Publicado el por & archivado en Sin categoría.

Con gran satisfacción os comunicamos que nuestra aplicación móvil Nepcom está siendo actualmente analizada por Genís Margarit (@gmargarit), ingeniero de telecomunicaciones, experto en seguridad, profesor asociado de la Universitat Pompeu Fabra (UPF) y formador en el Proyecto Universidad Empresa (PUE); además recientemente premiado en los Premios de Privacidad APEP 2017, otorgados por la Asociación Profesional Española de Privacidad (APEP).

Como consecuencia del análisis que está siendo realizado por este excelente profesional, el pasado 15 de junio por la noche varios usuarios se pusieron en contacto con el equipo de Nepcom con el fin de conocer si sus datos personales viajaban fuera del país y, aún más, si alguno de sus datos personales era tratado o almacenado en Estados Unidos.

 En particular, Genís compartió en redes sociales el siguiente vídeo explicativo:

 

En el presente vídeo se puede observar como Genís, mediante la aplicación Netstat Plus, muestra como la aplicación establece un par de conexiones con servidores de Amazon AWS. En un primer momento, este hecho podía parecer que contravenía nuestra política de privacidad, puesto que garantizamos que los datos de los usuarios se almacenan, tratan y conservan de forma plena íntegra en territorio nacional.

Ante este hecho, el director de tecnología de Nepcom respondió públicamente:

Tal como se puede apreciar en el vídeo, el uso expuesto de la aplicación no llega a realizar ninguna acción que requiera de conexión con nuestros servidores. Es decir, ni se procede al registro de un nuevo usuario, ni se procede al inicio de sesión un usuario ya existente.

Sin embargo, desde Nepcom no nos hemos limitado a una argumentación superficial mediante tweets, sino que nos hemos propuesto investigar el motivo de las conexiones expuestas en aras de ofrecer una explicación con detalle a nuestros usuarios.

Después de varias comprobaciones para verificar con certeza el mencionado hecho, desde el equipo técnico de Nepcom confirmamos que las afirmaciones realizadas por Joan López de la Franca son correctas y que, en esencia, dichas conexiones corresponden al servicio de crash reporting de Crashlytics (Fabric).

Además, con tal de proporcionar una mayor transparencia a nuestros usuarios, queremos compartir exactamente las líneas de código que han sido verificadas como origen de las conexiones mencionadas:

final Fabric fabric = new Fabric.Builder(this)
.kits(new Crashlytics(), new Answers())
.debuggable(true)
.build();
Fabric.with(fabric);

Sin embargo, somos conscientes de que el hecho ocurrido ha sido una clara muestra de que siempre se puede ser más transparente de cara al usuario, es por eso que estamos considerando las dos siguientes opciones:

  •  restringimos esta herramienta de crash reporting para un uso exclusivo de debug
  • o si explicitamos dichas conexiones en nuestra política de privacidad, a pesar de que éstas no contienen ningún tráfico de datos personales de los usuarios

A pesar de esto, queremos remarcar de forma clara y concisa que el uso de dicho servicio se hace única y exclusivamente para la elaboración de informes de errores, es decir, para reportar aspectos puramente técnicos, y nunca relacionados con el usuario.

Con el fin de aclarar dicha explicación, añadimos un ejemplo de uso:

“Imagínese que usted, como usuario de la aplicación, recibe una imagen de uno de sus contactos. Cuando esta imagen se recibe, lo normal es que ésta pueda ser visualizada, sin embargo, pueden existir casos dónde esto no sea posible. Por ejemplo, si su dispositivo no tiene capacidad para almacenar dicha imagen o si el formato de la imagen recibida es desconocido.
Este es un caso muy habitual y este tipo de herramientas se usan para tener controlados este tipo de errores. Si bien no podemos hacer nada en aquellos casos dónde el dispositivo no tiene suficiente almacenamiento disponible, sí que podemos hacer que en versiones futuras de Nepcom, ésta sea compatible con nuevos formatos de imagen que hasta ahora eran detectados como no compatibles. Sin embargo, en ningún caso se envían los datos del usuario, es decir, en este caso la imagen y/o el texto asociado no serían comprometidos, sino que nos limitaríamos a enviar el informe de error dónde se detallaría el motivo (falta de capacidad, formato incompatible…) y los detalles (tamaño de la imagen, formato…), pero nunca el contenido ni los meta-datos relacionados o asociados con el usuario, como por ejemplo quién fue el emisor de la misma.”

Así pues, agradeciendo encarecidamente el trabajo realizado por Genís, esperamos que esta publicación clarifique todas las dudas surgidas a nuestros usuarios con respecto al tratamiento de sus datos y a la ubicación de los mismos. De todas formas, queremos recordar que estaremos encantados de resolver cualquier duda de cualquier índole que en un futuro os pueda surgir.

Muchas gracias,

Un cordial saludo desde el equipo de IT de Neptune Communication Solutions, SL.

Los comentarios están cerrados.