La Política de Uso Justo (en adelante, «PUJ») establece los lineamientos, límites y condiciones bajo los cuales los clientes y usuarios autorizados de Auxiliar RH pueden acceder e interactuar con la plataforma y sus interfaces de programación (API). Esta política forma parte integral del Contrato de Licencia de Uso de Software como Servicio (SaaS) suscrito entre Estrategia Empresarial, S.A. de C.V. (el prestador) y el cliente, conforme a lo dispuesto en su Cláusula Octava.
Su propósito es garantizar la calidad, estabilidad y disponibilidad continua del servicio para la totalidad de los usuarios de la plataforma, previniendo abusos que puedan degradar la experiencia colectiva.
1. Ámbito de aplicación
Esta política aplica a:
- Toda persona física o moral que mantenga un contrato activo con el prestador (el cliente).
- Cualquier usuario autorizado que acceda a la plataforma con credenciales asignadas por el cliente.
- Cualquier sistema, dispositivo, aplicación o integración que realice llamadas a las APIs de Auxiliar RH—incluidos dispositivos de reconocimiento facial, integraciones con nómina, clientes WhatsApp y conexiones MCP— bajo la responsabilidad del cliente.
2. Principios fundamentales del uso justo
2.1 Proporcionalidad
El volumen de peticiones, el almacenamiento consumido y la frecuencia de operaciones deben ser proporcionales al plan contratado y a la actividad operacional legítima del negocio del cliente.
2.2 Finalidad lícita
La API únicamente puede utilizarse para los fines descritos en el contrato: gestión y administración de personal, control de asistencia y horarios, registro de incidencias laborales, movimientos de personal, acceso de invitados, generación de reportes e indicadores, y operaciones derivadas de la actividad empresarial del cliente.
2.3 Responsabilidad
El cliente es responsable de todas las acciones ejecutadas por sus usuarios autorizados, dispositivos y sistemas integrados. El desconocimiento del uso realizado por un tercero no exime de responsabilidad al cliente.
2.4 Integridad del servicio
Ningún uso individual deberá comprometer la disponibilidad, el rendimiento o la integridad del servicio para otros clientes de la plataforma.
3. Parámetros técnicos de uso razonable
3.1 Límite de usuarios autorizados
Cada plan contratado establece un número máximo de usuarios autorizados (limite_usuarios) registrables en la plataforma. Superar este límite requerirá la contratación de plazas adicionales. Los incrementos se facturan de forma proporcional al período de suscripción vigente.
3.2 Límite de peticiones a la API (rate limiting)
Los endpoints de la API están sujetos a ventanas de control de tráfico:
| Recurso / endpoint | Límite | Ventana | Código o comportamiento |
|---|---|---|---|
| Webhook de actualización | 5 peticiones por IP | 1 minuto | HTTP 429 Too Many Requests |
| Envío de notificaciones por correo electrónico | 3 envíos por segundo | 1 segundo | Encolado automático (no expuesto al cliente como error) |
| Endpoints generales autenticados | Uso razonable proporcional al plan | Monitoreo continuo | Notificación y posible restricción |
/api-docs dentro de la plataforma, acceso exclusivo para perfiles administrador).3.3 Tamaño máximo de solicitudes
La plataforma acepta cuerpos de solicitud con los siguientes límites de tamaño, que aplican especialmente para cargas de imágenes, registros biométricos y sincronización masiva:
- Datos JSON: hasta 1,000 MB por solicitud.
- Formularios codificados: hasta 10,000 MB por solicitud.
Estos límites son técnicos y no sustituyen el deber del cliente de enviar únicamente datos necesarios y proporcionales.
3.4 Validez temporal de las solicitudes
Las peticiones a la API incluyen validación de sincronía entre el reloj del cliente y el servidor. Las solicitudes con una diferencia horaria superior a 3 minutos (TIME_THRESHOLD) pueden ser rechazadas para prevenir ataques de repetición (replay attacks).
3.5 Autenticación y sesiones
- Cada usuario autorizado debe contar con credenciales individuales y únicas. Está prohibido compartir una misma cuenta entre varias personas.
- Las sesiones tienen una duración máxima de 24 horas (86,400 segundos). Transcurrido este tiempo, el sistema requiere una nueva autenticación.
- Los dispositivos checadores y sistemas integrados deben autenticarse mediante tokens JWT vigentes, emitidos por el prestador.
- Los webhooks externos deben incluir el token de validación correspondiente (
UPDATE_WEBHOOK_TOKEN).
4. Usos permitidos
- Consulta y registro de asistencias, horarios, permisos, vacaciones e incidencias laborales.
- Alta, baja y modificación de empleados dentro del límite del plan contratado.
- Integración con sistemas de nómina (Nómina 2000) mediante los endpoints autorizados.
- Uso de funcionalidades de reconocimiento facial (AWS Rekognition) para checado de personal, dentro de los parámetros del plan.
- Acceso a reportes, indicadores y exportaciones en los formatos disponibles (Excel, PDF).
- Integración con WhatsApp para checado y solicitudes, mediante el canal oficial habilitado por el prestador.
- Uso del protocolo MCP (Model Context Protocol) para integraciones autorizadas con herramientas de IA, previa autorización.
- Uso de las funcionalidades de inteligencia artificial incorporadas en la plataforma, conforme a la Cláusula Décima Octava del contrato.
- Automatizaciones internas proporcionales al volumen operativo del negocio del cliente.
5. Usos prohibidos
Los siguientes usos constituyen una violación expresa de la PUJ y del contrato:
- Scraping, crawling o extracción masiva de datos mediante bots, scripts automatizados o herramientas de inteligencia artificial no autorizadas expresamente por escrito.
- Sobrecarga intencional de la infraestructura (ataques de denegación de servicio, flooding de peticiones, etc.).
- Ingeniería inversa del código fuente, algoritmos, estructuras de datos o APIs no públicas de la plataforma.
- Compartir credenciales de acceso entre múltiples personas bajo una misma cuenta.
- Creación de cuentas mediante métodos automatizados (bots u otros mecanismos similares).
- Reventa o sublicenciamiento del acceso a la plataforma o sus APIs a terceros no autorizados.
- Uso en beneficio de terceros o como producto o servicio para otros, incluyendo análisis competitivo.
- Introducción de código malicioso, virus, malware o cualquier software que comprometa la integridad de los sistemas.
- Eludir mecanismos de seguridad: cifrado, autenticación multifactor, firewalls o sistemas de detección de intrusiones.
- Recolección de datos personales con fines distintos a los establecidos en el contrato y el aviso de privacidad.
- Uso para actividades fraudulentas, ilegales o contrarias al orden público, incluyendo phishing, spam o suplantación de identidad.
6. Monitoreo, detección y sanciones
El prestador se reserva el derecho, mas no la obligación, de monitorear el uso de la plataforma y la API para verificar el cumplimiento de esta política.
6.1 Mecanismos de detección
- Análisis continuo de patrones de tráfico por IP y por cuenta de usuario.
- Registros de auditoría de accesos, modificaciones y exportaciones.
- Alertas automáticas ante umbrales de uso inusual.
- Validación de identidad y legitimidad del cliente, que podrá incluir solicitud de documentos oficiales, RFC y comprobantes.
6.2 Medidas ante incumplimiento
Ante un uso que exceda los parámetros establecidos o resulte abusivo, el prestador podrá, a su criterio y de forma progresiva:
- Notificación formal al cliente con plazo razonable para corrección.
- Restricción temporal de funcionalidades o endpoints específicos.
- Facturación de excedentes conforme a las tarifas vigentes publicadas en la plataforma.
- Suspensión temporal del acceso a la plataforma y sus APIs, sin responsabilidad alguna.
- Cancelación definitiva del contrato sin derecho a reembolso, en casos graves o reincidentes, conforme a la Cláusula Sexta, numeral 6.6 del contrato.
7. Disponibilidad y niveles de servicio (SLA)
El prestador se compromete a mantener una disponibilidad de la plataforma del 99.5% mensual, conforme al Anexo B – Acuerdo de Nivel de Servicio del contrato. Este compromiso excluye períodos de mantenimiento programado (notificados con mínimo 48 horas de antelación), interrupciones por causas de fuerza mayor (art. 2111 del Código Civil Federal; Cláusula Décima Sexta del contrato) y fallos atribuibles al incumplimiento de los requisitos técnicos mínimos por parte del cliente.
En caso de incumplimiento del SLA, el cliente podrá solicitar un crédito de servicio equivalente al tiempo de inactividad excedente, aplicable como descuento en la siguiente factura, sin exceder el 30% del precio mensual del servicio afectado.
8. Seguridad y protección de datos
El uso responsable de la API implica las siguientes obligaciones de seguridad para el cliente:
- Custodiar y no divulgar los tokens de autenticación (JWT, Bearer, tokens de webhook).
- Bloquear o revocar de forma inmediata las credenciales de usuarios autorizados que cesen su relación con el cliente.
- Reportar al prestador cualquier acceso no autorizado o uso sospechoso detectado.
- Garantizar que las integraciones de terceros que accedan a la API en nombre del cliente cumplan con esta política.
El prestador implementa medidas de seguridad sobre la infraestructura (Anexo A del contrato), entre ellas:
| Medida | Estándar aplicado |
|---|---|
| Infraestructura en la nube | ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS Nivel 1, SOC 1/2/3 |
| Cifrado en tránsito | SSL/TLS |
| Cifrado en reposo | Estándares de industria |
| Control de acceso | Autenticación multifactor, claves cifradas, registros de auditoría |
| Protección DDoS | WAF, sistemas IDS/IPS |
| Respaldo de datos | Copias completas semanales e incrementales diarias, en ubicaciones redundantes |
9. Inteligencia artificial y automatización
La plataforma puede incorporar funcionalidades basadas en inteligencia artificial (IA), conforme a la Cláusula Décima Octava del contrato. Al utilizarlas, el cliente acepta que la información procesada podrá ser tratada por proveedores terceros en calidad de subencargados; que los resultados tienen carácter orientativo y no constituyen asesoramiento profesional; y que es su responsabilidad evaluar el cumplimiento normativo aplicable en materia de protección de datos, no discriminación y transparencia algorítmica.
Está expresamente prohibido el uso de herramientas externas de IA para automatizar llamadas a la API sin autorización previa y por escrito del prestador.
10. Marco legal aplicable
Esta política se fundamenta y debe interpretarse conforme a las disposiciones legales vigentes en los Estados Unidos Mexicanos, incluyendo de manera enunciativa mas no limitativa: Código Civil Federal; Código de Comercio; Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su reglamento; Ley Federal de Protección a la Propiedad Industrial y Ley Federal del Derecho de Autor; Ley Federal del Trabajo; legislación fiscal vigente (SAT/CFDI); y, cuando corresponda, el Reglamento General de Protección de Datos (RGPD, UE) en materia de transferencias internacionales.
11. Modificaciones a esta política
El prestador se reserva el derecho de actualizar esta política en cualquier momento. Las modificaciones serán notificadas al cliente con una antelación mínima de 30 días naturales mediante correo electrónico o notificación dentro de la plataforma, conforme a la Cláusula Vigésima Primera del contrato. El uso continuado de la plataforma tras la entrada en vigor de las modificaciones constituirá la aceptación tácita de las mismas.
12. Contacto
Para dudas, reportes de abuso o solicitudes relacionadas con esta política puede utilizarse el canal de soporte técnico habilitado en la plataforma o el correo de notificaciones que el prestador tenga registrado para su cuenta.
Domicilio: Gustavo Baz #47, 301-302, Gustavo Baz, Xocoyahualco, Tlalnepantla, Estado de México, C.P. 54080
Estrategia Empresarial, S.A. de C.V.
R.F.C. EEM831020BM8 · Ciudad de México — Abril 2026
