Jisa Adventure Tour y Paquetes Cusco
Imagen de cabecera

POLÍTICA DE PRIVACIDAD Y SEGURIDAD DE LA INFORMACIÓN

Jisa Adventure trata datos personales conforme a la Ley N.º 29733 y su Reglamento. Aquí detallamos finalidades, base legal, seguridad, arquitectura de pagos con Openpay (PCI DSS) y tus derechos ARCO.

1. Identidad y contacto del responsable

Responsable: Jisa Adventure (la “Agencia”).
Email privacidad: privacidad@jisaadventure.com
Email seguridad: seguridad@jisaadventure.com
Domicilio: Cusco, Perú (actualizar con dirección fiscal).

2. Alcance y marco normativo

Esta política aplica al sitio web, paneles de administración, APIs (Laravel), frontends (React/Next) y canales de atención de Jisa Adventure. Nos regimos por la Ley N.º 29733 y su Reglamento. Si operan transferencias internacionales, aplicamos salvaguardas contractuales y técnicas adecuadas.

3. Registro de actividades de tratamiento (RAT) – resumen

  • Reservas y atención: Identificación y contacto (nombre, apellidos, email, teléfono, país ISO-2), datos de viaje y preferencias.
  • Facturación: Razón social, RUC/DNI, dirección fiscal, comprobantes.
  • Pagos: No almacenamos PAN ni CVV. Procesa Openpay (PCI DSS). Guardamos token/ID, importe y estado.
  • Soporte y seguridad: IP, user-agent, trazas, auditoría de accesos.

4. Finalidades y bases legales

  • Ejecución de contrato: cotizaciones, reservas, pagos, comprobantes.
  • Obligación legal: tributaria/contable, requerimientos de autoridad.
  • Interés legítimo: seguridad operativa, antifraude, mejora del servicio.
  • Consentimiento: marketing y cookies no esenciales.

5. Arquitectura de pagos y cumplimiento PCI

Implementamos pagos con Openpay. Se recomienda Openpay.js/hosted fields o checkout alojado para que los datos de tarjeta se envíen directamente a Openpay y no pasen por nuestro backend. Esto reduce el alcance PCI a SAQ A (o SAQ A-EP según integración).

  1. Los campos de tarjeta los sirve Openpay (iframes/SDK).
  2. Transmisión cifrada a Openpay (TLS); nosotros recibimos un token/estado.
  3. Guardamos metadatos (ID, monto, moneda, resultado; nunca PAN completo ni CVV).
  4. 3-D Secure y controles antifraude cuando aplique.
Controles recomendados en el checkout (técnico)
  • Subresource Integrity (SRI) y versión fija del SDK.
  • Content-Security-Policy con nonce y dominios de Openpay en listas blancas.
  • HSTS, X-Frame-Options/Frame-Ancestors, X-Content-Type-Options, Referrer-Policy.
  • Monitor de integridad lado-cliente (prevención de skimming).
  • Sin claves en el front; variables via backend con rotación y scopes mínimos.
# NGINX (ejemplo)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Permissions-Policy "geolocation=(), microphone=()" always;
add_header X-Frame-Options "SAMEORIGIN" always;

# CSP (ajusta dominios/SDK de Openpay)
add_header Content-Security-Policy "
  default-src 'self';
  frame-ancestors 'self';
  script-src 'self' 'nonce-__RUNTIME_NONCE__' https://openpay.s3.amazonaws.com https://resources.openpay.mx;
  frame-src https://* openpay.mx openpay.s3.amazonaws.com;
  connect-src 'self' https://api.openpay.mx https://sandbox-api.openpay.mx;
  img-src 'self' data: https:;
  style-src 'self' 'unsafe-inline';
" always;

6. Medidas de seguridad (organizativas y técnicas)

  • Gobernanza y revisión anual de políticas y RAT.
  • MFA, mínimos privilegios y rotación de credenciales.
  • TLS 1.2+, cifrado de respaldos y secretos.
  • SDLC seguro, SCA, auditoría de endpoints.
  • Escaneos SAST/DAST y parcheo oportuno.
  • Logs con retención/SIEM y trazabilidad.
  • Backups cifrados y DRP (RTO/RPO).
  • Acuerdos con proveedores y control de transferencias.

7. Conservación y eliminación

Conservamos datos el tiempo necesario para finalidades y obligaciones legales, luego aplicamos borrado seguro o anonimización. Metadatos de pagos se conservan para conciliación y contabilidad; nunca CVV ni PAN completo.

8. Derechos ARCO y canales

Puedes ejercer Acceso, Rectificación, Cancelación y Oposición (ARCO) o retirar tu consentimiento. Escríbenos a privacidad@jisaadventure.com. Si no estás conforme, puedes acudir a la Autoridad Nacional de Protección de Datos Personales.

9. Cookies y tecnologías similares

Usamos cookies necesarias y, con tu consentimiento, analíticas/personalización. Gestiona preferencias desde el banner o tu navegador. Consulta la Política de Cookies.

10. Gestión de incidentes

  • Contención, erradicación, recuperación y lecciones aprendidas.
  • Notificación a titulares/autoridad cuando corresponda.
  • Registro con causa raíz, alcance y medidas correctivas.

11. Transferencias internacionales

Si intervienen proveedores fuera de Perú (hosting, pasarela de pagos), aplicamos salvaguardas contractuales y técnicas adecuadas.

12. Cambios a esta política

Podemos actualizar esta política; la versión vigente se publica en este enlace.

Última actualización: 02/09/2025.