc.).

Transcurridos esos 30 días sin que el usuario descargue la información, todos los datos se eliminarán de forma definitiva e irrecuperable de nuestros servidores.

Nota importante: La obligación de conservar información contable y fiscal por 5 a 10 años conforme al Código Fiscal de la Federación (Art. 30 CFF) corresponde al contribuyente, no a iAudita. iAudita actúa únicamente como una herramienta tecnológica de apoyo, no como depositario de archivos fiscales del usuario.

3. Transferencia de Datos

Sus datos personales pueden ser transferidos a las siguientes entidades:

Transferencias institucionales

  • Servicio de Administración Tributaria (SAT): Por la naturaleza misma del servicio de auditoría y facturación.
  • Proveedores Autorizados de Certificación (PAC): Para el timbrado de facturas (sólo la información necesaria del XML).
  • Autoridades Competentes: En los casos legalmente previstos.

Proveedores de infraestructura (encargados del tratamiento)

Para operar el Servicio utilizamos proveedores contractualmente vinculados a cláusulas de confidencialidad y protección de datos equivalentes a la LFPDPPP:

  • Cloudflare, Inc. (EE.UU.) — protección DDoS, CDN, WAF y enrutamiento de tráfico web.
  • SMTP2GO Ltd. (Nueva Zelanda / EE.UU.) — entrega de notificaciones y correos transaccionales.
  • Stripe Inc. (EE.UU.) — procesamiento de pagos y suscripciones. iAudita no almacena datos completos de tarjetas; únicamente tokens emitidos por Stripe.
  • Google LLC y Microsoft Corp. (EE.UU.) — autenticación OAuth opcional.
  • Servicios de correo electrónico (entrega, antispam): SMTP2GO y, en su caso, Microsoft 365.

Estas transferencias pueden implicar el envío de datos a servidores ubicados fuera de México (transferencia internacional). Todos los proveedores listados cumplen con estándares internacionales de seguridad (SOC 2, ISO 27001, o equivalentes).

Aplicaciones de Terceros autorizadas por el Usuario

Cuando usted autoriza explícitamente a una aplicación externa (por ejemplo, asistentes de inteligencia artificial como Claude de Anthropic o ChatGPT de OpenAI) a acceder a sus datos fiscales mediante nuestro protocolo de conexión (API/MCP), los datos consultados son transmitidos a los servidores de dicha aplicación. Esta transferencia puede implicar el envío de datos a servidores ubicados fuera de México. Usted puede revocar este acceso en cualquier momento. Ver Sección 7.

No vendemos ni rentamos su información a terceros con fines publicitarios. Los datos solo se comparten con aplicaciones externas cuando usted otorga su consentimiento explícito.

4. Derechos ARCO

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales, así como a revocar el consentimiento otorgado. Para ejercer estos derechos, envíe una solicitud a:

  • Correo: [email protected]
  • Domicilio: Av Chapultepec #417 A PH Col. Juárez, Ciudad de México, C.P. 06000, México

Requisitos de la solicitud

Conforme al Artículo 29 de la LFPDPPP, la solicitud debe contener:

  • Nombre del titular y domicilio o medio para comunicar la respuesta.
  • Identificación oficial vigente (INE / pasaporte) del titular o, en su caso, poder notarial del representante legal.
  • Descripción clara y precisa de los datos sobre los cuales se ejerce el derecho.
  • Cualquier documento que facilite la localización de los datos.

Plazo de respuesta

iAudita responderá su solicitud en un plazo máximo de 20 días hábiles conforme al Artículo 32 de la LFPDPPP, contados a partir de la recepción completa de la solicitud. La respuesta podrá extenderse por 10 días hábiles adicionales cuando así lo justifique la complejidad del caso, notificándolo al titular.

Proceso de eliminación con ventana de descarga (30 días):
Al ejercer su derecho de cancelación —o al dar de baja su suscripción o eliminar una empresa (RFC) de la plataforma—, iAudita iniciará un proceso estándar de salida que le da control total sobre sus datos:
  1. Enviamos al correo registrado un enlace seguro de descarga con toda la información asociada a su cuenta: CFDIs, reportes, archivos cargados, certificados, bitácoras y cualquier otro dato almacenado.
  2. Dispone de 30 días calendario para descargar esa información.
  3. Durante ese periodo, los datos quedan resguardados con acceso restringido (solo para la descarga por parte del titular).
  4. Transcurridos los 30 días sin descarga, todos los datos se eliminan de forma definitiva e irrecuperable de nuestros servidores y se revocan los accesos otorgados a aplicaciones de terceros.
Si requiere eliminación inmediata sin ventana de descarga, puede indicarlo expresamente en su solicitud ARCO.
Recurso ante el INAI: Si considera que sus derechos ARCO no han sido atendidos satisfactoriamente, tiene derecho a presentar una denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx.

5. Uso de Cookies, Tokens y Analítica

Aplicación autenticada (app.iaudita.com)

Dentro del área segura de la aplicación utilizamos únicamente cookies esenciales necesarias para la operación y seguridad del sistema.

  • Seguridad (esenciales): Cookies CSRF para prevenir ataques Cross-Site Request Forgery y proteger sus formularios.
  • Autenticación: Cookies de sesión y Tokens JWT para mantener su cuenta activa mientras navega por el sistema.
  • Preferencias: Recordar configuraciones locales del usuario (modo oscuro, filtros de tablas, etc.).
No utilizamos cookies de rastreo publicitario ni analíticas de terceros dentro de la aplicación autenticada.

Sitio público (iaudita.com, xmlgratis.mx y páginas de marketing)

En las páginas públicas (landing, blog, ayuda, registro, etc.) utilizamos herramientas de analítica de terceros para medir visitas y optimizar contenidos:

  • Google Analytics 4 (Google LLC) — métricas agregadas de navegación.
  • Microsoft Clarity (Microsoft Corp.) — mapas de calor y grabaciones anónimas de sesión para mejora de UX.
  • Meta Pixel (Meta Platforms, Inc.) — atribución de campañas publicitarias.
  • reCAPTCHA v3 (Google LLC) — protección antifraude en formularios de registro.

Estas herramientas pueden usar cookies propias con fines estadísticos. No se comparte ningún dato fiscal con ellas. Puede gestionar las cookies del navegador desde la configuración del mismo.

6. Medidas de Seguridad

iAudita implementa medidas administrativas, técnicas y físicas para proteger sus datos:

  • Cifrado en tránsito: TLS 1.2+ con cifrado AES-256 en todas las comunicaciones.
  • Cifrado en reposo: Contraseñas con doble hash criptográfico (cliente + servidor) y claves privadas sensibles cifradas con AES-256-GCM mediante envelope encryption en un vault aislado.
  • Control de acceso: Autenticación multi-factor opcional, tokens de sesión con expiración y roles granulares por usuario.
  • Monitoreo: Registros de auditoría, detección de intrusiones, y jails automáticos contra escaneo malicioso.
  • Capacitación interna: Personal con acceso a datos firma acuerdos de confidencialidad.
Notificación de vulneraciones (Art. 20 LFPDPPP): En caso de que se detecte una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales del Usuario, iAudita lo notificará mediante correo electrónico en un plazo no mayor a 72 horas desde su detección, detallando: (a) la naturaleza del incidente; (b) los datos comprometidos; (c) las acciones correctivas adoptadas; (d) las recomendaciones aplicables al titular.
Cláusula sobre uso de e.firma (FIEL) y CSD

iAudita distingue claramente los dos tipos de credenciales fiscales y el uso específico que hace de cada una:

  • Firma Electrónica Avanzada (e.firma / FIEL) — utilizada exclusivamente para autenticarse ante los servicios del SAT y realizar solicitudes de descarga masiva de metadatos y archivos XML, consulta del Buzón Tributario y obtención de Opinión de Cumplimiento. iAudita NO emite facturas ni firma actos jurídicos utilizando su e.firma.
  • Certificado de Sello Digital (CSD) — utilizado únicamente en el módulo de facturación electrónica para el timbrado de CFDIs que el Usuario elige emitir a través de la plataforma. El Usuario controla cada emisión.

CONSENTIMIENTO EXPRESO: De conformidad con el Artículo 9 de la LFPDPPP (tratamiento de datos patrimoniales), el Usuario otorga su consentimiento expreso al cargar sus archivos FIEL/CSD en la plataforma mediante el checkbox de confirmación mostrado en el módulo de carga. Este consentimiento podrá revocarse en cualquier momento eliminando los archivos desde "Configuración → Certificados".

LIMITACIÓN DE RESPONSABILIDAD: iAudita NO utiliza su e.firma para firmar contratos, presentar declaraciones anuales no autorizadas, realizar trámites distintos a los arriba descritos, ni emitir CFDIs a su nombre. El Usuario mantiene en todo momento la titularidad y responsabilidad legal sobre el uso de sus credenciales fiscales. iAudita no comparte, cede ni transfiere estos archivos sensibles a terceros no autorizados.

7. Acceso por Aplicaciones de Terceros (API/OAuth)

iAudita ofrece una interfaz de programación (API/MCP) que permite a aplicaciones de terceros, como asistentes de inteligencia artificial, acceder a la información fiscal del usuario. Este acceso se rige por las siguientes condiciones:

Consentimiento Explícito (OAuth 2.1)

Ninguna aplicación de terceros puede acceder a sus datos sin su autorización previa y explícita. Al conectar una aplicación, se le mostrará una pantalla de consentimiento donde podrá revisar:

  • El nombre de la aplicación solicitante.
  • Los permisos específicos que solicita (alcances/scopes).
  • La opción de aceptar o rechazar el acceso.

Datos Accesibles por Terceros

Dependiendo de los permisos autorizados, las aplicaciones de terceros podrán consultar:

  • Lectura fiscal (mcp:read): Facturas (CFDIs), declaraciones, IVA, DIOT, opiniones de cumplimiento, cuentas bancarias, pólizas contables y catálogo de cuentas.
  • Escritura (mcp:write): Cambiar la empresa activa para consultas.
  • Perfil (profile): Nombre y correo electrónico del usuario.

Revocación del Acceso

Usted puede revocar el acceso de cualquier aplicación de terceros en cualquier momento desde el panel de configuración. Al revocar, la aplicación pierde inmediatamente la capacidad de consultar sus datos. iAudita no es responsable del uso que la aplicación de terceros haya hecho de los datos mientras el acceso estuvo vigente.

Nota: Los proveedores de identidad (Google, Microsoft) utilizados para iniciar sesión no reciben datos fiscales ni personales del usuario más allá de los necesarios para la autenticación. Estos proveedores solo proporcionan datos de identificación a iAudita para facilitar el acceso a la plataforma.

8. Cambios al Aviso de Privacidad

iAudita se reserva el derecho de efectuar modificaciones o actualizaciones al presente Aviso de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas, en la legislación aplicable o en nuestros servicios.

Cualquier modificación se publicará en esta misma página: https://iaudita.com/Aviso-privacidad, actualizando la fecha de "Última actualización" en la parte superior.

Cuando los cambios sean sustanciales, notificaremos al Usuario mediante correo electrónico a la dirección registrada y/o mediante aviso destacado dentro de la aplicación con al menos 15 días de anticipación a su entrada en vigor. El uso continuado del Servicio posterior a la fecha de entrada en vigor implicará la aceptación del Aviso actualizado.

9. Departamento de Privacidad

Conforme al Artículo 30 de la LFPDPPP, iAudita ha designado un Departamento de Privacidad responsable de atender las solicitudes ARCO y de dar trámite a cualquier consulta relacionada con el tratamiento de sus datos personales.

iAudita — Soluciones Fiscales Inteligentes

Operada por TsCancun · Versión 2.0 del Aviso de Privacidad

¿Dudas sobre la seguridad de tus datos?