Documento legal · Winora

Política de Privacidad

Versión v1 · Publicada el 03 de junio de 2026

Política de Tratamiento de Datos Personales

Última actualización: 2 de junio de 2026
Versión vigente: v1

INJABS S.A.S., sociedad legalmente constituida bajo las leyes de la
República de Colombia, identificada con NIT 901905533-7, con domicilio
en Bucaramanga, operadora de la plataforma Winora
(en adelante, "Winora" o "el Responsable"), en cumplimiento de la
Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, el Capítulo 25 del
Decreto Único 1074 de 2015 y demás normas concordantes, adopta la
presente Política de Tratamiento de Datos Personales.

---

1. Definiciones

Para los efectos de esta Política, se entiende por:

  • Titular: persona natural cuyos datos personales son objeto de
tratamiento.
  • Responsable del Tratamiento: Winora, quien decide sobre la base de
datos y el tratamiento.
  • Encargado del Tratamiento: persona que realiza el tratamiento por
cuenta del Responsable.
  • Tratamiento: cualquier operación sobre datos personales (recolección,
almacenamiento, uso, circulación, supresión).
  • Dato sensible: dato que afecta la intimidad o cuyo uso indebido
puede generar discriminación (origen racial, salud, biométricos, orientación sexual, etc.).
  • Autorización: consentimiento previo, expreso e informado del Titular.

---

2. Responsable del Tratamiento

  • Razón social: INJABS S.A.S.
  • NIT: 901905533-7
  • Domicilio: Bucaramanga, Colombia
  • Correo de contacto para datos personales: data@winorapay.com
  • Teléfono: 3015279452
  • Oficial de Protección de Datos: Gustavo Sarmiento — operaciones@winorapay.com

---

3. Datos personales recolectados

Winora recolecta y trata las siguientes categorías de datos:

3.1. Datos del comercio (usuario directo)

  • Datos de identificación: nombre completo, documento de identidad, NIT,
representante legal.
  • Datos de contacto: correo electrónico, teléfono, dirección, ciudad, país.
  • Datos comerciales: razón social, actividad económica, certificado de
cámara de comercio, RUT.
  • Datos financieros: cuenta bancaria registrada para liquidaciones.
  • Datos de uso: bitácora de operaciones en la plataforma, dirección IP,
user agent, fechas y horas de acceso.
  • Credenciales: usuario, contraseña (almacenada cifrada), tokens MFA,
llaves API.

3.2. Datos del pagador (cliente final del comercio)

Cuando un comprador realiza un pago a través de un comercio Winora:

  • Datos de identificación: nombre completo, tipo y número de documento
(cuando el método lo requiera, ej. PSE).
  • Datos de contacto: correo, teléfono.
  • Datos transaccionales: monto, moneda, método de pago, referencia,
concepto, dirección IP, user agent.
  • Datos de tarjeta (en cumplimiento PCI-DSS): los datos sensibles (PAN
completo, CVV) NO son almacenados por Winora. Son enviados directamente al adquirente vía iframes embebidos (Lyra/Payzen).

3.3. Datos de cookies y tecnologías similares

Ver nuestra Política de Cookies.

3.4. Datos sensibles

Winora no recolecta deliberadamente datos sensibles (origen racial,
ideología política, religión, salud, orientación sexual, biométricos).
Si el comercio o pagador transmite voluntariamente datos sensibles por
canales de soporte o registros opcionales, su tratamiento queda sujeto a
autorización expresa y específica.

3.5. Datos de menores

Winora no presta servicios directamente a menores de edad. El servicio
está destinado a personas mayores de 18 años con capacidad legal de obrar
en nombre propio o de una persona jurídica.

---

4. Finalidades del Tratamiento

Winora trata los datos personales para las siguientes finalidades:

4.1. Finalidades primarias (operación del servicio)

a. Crear, mantener y administrar la cuenta del comercio.
b. Verificar la identidad del comercio (proceso KYC) y prevenir fraude,
lavado de activos y financiamiento del terrorismo.
c. Procesar transacciones de pago entre pagadores y comercios.
d. Generar facturas, comprobantes, reportes y conciliaciones.
e. Brindar soporte técnico y atención de PQRs.
f. Comunicar al comercio sobre estado de sus pagos, alertas, cambios en
la plataforma, actualizaciones de políticas.
g. Cumplir obligaciones legales, contables, tributarias y regulatorias.
h. Atender requerimientos de autoridades competentes.
i. Implementar controles de seguridad, auditoría y análisis de incidentes.

4.2. Finalidades secundarias (requieren autorización adicional)

a. Análisis estadístico agregado para mejorar el producto.
b. Envío de comunicaciones comerciales sobre nuevos servicios.
c. Estudios de mercado.

El Titular podrá oponerse al tratamiento para finalidades secundarias en
cualquier momento, sin que ello afecte la prestación del servicio.

---

5. Derechos del Titular

Como Titular de sus datos personales, usted tiene derecho a:

a. Conocer los datos que se tratan sobre usted, las finalidades, la
forma del tratamiento y los Encargados.
b. Actualizar y rectificar datos parciales, inexactos,
incompletos o que induzcan a error.
c. Solicitar prueba de la autorización otorgada.
d. Ser informado sobre el uso dado a sus datos.
e. Revocar la autorización y/o solicitar la supresión del dato
cuando el tratamiento no respete principios, derechos y garantías
constitucionales y legales.
f. Acceder gratuitamente a sus datos al menos una vez cada mes
calendario.
g. Presentar quejas ante la Superintendencia de Industria y Comercio
(SIC) por infracciones a la Ley 1581.

---

6. Procedimiento para ejercer derechos

6.1. Canal

Para ejercer sus derechos, envíe una solicitud escrita a:

  • Correo: datos@winorapay.com
  • Dirección física: Bucaramanga, Colombia

6.2. Información que debe incluir la solicitud

a. Identificación del Titular (nombre, documento, datos de contacto).
b. Descripción clara del derecho que ejerce y los hechos que lo motivan.
c. Documentos que soporten la solicitud (si aplica).
d. Dirección de notificación.

6.3. Plazos de respuesta

  • Consultas: respuesta máxima en 10 días hábiles, prorrogable
por 5 días hábiles adicionales con justificación.
  • Reclamos: respuesta máxima en 15 días hábiles, prorrogable por
8 días hábiles adicionales con justificación.

6.4. Reclamos ante la SIC

Si considera que su solicitud no fue atendida adecuadamente, puede
presentar queja ante la Superintendencia de Industria y Comercio (SIC),
Delegatura para la Protección de Datos Personales, sitio web
www.sic.gov.co.

---

7. Encargados del Tratamiento

Winora utiliza proveedores tecnológicos que actúan como Encargados del
Tratamiento, sujetos a contratos de procesamiento de datos:

| Encargado | Finalidad | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Hosting, almacenamiento, cómputo | Estados Unidos |
| Supabase | Autenticación, base de datos | Singapur / EE.UU. |
| Resend | Envío de correos transaccionales | Estados Unidos |
| Meta Platforms (WhatsApp Business) | Mensajería con clientes del comercio | Global |
| Lyra / Payzen | Procesamiento de pagos (PCI-DSS Nivel 1) | Francia / Colombia |
| Google (DNS, Cloud Logging) | Infraestructura auxiliar | Estados Unidos |

Cada Encargado ha sido seleccionado con criterios de seguridad y cumple
con estándares internacionales reconocidos (ISO 27001, SOC 2, PCI-DSS, etc.).

---

8. Transferencias y transmisiones internacionales

Para la prestación del servicio, sus datos pueden ser transferidos a
países con niveles adecuados de protección o, en su defecto, mediante
cláusulas contractuales que garantizan el cumplimiento de la Ley 1581.

La aceptación de esta Política implica autorización expresa para las
transferencias internacionales necesarias para operar la plataforma.

---

9. Tiempo de conservación

Winora conservará los datos personales durante el tiempo necesario para
cumplir las finalidades declaradas, las obligaciones legales (incluyendo
las contables y tributarias por diez (10) años según el Código de
Comercio) y mientras subsista la relación contractual.

Una vez cumplido el plazo de conservación, los datos serán suprimidos o
anonimizados, salvo orden judicial o legal en contrario.

---

10. Medidas de seguridad

Winora implementa medidas técnicas, humanas y administrativas razonables
para proteger los datos personales contra pérdida, acceso no autorizado,
alteración o divulgación. Esto incluye, sin limitarse a:

  • Cifrado en tránsito (TLS 1.2 o superior) y en reposo (AES-256-GCM)
para credenciales sensibles.
  • Cumplimiento PCI-DSS para el manejo del flujo de tarjetas.
  • Controles de acceso por rol (RBAC) y doble factor de autenticación
(MFA) obligatorio para administradores.
  • Auditoría y registro de operaciones críticas (audit log inmutable).
  • Pruebas de penetración periódicas y monitoreo continuo.
  • Capacitación al personal en privacidad y seguridad.
  • Planes de continuidad y respuesta a incidentes.

No obstante lo anterior, ningún sistema es 100% inviolable. El Titular
es responsable de proteger sus propias credenciales y de notificar
cualquier compromiso.

---

11. Notificación de incidentes

En caso de incidente que comprometa la seguridad de datos personales,
Winora notificará a la Superintendencia de Industria y Comercio y a los
Titulares afectados dentro de los plazos establecidos por la normativa
vigente.

---

12. Modificaciones a la Política

Esta Política puede ser modificada por Winora, en cuyo caso la nueva
versión será publicada en el sitio web público y notificada por correo a
los comercios registrados. Para cambios sustanciales, se solicitará
re-aceptación explícita.

---

13. Contacto

Para cualquier consulta o ejercicio de derechos relacionados con datos
personales:

  • Correo: info@winorapay.com
  • Dirección física: Bucaramanga, Colombia
  • Oficial de Protección de Datos: Gustavo Sarmiento — operaciones@winorapay.com

---

La aceptación de esta Política constituye la autorización expresa,
previa e informada del Titular para el tratamiento de sus datos
personales en los términos aquí descritos.

Volver al inicio

Si tienes preguntas sobre este documento, escríbenos desde el sitio.