Privacy Policy / Política de Privacidad

Effective date / Fecha de vigencia: 2026-04-17
Contact / Contacto: support@forasterodev.com

English version

1. Who we are

"Validador Ciudades Colombia" ("the App") is a Shopify application that validates Colombian cities, delivery coverage and Colombian national IDs (cédula / NIT) during the Shopify checkout. The App is operated by the developer listed at the top of this document ("we", "us").

2. Scope

This Privacy Policy describes what information the App collects from merchants who install the App on their Shopify store, and from buyers who complete a checkout on a store that has the App installed.

3. What data we access

3.1 Buyer data (at checkout only)

When a buyer is on the checkout page of a store that uses the App, the App reads the following three fields in real time, only in the buyer's browser:

shippingAddress.city — the city typed in the shipping address.
shippingAddress.provinceCode — the selected Colombian department.
shippingAddress.company — the value typed in the "Company" field, which in Colombia is commonly used for the national ID or tax ID (cédula / NIT).

This data is used exclusively to display a visual validation of the city, delivery coverage and ID format to the buyer. It is:

Not stored in any database.
Not logged anywhere.
Not transmitted to any server operated by us or by any third party. The validation runs entirely inside the buyer's browser, using a static list of Colombian cities bundled with the App.

3.2 Merchant data

When a merchant installs the App, the following information is stored in our database:

Shopify shop domain (e.g. your-store.myshopify.com).
Shopify session tokens (required by the Shopify platform for authentication).
The merchant's configuration choices: which validations are enabled, the custom messages they configured, and the list of cities they deliver to.

4. Why we process this data

Buyer data — to provide the checkout validation feature (city exists in Colombia, merchant has coverage there, ID is well-formed).
Merchant data — to authenticate the merchant with Shopify and to render the admin panel with their configuration.

We do not use any of this data for marketing, profiling, advertising, analytics, or any secondary purpose.

5. Legal basis

Contractual necessity — processing is necessary to provide the App's functionality to the merchant, as agreed when they install the App.
Legitimate interest — validating inputs at checkout to prevent delivery errors is a legitimate operational interest shared with the merchant.

6. Data sharing and sub-processors

We do not sell, rent, or share personal data with third parties. We rely on the following service providers ("sub-processors") strictly for the technical operation of the App:

Provider	Purpose	Location
Shopify Inc.	Hosts the store and the checkout on which the App runs	Canada
Fly.io	Hosts the admin panel of the App	Brazil (São Paulo)
Neon (neon.tech)	PostgreSQL database for merchant configuration	United States (US East)

All connections to these providers use TLS 1.2 or higher.

7. Data retention

Buyer data — we do not store buyer data at any time, so there is nothing to retain.
Merchant data — retained for as long as the App is installed. When the merchant uninstalls the App, merchant data is deleted according to the following schedule:
- Immediately on app/uninstalled: session tokens and merchant configuration are deleted.
- 48 hours after uninstall on Shopify's shop/redact webhook: any remaining data is deleted as a safety measure.

8. Security

We apply the security practices required by Shopify's Protected Customer Data requirements (levels 1 and 2):

Encryption in transit (TLS 1.2+) between Shopify, our servers, and the database.
Encryption at rest (AES-256) for the production database and its backups.
Strict separation of test and production data.
Access to production credentials limited to the developer listed as contact.
Incident response procedure documented internally.

9. Your rights

Buyers and merchants have the following rights regarding their personal data under applicable laws (GDPR, Colombian Law 1581 of 2012, and others):

Access — request a copy of the personal data we hold about you.
Rectification — request correction of inaccurate data.
Erasure — request deletion of your data.
Restriction / Objection — request that we restrict or stop processing.
Data portability — request a machine-readable copy of your data.

To exercise any of these rights, contact us at support@forasterodev.com. Merchants can also use Shopify's data request and redaction webhooks, which the App implements in full.

10. Children's privacy

The App is not directed at children under 13. We do not knowingly process data of children under 13.

11. International transfers

Merchant configuration data is stored in the United States (Neon) and processed in Brazil (Fly.io). By installing the App, the merchant agrees to these transfers. Safeguards include TLS encryption in transit and AES-256 encryption at rest.

12. Changes to this policy

We may update this policy from time to time. Material changes will be communicated in the App's admin panel and by email to the merchant's registered email on Shopify. The "Effective date" at the top of this document reflects the latest revision.

13. Contact

For any question about this policy or about your personal data, contact:

Email: support@forasterodev.com

Versión en español

1. Quiénes somos

"Validador Ciudades Colombia" (en adelante "la Aplicación") es una aplicación de Shopify que valida ciudades colombianas, cobertura de entregas y números de identificación colombianos (cédula / NIT) durante el checkout de Shopify. La Aplicación es operada por el desarrollador indicado al inicio de este documento ("nosotros").

2. Alcance

Esta Política de Privacidad describe qué información recolecta la Aplicación de los comerciantes que la instalan en su tienda Shopify y de los compradores que finalizan una compra en una tienda que tiene la Aplicación instalada.

3. Qué datos accedemos

3.1 Datos del comprador (solo durante el checkout)

Cuando un comprador está en la página de checkout de una tienda que usa la Aplicación, la Aplicación lee los siguientes tres campos en tiempo real, únicamente en el navegador del comprador:

shippingAddress.city — la ciudad escrita en la dirección de envío.
shippingAddress.provinceCode — el departamento colombiano seleccionado.
shippingAddress.company — el valor escrito en el campo "Empresa", que en Colombia se usa comúnmente para el número de cédula o NIT.

Estos datos se utilizan exclusivamente para mostrar al comprador una validación visual de la ciudad, la cobertura de entrega y el formato del documento. Estos datos:

No se almacenan en ninguna base de datos.
No se registran en ningún log.
No se transmiten a ningún servidor nuestro ni de terceros. La validación corre íntegramente dentro del navegador del comprador, usando una lista estática de ciudades colombianas incluida en la Aplicación.

3.2 Datos del comerciante

Cuando un comerciante instala la Aplicación, almacenamos la siguiente información:

Dominio de la tienda Shopify (por ejemplo, tu-tienda.myshopify.com).
Tokens de sesión de Shopify (requeridos por la plataforma para autenticación).
La configuración que el comerciante define: qué validaciones están activas, los mensajes personalizados que configuró y la lista de ciudades donde realiza entregas.

4. Por qué procesamos estos datos

Datos del comprador — para ofrecer la funcionalidad de validación en el checkout (que la ciudad exista en Colombia, que el comerciante tenga cobertura allí, que el documento tenga un formato válido).
Datos del comerciante — para autenticar al comerciante con Shopify y para mostrar el panel de administración con su configuración.

No utilizamos ninguno de estos datos para marketing, perfilamiento, publicidad, analítica ni ningún otro propósito secundario.

5. Base legal

Ejecución contractual — el procesamiento es necesario para prestar la funcionalidad de la Aplicación al comerciante, según lo aceptado al instalarla.
Interés legítimo — validar entradas en el checkout para prevenir errores de entrega es un interés legítimo operativo compartido con el comerciante.

6. Compartir datos y subprocesadores

No vendemos, alquilamos ni compartimos datos personales con terceros. Utilizamos los siguientes proveedores de servicio ("subprocesadores") únicamente para la operación técnica de la Aplicación:

Proveedor	Propósito	Ubicación
Shopify Inc.	Aloja la tienda y el checkout donde corre la Aplicación	Canadá
Fly.io	Aloja el panel de administración de la Aplicación	Brasil (São Paulo)
Neon (neon.tech)	Base de datos PostgreSQL para la configuración del comerciante	Estados Unidos (US East)

Todas las conexiones a estos proveedores usan TLS 1.2 o superior.

7. Retención de datos

Datos del comprador — no almacenamos datos del comprador en ningún momento, por lo tanto no hay nada que retener.
Datos del comerciante — se retienen mientras la Aplicación esté instalada. Cuando el comerciante desinstala la Aplicación, los datos se eliminan así:
- Inmediatamente al recibir el webhook app/uninstalled: tokens de sesión y configuración del comerciante.
- 48 horas después al recibir el webhook shop/redact de Shopify: cualquier dato residual se elimina como medida de seguridad.

8. Seguridad

Aplicamos las prácticas de seguridad exigidas por los requisitos de Protected Customer Data de Shopify (niveles 1 y 2):

Cifrado en tránsito (TLS 1.2+) entre Shopify, nuestros servidores y la base de datos.
Cifrado en reposo (AES-256) para la base de datos de producción y sus copias de seguridad.
Separación estricta entre datos de prueba y producción.
Acceso a credenciales de producción limitado al desarrollador indicado como contacto.
Procedimiento de respuesta a incidentes documentado internamente.

9. Tus derechos

Los compradores y comerciantes tienen los siguientes derechos sobre sus datos personales según las leyes aplicables (Ley 1581 de 2012 de Colombia, RGPD de la Unión Europea y otras):

Acceso — solicitar una copia de los datos personales que tenemos sobre ti.
Rectificación — solicitar la corrección de datos incorrectos.
Supresión — solicitar la eliminación de tus datos.
Oposición / limitación — solicitar que restrinjamos o detengamos el procesamiento.
Portabilidad — solicitar una copia de tus datos en un formato legible por máquina.

Para ejercer cualquiera de estos derechos, escríbenos a support@forasterodev.com. Los comerciantes también pueden usar los webhooks de Shopify de solicitud y redacción de datos, que la Aplicación implementa completamente.

10. Privacidad de menores

La Aplicación no está dirigida a menores de 13 años. No procesamos conscientemente datos de menores de 13 años.

11. Transferencias internacionales

Los datos de configuración del comerciante se almacenan en Estados Unidos (Neon) y se procesan en Brasil (Fly.io). Al instalar la Aplicación, el comerciante acepta estas transferencias. Las salvaguardas incluyen cifrado TLS en tránsito y cifrado AES-256 en reposo.

12. Cambios a esta política

Podemos actualizar esta política ocasionalmente. Los cambios relevantes se comunicarán en el panel de administración de la Aplicación y por correo electrónico al comerciante, usando la dirección registrada en Shopify. La "Fecha de vigencia" al inicio de este documento indica la última revisión.

13. Contacto

Para cualquier pregunta sobre esta política o sobre tus datos personales, contáctanos en:

Email: support@forasterodev.com