Kita
Aviso de Privacidad
Última actualización: 24 de diciembre de 2025
1 Responsable y Contacto
Kita io, S.A.S. con domicilio en Sinanche, Lomas de Padierna, Tlalpan, CDMX, México, es responsable del tratamiento de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”) y demás disposiciones aplicables.
Contacto de Privacidad: hola@kita.mx
1.1) A quién aplica este Aviso
- Usuarios (“Usuario”): personas que crean una cuenta y usan Kita para cobrar y, en su caso, emitir CFDI.
- Clientes del Usuario (“Cliente”): terceros que reciben un link de pago del Usuario y, si aplica, capturan datos fiscales para que el Usuario emita su CFDI.
1.2) Roles y responsabilidades (importante)
Cuando tratamos datos del Usuario (por ejemplo, datos de cuenta, datos fiscales del emisor, configuración e integraciones), Kita actúa como Responsable.
Cuando tratamos datos de un Cliente del Usuario (por ejemplo, datos fiscales del receptor) para permitir la transacción y, en su caso, la emisión del CFDI del Usuario, el Usuario suele ser quien determina las finalidades y medios del tratamiento en su relación comercial y fiscal con su Cliente. En esos casos, Kita actúa como proveedor tecnológico para habilitar el servicio conforme a las instrucciones y configuración del Usuario.
Por ello, el Usuario es responsable de informar a sus Clientes y de contar con base legal para recabar/usar/compartir los datos necesarios para el cobro y, en su caso, facturación.
2 Datos que Tratamos
Tratamos las siguientes categorías de datos, según corresponda a las funciones que utilice:
| Categoría | Ejemplos |
|---|---|
| Identificación y contacto (Usuario) | Nombre, correo electrónico, teléfono (opcional), RFC, razón/denominación, domicilio fiscal, CP, régimen fiscal |
| Datos fiscales de emisión (Usuario/Cliente) | Datos del CFDI (concepto, monto, uso CFDI, RFC del receptor, régimen/CP fiscal cuando aplique), folios/series, estatus de timbrado/cancelación |
| Credenciales y llaves (operativamente sensibles) | CSD (certificado y llave privada) y, si se proporciona, contraseña del CSD; tokens/credenciales técnicas necesarias para operar integraciones |
| Pagos / Integraciones | Tokens de acceso de Mercado Pago® (OAuth), IDs de integración, referencias de transacción (monto, fecha, estado), conciliación de eventos |
| Técnicos | IP, agente de usuario, logs de acceso, identificadores de sesión, preferencias, eventos del sistema, tokens de verificación anti-bot (Cloudflare Turnstile) |
| Comunicaciones | Mensajes transaccionales por correo (confirmaciones, avisos operativos), métricas de entregabilidad (por ejemplo, rebotes) |
Nota: CSD, tokens OAuth y credenciales asociadas son información altamente sensible desde el punto de vista operativo. Aplicamos controles reforzados para protegerlos y limitar el acceso.
3 Finalidades del Tratamiento
Finalidades necesarias
- Prestación del servicio: crear y administrar cuenta, autenticación, panel de control, configuración y operación de funcionalidades.
- Links de pago y operación: generar links
/hola/{token}, gestionar vigencias, registrar eventos y estatus asociados a cobros. - Pagos e integraciones: integrar y operar Mercado Pago® (OAuth), confirmar eventos técnicos (p. ej., webhooks) y conciliar estatus de transacciones.
- Facturación electrónica: emitir y timbrar CFDI 4.0 (PUE) del Usuario mediante PAC; generar y poner a disposición XML/PDF cuando proceda.
- Atención y soporte: responder solicitudes, dar soporte técnico, resolver incidencias y mejorar la experiencia del Usuario.
- Seguridad y prevención de fraude: monitoreo, auditoría, registros, control de abuso, y verificación anti-bot (Cloudflare Turnstile).
- Cumplimiento legal: atender requerimientos de autoridades competentes y obligaciones legales aplicables.
- Notificaciones transaccionales por email: confirmaciones operativas y avisos relacionados con el servicio y la transacción (por ejemplo, confirmación de pago, emisión de CFDI, recordatorios por vigencia cuando aplique).
Finalidades secundarias (opt-out)
- Mejora del producto y análisis estadístico (métricas agregadas y/o seudonimizadas cuando sea posible).
- Comunicaciones informativas sobre nuevas funciones o mejoras relacionadas con el servicio.
Puede oponerse a las finalidades secundarias en cualquier momento escribiendo a hola@kita.mx.
4 Bases Legales
En términos de la LFPDPPP, el tratamiento de datos personales se realiza con base en los supuestos aplicables, incluyendo: (i) el que resulte necesario para la relación jurídica y la prestación del servicio solicitado, (ii) el cumplimiento de obligaciones legales, y (iii) el consentimiento del titular cuando sea requerido (por ejemplo, para finalidades secundarias o tecnologías no esenciales, cuando aplique).
- Relación jurídica / prestación del servicio: operar Kita, administrar cuenta, operar integraciones y habilitar emisión de CFDI cuando el Usuario lo solicita.
- Cumplimiento legal: cuando el tratamiento sea necesario para cumplir obligaciones legales o atender requerimientos de autoridad competente.
- Consentimiento: para finalidades secundarias y para cookies/tecnologías no esenciales, cuando aplique.
- Seguridad: medidas necesarias y proporcionales para proteger la plataforma, prevenir fraude e investigar incidentes.
5 Con quién compartimos
Compartimos datos con proveedores que actúan como encargados (proveedores que tratan datos por nuestra cuenta) o como terceros independientes (que actúan bajo sus propios términos y políticas):
| Proveedor | Rol | Datos | Finalidad | Ubicación |
|---|---|---|---|---|
| PAC autorizado | Encargado | Datos necesarios para timbrado (datos del CFDI, RFC emisor/receptor, CSD del Usuario) | Timbrado CFDI 4.0 ante SAT | México |
| Mercado Pago® | Tercero independiente | Datos necesarios para cobro (según la operación), referencias de transacción, monto, estado | Procesamiento de pagos | México |
| Infraestructura cloud (DigitalOcean) | Encargado | Datos alojados/operados por la plataforma (incluyendo información fiscal/operativa) con medidas de seguridad | Hosting, cómputo y operación | EE. UU. (según región configurada) |
| Postmark (email) | Encargado | Email, nombre (si aplica), contenido de correos transaccionales | Envío de correos transaccionales | EE. UU. |
| Analítica (si se habilita) | Encargado | Datos técnicos/de navegación (p. ej., navegador, páginas vistas; parámetros y cookies según configuración) | Métricas de uso (secundaria, sujeto a consentimiento cuando aplique) | EE. UU. |
| Cloudflare Turnstile | Encargado | IP, User Agent, token de challenge | Protección anti-bot y prevención de fraude | EE. UU. |
No vendemos sus datos personales.
También podremos revelar información cuando sea necesario para cumplir una obligación legal, atender requerimientos de autoridad competente, o ejercer/defender derechos en procedimientos o controversias.
6 Transferencias internacionales
Algunos de nuestros proveedores pueden operar fuera de México (por ejemplo, infraestructura, correo y seguridad). Cuando esto implique tratamiento internacional, implementamos medidas contractuales y de seguridad razonables con nuestros encargados (por ejemplo, acuerdos de procesamiento y confidencialidad, y controles técnicos).
En general, las transferencias a encargados se realizan para finalidades necesarias de prestación del servicio. Cuando una transferencia requiera consentimiento conforme a la normativa aplicable, lo recabaremos a través de los mecanismos disponibles.
Las transferencias a terceros independientes (por ejemplo, Mercado Pago®) se rigen por sus propios avisos y políticas.
7 Seguridad
- Cifrado en tránsito (por ejemplo, TLS/HTTPS) y medidas de protección en reposo cuando aplique.
- Controles de acceso y autenticación; principio de mínimo privilegio para acceso a datos.
- Monitoreo y registros para detección de abuso, prevención de fraude y trazabilidad.
- Gestión de secretos y prácticas razonables para proteger CSD, tokens OAuth y credenciales.
- Respaldo y continuidad operativa razonables.
Ningún sistema es infalible. Si detectamos un incidente de seguridad que afecte de forma significativa datos personales bajo nuestro control, procuraremos notificarle conforme corresponda y a la información razonablemente disponible, considerando necesidades de seguridad e investigación.
8 Derechos ARCO
Usted puede ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición enviando un correo a hola@kita.mx con:
- Nombre completo y medio para comunicar la respuesta (correo/domicilio).
- Descripción clara del derecho a ejercer y datos involucrados.
- Copia de identificación oficial o poderes (si aplica).
- En caso de rectificación, documentación que acredite la corrección.
Plazos: Respondemos su solicitud en un máximo de 20 días hábiles y, de resultar procedente, la hacemos efectiva dentro de los 15 días hábiles siguientes, en términos de la normativa aplicable.
8.1) Si usted es Cliente de un Usuario
Si usted pagó a través de un link de un Usuario (freelancer/negocio) y desea ejercer derechos respecto de datos usados para emitir el CFDI de ese Usuario, lo más eficiente es contactar directamente a dicho Usuario, quien suele ser el principal responsable de esa relación comercial y fiscal. Kita podrá apoyar al Usuario con medios técnicos cuando corresponda.
9 Revocación y limitación
Puede revocar su consentimiento o limitar el uso/divulgación de sus datos para finalidades secundarias escribiendo a hola@kita.mx. La revocación no tendrá efectos retroactivos y puede no ser aplicable cuando el tratamiento sea necesario para finalidades indispensables del servicio o cumplimiento legal.
10 Conservación
- Cuenta activa: mientras se mantenga la cuenta y se use el servicio.
- Información fiscal/CFDI y evidencias operativas: por el tiempo necesario para prestar el servicio y por periodos adicionales cuando sea requerido por la normativa aplicable (por ejemplo, obligaciones fiscales), seguridad o resolución de disputas.
- Logs de seguridad y auditoría: podemos conservar registros técnicos por periodos limitados (por ejemplo, hasta 90 días) para seguridad y trazabilidad, salvo que una obligación legal o un incidente requieran conservarlos por más tiempo.
- Tras cancelación: podemos conservar cierta información por un periodo razonable (por ejemplo, hasta 90 días) para permitir reactivación o atender obligaciones, salvo que la ley exija un plazo distinto.
11 Cookies y rastreo
Utilizamos cookies y tecnologías similares para operar el sitio, recordar preferencias y seguridad; y, cuando cuente con su consentimiento, para analíticas/marketing. Consulte la Política de Cookies para detalles y controles.
12 Menores de edad
El servicio está dirigido a mayores de 18 años. No recabamos intencionalmente datos de menores.
13 Cambios a este Aviso
Podemos actualizar este Aviso para reflejar cambios legales u operativos. Indicaremos la fecha de “Última actualización” y, cuando corresponda, notificaremos por los canales habituales (in-app y/o email).
14 Autoridad
Si considera que su derecho a la protección de datos personales ha sido vulnerado, además de acudir con nosotros, usted puede presentar la solicitud o procedimiento que corresponda ante la autoridad competente en términos de la LFPDPPP.
De acuerdo con el marco vigente, los asuntos en materia de datos personales que venían tramitándose ante el INAI se sustancian ante la Secretaría Anticorrupción y Buen Gobierno, conforme a las disposiciones aplicables.
15 Contacto
Para cualquier solicitud o duda sobre este Aviso, escriba a hola@kita.mx.