Esta política define qué está permitido y qué está prohibido al usar las APIs, herramientas y servicios de Zyndhux. Aplica a todos los developers registrados y a las aplicaciones que integran Zyndhux Sign-In.
01 Propósito
Zyndhux proporciona infraestructura de identidad confiable. Para mantener la seguridad, privacidad y disponibilidad de la plataforma para todos los developers y usuarios finales, es necesario establecer límites claros de uso. Esta política complementa los Términos de Developer.
02 Uso permitido
Puedes usar las APIs de Zyndhux para:
- Implementar autenticación de usuarios en tu App usando el flujo OAuth 2.0/OIDC estándar.
- Acceder a los datos de perfil de usuarios que hayan dado su consentimiento explícito.
- Construir aplicaciones legítimas de cualquier categoría: SaaS, e-commerce, apps móviles, herramientas internas, plataformas educativas, proyectos personales.
- Probar tu integración usando cuentas de prueba propias.
- Usar los SDKs y herramientas de Zyndhux para facilitar la integración.
- Consultar la documentación y el API Explorer para entender los endpoints disponibles.
- Integrar múltiples Apps siempre que cada una esté registrada individualmente.
03 Uso expresamente prohibido
3.1 Abuso de la plataforma
- Intentar acceder a cuentas de otros developers o de usuarios finales sin autorización.
- Eludir, deshabilitar o interferir con mecanismos de seguridad, rate limiting o autenticación.
- Usar las APIs para realizar scraping masivo de datos de la plataforma Zyndhux.
- Compartir credenciales de developer (client_id/secret) con terceros no autorizados.
- Crear múltiples cuentas de developer para evadir límites del plan gratuito.
- Automatizar el registro de usuarios falsos o de prueba en la plataforma Zyndhux.
- Realizar ingeniería inversa, descompilar o intentar acceder al código fuente de los Servicios.
- Usar proxies, VPNs o técnicas de ofuscación para ocultar el origen de las peticiones con fines maliciosos.
3.2 Uso indebido de datos de usuarios
- Vender, alquilar, compartir o monetizar datos de usuarios obtenidos a través de las APIs sin su consentimiento explícito.
- Usar datos de usuarios para propósitos distintos a los declarados en tu App y en el consent screen.
- Crear perfiles de usuarios más allá de los datos que el usuario ha autorizado explícitamente.
- Retener datos de usuarios más allá del período necesario o tras la revocación del consentimiento.
- Usar el campo
sub(identificador de usuario) para rastrear usuarios en contextos no relacionados con tu App.
3.3 Engaño y manipulación
- Registrar Apps con nombres, logos o descripciones que imiten a Zyndhux, a otras Apps registradas o a marcas conocidas para confundir a los usuarios.
- Usar el consent screen de Zyndhux para obtener permisos bajo pretextos falsos (dark patterns).
- Presentar el botón de "Iniciar sesión con Zyndhux" de forma engañosa o que induzca a error.
- Solicitar scopes que tu App no necesita realmente para su funcionamiento.
3.4 Actividades ilegales o dañinas
- Usar las APIs en el contexto de actividades ilegales según la legislación peruana o internacional.
- Facilitar fraude financiero, lavado de dinero o financiamiento del terrorismo.
- Distribuir malware, ransomware, spyware u otro software malicioso a través de tu App.
- Realizar ataques de phishing o robo de credenciales usando tu App como vector.
- Violar derechos de propiedad intelectual de terceros en tu App.
- Acosar, intimidar o discriminar a usuarios basándose en características protegidas.
04 Categorías de contenido prohibido en Apps
No puedes registrar ni operar una App que:
| Categoría | Descripción |
|---|---|
| CSAM | Contenga, distribuya o facilite material de abuso sexual de menores. Tolerancia cero — reporte inmediato a autoridades. |
| Terrorismo | Promueva, financie o facilite actividades terroristas o de grupos extremistas violentos. |
| Tráfico humano | Facilite la trata de personas, explotación sexual o laboral. |
| Fraude | Opere como plataforma de estafas, fraudes financieros, esquemas piramidales o Ponzi. |
| Drogas ilegales | Facilite la venta o distribución de sustancias controladas sin autorización legal. |
| Armas ilegales | Facilite la venta o distribución de armas sin licencia o en violación de la ley. |
| Desinformación dañina | Distribuya deliberadamente desinformación que cause daño real a personas o instituciones. |
| Vigilancia no consentida | Permita el rastreo, monitoreo o espionaje de personas sin su conocimiento y consentimiento. |
| Juegos de azar ilegales | Opere como plataforma de apuestas o juegos de azar sin las licencias correspondientes en cada jurisdicción. |
05 Uso apropiado de scopes
5.1 Principio de mínimo privilegio
Debes solicitar únicamente los scopes que tu App necesita para funcionar. Zyndhux monitorea el uso de scopes y puede revocar acceso a scopes solicitados pero no usados en los últimos 90 días.
| Scope | Cuándo pedirlo | Cuándo NO pedirlo |
|---|---|---|
| openid | Siempre — es el mínimo requerido para identificar al usuario. | N/A — es obligatorio. |
| profile | Cuando necesitas mostrar el nombre o avatar del usuario en tu App. | Si solo necesitas identificar al usuario sin mostrar su nombre. |
| Cuando necesitas el email para comunicarte con el usuario o como login alternativo. | Si solo necesitas el identificador único (sub). | |
| offline_access | Cuando necesitas mantener la sesión activa sin relogin durante días o semanas. | Para accesos de una sola vez o de corta duración. |
06 Límites de uso y rate limiting
Los límites de uso están definidos por plan y son por App (client_id). Superarlos
resulta en respuestas HTTP 429. El abuso sistemático de los límites
puede resultar en suspensión.
Se considera abuso sistemático: intentar eludir rate limits mediante múltiples client_ids coordinados, distribución artificial de carga para evadir detección, o uso de cuentas de otros developers para superar límites propios.
Ver límites detallados en Términos, sección 10.
07 Aplicación y sanciones
| Gravedad | Ejemplos | Respuesta de Zyndhux |
|---|---|---|
| Crítica | CSAM, terrorismo, fraude masivo, compromiso de seguridad activo | Suspensión inmediata sin aviso. Reporte a autoridades. |
| Alta | Venta de datos de usuarios, evasión sistemática de límites, suplantación de identidad | Suspensión inmediata. Posibilidad de reactivación tras investigación. |
| Media | Solicitud de scopes innecesarios, dark patterns, incumplimiento de obligaciones de privacidad | Aviso formal con plazo de 7 días para corrección. Suspensión si no se corrige. |
| Baja | Exceso puntual de rate limits, datos desactualizados en el registro | Aviso por email. Sin suspensión en primera instancia. |
Las suspensiones pueden apelarse enviando un email a dev@zyndhux.com con la explicación del caso. Zyndhux responderá en un plazo de 5 días hábiles.
08 Reportar abuso
Si detectas una App registrada en Zyndhux que está violando esta política o que está usando Zyndhux Sign-In de forma maliciosa, repórtalo a:
Reporte de abuso
Incluye en tu reporte: URL o nombre de la App, descripción del abuso detectado, capturas de pantalla o evidencia si es posible, y tu información de contacto.