Política de privacidad

Last updated: May 21, 2026 · Última actualización: 21 de mayo de 2026

🇬🇧 English  ·  🇪🇸 Español

English

Scope of this Privacy Policy. This document covers both: (a) the Jesus in Five mobile application ("the App"), distributed via the Apple App Store; and (b) our online store at jesusinfive.com ("the Website" or "the Store"), where physical journals and related merchandise are sold. Sections that apply only to one surface are clearly marked.

1. Who We Are

Jesus in Five and the jesusinfive.com online store are operated by Five Castles LLC, a Wyoming limited liability company ("we", "us", "Five Castles"). This Privacy Policy describes how we collect, use, protect, and share your information when you use the App, visit our Website, or purchase products from our Store.

2. Information We Collect

2.A · Through the App

Account information: name, email address, password (stored as a cryptographic hash, never in plain text).

Journal content (encrypted on your device before transmission — see Section 4):

  • Living Word entries
  • Sign of Grace notes
  • Burden Handed Over entries
  • Kingdom Seed reflections
  • The Trace evening reflections
  • Seventh Day Review weekly entries
  • Peace scores and Character of Christ trait selections
  • Grace Notes (searchable corpus)
  • Blessings Index entries
  • AI-generated reflections and burden responses

App state: enrollment progress (journey, current week, start date), subscription tier (Member/Expired), reminder preferences, recovery code metadata (hashed, not the code itself).

Device information: device type, operating system version, app version, language preference.

Optional: OCR scans of handwriting if you choose to use the camera-based input feature.

2.B · Through the Website / Store

Order information: when you make a purchase, we collect your name, billing address, shipping address, email address, and (optionally) phone number for shipping notifications. Payment information (full card number, CVV, expiration) is processed directly by Shopify Payments and never stored on our systems; we only retain the card brand and the last 4 digits for receipt and dispute-resolution purposes.

Customer account information: if you create a customer account on jesusinfive.com, your email address and password (hashed by Shopify) are stored to allow you to view order history and manage shipping addresses.

Browsing and analytics data: pages visited, products viewed, items added to or removed from cart, checkout abandonment events, time on site, referrer source, UTM parameters (campaign attribution), search queries within the Store.

Device and connection data: IP address (used for geolocation, fraud prevention, currency display), browser type and version, operating system, screen resolution, language preference.

Marketing preferences: opt-in status for promotional emails and/or SMS messages (collected at checkout or via newsletter sign-up forms), along with the date and source of consent.

Reviews and user-generated content: if you submit a product review or rating, we collect the review content, your display name (or initials), and the verified-purchase flag.

Customer service correspondence: emails or chat messages you send to our support team, including any information you choose to include.

3. How We Use Your Information

3.A · In Connection with the App

We use App-related information to:

  • Provide and personalize your daily reflection experience
  • Synchronize your data across your devices
  • Track your streak, progress, and completion status
  • Send notifications and reminders you opt into
  • Generate AI-powered reflections and burden responses via Anthropic Claude (see Section 5.A)
  • Generate audio narration via ElevenLabs (pre-recorded readings) and Google Cloud Text-to-Speech (AI reflection responses) — see Section 5.A
  • Process App subscription payments via Apple App Store
  • Diagnose technical issues and improve the App based on anonymous usage patterns
  • Communicate important account or service updates

AI Transparency: when the App generates content using artificial intelligence (Reflection Sub-Cards and Burden Advice), this content is clearly labeled as "AI-generated" in accordance with California Business and Professions Code §17940 and the EU AI Act's transparency requirements for limited-risk AI systems. We never present AI output as if it were authored by a human.

3.B · In Connection with the Website / Store

We use Store-related information to:

  • Process and fulfill your order (validate payment, package and ship goods)
  • Provide order confirmations, shipping notifications, tracking information, and delivery updates
  • Handle returns, refunds, exchanges, and customer service inquiries
  • Comply with tax, accounting, and recordkeeping obligations (US sales tax, VAT/IVA where applicable, IRS recordkeeping)
  • Detect, investigate, and prevent fraudulent transactions
  • Improve the shopping experience based on aggregated browsing and conversion analytics
  • Personalize product recommendations based on your browsing history (if applicable)
  • Send marketing communications IF you opted in (see Section 3.C)

3.C · Marketing Communications (Both Surfaces)

With your explicit consent provided at signup (App), at checkout (Store), via a newsletter form, or in Settings > Notifications, we may send you occasional promotional communications, including emails, SMS messages, or push notifications about new features, special offers, devotional content updates, product launches, restocks, and Kickstarter campaign news.

We will never send promotional content without your prior opt-in consent (these consent checkboxes are unticked by default and separate from accepting these Terms or completing a purchase). You can withdraw marketing consent at any time:

  • Email: click "Unsubscribe" in any promotional email footer, or contact privacy@jesusinfive.com.
  • SMS: reply STOP to any promotional SMS (US/Canada) or follow the unsubscribe instructions provided in the message.
  • Push notifications: Settings > Notifications inside the App, or disable at the device OS level.

Withdrawing marketing consent does NOT affect essential service notifications (order confirmations, shipping updates, daily reminders you scheduled in the App, account security alerts, subscription renewal notices) or our processing of your data for service delivery.

4. Client-Side Encryption (App Only)

Your private journal content (the items listed in Section 2.A as "Journal content") is encrypted on your device using AES-256 envelope encryption before being transmitted to our servers. The encryption uses a Device Encryption Key (DEK) generated locally on first activation. This DEK is wrapped (encrypted) using a Key Encryption Key (KEK) derived from your Activation Code or Recovery Code combined with a server-side pepper.

This means:

  • Five Castles CANNOT read the contents of your journal entries.
  • Even if our database were compromised, your reflections would remain unreadable.
  • Your Recovery Code (XXXX-XXXX format) is your only way to restore access from a new device. We do not store your Recovery Code; you must save it where instructed during setup.

Cryptographic specifics are documented in our Crypto Design document, available upon request.

Note: This client-side encryption applies only to journal content collected through the App (Section 2.A). Information collected through the Store (Section 2.B) is protected by Shopify's standard ecommerce security (encryption in transit via TLS and encryption at rest in Shopify's databases) but is not subject to the same zero-knowledge architecture.

5. Third-Party Services & Data Sharing

We never sell your personal information. We share data only with vetted processors who help us deliver the service:

5.A · App Processors

  • Supabase, Inc. (US) — database hosting and authentication; receives encrypted journal content and account information.
  • RevenueCat, Inc. (US) — App subscription processing; receives anonymous user ID and subscription events.
  • Anthropic, PBC (US) — AI reflection and burden response generation (Claude Opus model); receives the relevant portions of your entry at the moment of generation.
  • ElevenLabs, Inc. (US) — audio narration generation of pre-recorded devotional content (not your personal content).
  • Google LLC / Google Cloud Text-to-Speech (US) — synthesis of AI-generated reflection responses into audio. Text is processed for audio synthesis only and is not retained or used to train Google's models, per Google Cloud's customer data terms.
  • Apple, Inc. (US) — App subscription payment processing.

IMPORTANT NOTICE ABOUT ANTHROPIC: when you use AI features (Reflection Sub-Card or Burden Advice), the relevant portions of your entry are decrypted on your device and sent to Anthropic to generate the response. Under Anthropic's default API terms, prompts and responses may be retained for up to 30 days for abuse monitoring before being deleted. Anthropic does NOT use this data to train their models. For details, see Anthropic's Privacy Policy and API Usage Policy.

5.B · Website / Store Processors

  • Shopify, Inc. (Canada / US) — ecommerce platform provider. Shopify hosts our online store, processes the checkout flow, stores customer accounts and order records, and provides built-in analytics. See Shopify Privacy Policy.
  • Shopify Payments / Stripe, Inc. (US) — credit and debit card payment processing. Receives full payment card data, billing address, and order amount; we do not have access to your full card number. Stripe is PCI-DSS Level 1 certified.
  • PayPal, Inc. (US) — alternative payment method, when selected. PayPal processes the transaction under its own privacy policy.
  • Shipping carriers (e.g., USPS, UPS, FedEx, DHL — depending on destination) — receive your name, shipping address, and order weight/dimensions to deliver your order. They may provide tracking data back to us.
  • Print fulfillment partner (China-based supplier) — receives your name and shipping address for the production and direct shipment of the physical journal. The partner is contractually bound to use this information solely for order fulfillment and not for any other purpose.
  • Email service provider (e.g., Shopify Email or Klaviyo, depending on current configuration) — sends order confirmations, shipping notifications, customer service replies, and (only if opted in) promotional emails.
  • Analytics and advertising pixels (when enabled): we may use Google Analytics, Meta Pixel, TikTok Pixel, and similar marketing tracking technologies to measure campaign effectiveness and improve our advertising. These pixels are managed in accordance with our cookie consent process (see Section 6).
  • Customer service tools (e.g., Shopify Inbox, Gorgias, or similar) — may be used to manage support email and chat conversations.

The specific roster of Store processors may evolve as the business grows. The current list is available on request to privacy@jesusinfive.com.

5.C · External Services (Deep Links)

The App contains links to external services that we do NOT operate, including Spotify (for curated music playlists). When you tap such a link, you leave the App and enter the third party's platform; we do not transmit your personal information to them. Your interactions on those platforms are governed by their respective privacy policies (e.g., Spotify Privacy Policy).

6. Cookies and Tracking Technologies (Website Only)

The jesusinfive.com website uses cookies and similar tracking technologies (web beacons, pixels, local storage). The App does not use web cookies, but uses analogous on-device storage to maintain your session and preferences.

Categories of cookies we use:

  • Essential cookies (always active): required for the Store to function — shopping cart state, checkout progression, login state, fraud-prevention. These cannot be disabled without breaking the Store.
  • Analytics cookies: Shopify's built-in analytics and, when enabled, Google Analytics 4. Used to understand aggregate site usage (most-viewed pages, conversion funnel, geographic distribution) so we can improve the Store.
  • Marketing / Advertising cookies: when we run paid advertising campaigns, we may use pixels from Meta (Facebook/Instagram), Google Ads, TikTok, or Pinterest to measure conversion attribution and to enable retargeting. These pixels share limited data (page visited, conversion event) with the advertising platform.
  • Geolocation / Localization cookies: detect approximate country based on IP for currency display and shipping cost estimation.

Your choices:

EU/EEA/UK visitors: a cookie consent banner appears on your first visit. You may accept all cookies, reject all non-essential cookies, or customize your selection. Your preferences are saved and can be changed at any time via the "Cookie preferences" link in the website footer.

US visitors: you may opt out of personalized advertising via the "Do Not Sell or Share My Personal Information" link in the website footer (where applicable under your state's law — see Section 12).

All visitors: you can manage cookies via your browser settings. Disabling essential cookies will prevent the Store from functioning correctly.

7. International Data Transfers

Our processors are primarily located in the United States, with Shopify also operating from Canada. Our print fulfillment partner is located in China. If you are located in the European Economic Area, the United Kingdom, Switzerland, Brazil, or other regions with data protection laws restricting international transfers, by using the App or placing an order on the Website you acknowledge that your data will be transferred to and processed in these jurisdictions.

Where applicable, we rely on:

  • Standard Contractual Clauses (SCCs) approved by the European Commission for transfers to non-adequacy countries;
  • The EU-U.S. Data Privacy Framework (DPF) where processors are certified;
  • Adequacy decisions of the European Commission (e.g., for Canada under PIPEDA);
  • Supplementary measures (encryption, pseudonymization) where assessed as necessary.

For transfers to our print partner in China, we limit the data shared to the minimum required for shipping (name, shipping address, order weight) and bind the partner contractually to confidentiality and purpose limitation. China is not currently subject to an EU adequacy decision; you should be aware that legal protections in China may differ from those in your jurisdiction.

8. Data Security

Beyond client-side encryption for App data (Section 4), we implement:

  • Transport Layer Security (TLS 1.2+) for all data in transit, both for the App and the Website
  • Row-Level Security (RLS) policies in our App database to ensure you can only access your own data
  • Password hashing using bcrypt (we never store plaintext passwords)
  • Server-side pepper stored separately from database for additional encryption hardening (App)
  • Shopify's PCI-DSS Level 1 certified payment infrastructure for the Store
  • Two-factor authentication (2FA) enforced on all administrative accounts
  • Regular security reviews of our code, infrastructure, and processor agreements

No system is 100% secure. We cannot guarantee absolute security, but we work continuously to protect your data.

9. Your Rights

You have the right to:

  • Access: view all your personal data — App content is visible in the App (use Settings > Export My Data for a full copy); Store data is visible in your Shopify customer account (or available by request).
  • Portability: export your reflections as machine-readable JSON (App); receive your order history in CSV or JSON (Store, on request).
  • Correction: update inaccurate account information via Settings > Edit Profile (App) or your Customer Account > Account details (Store).
  • Deletion: delete your App account and all associated data via Settings > Delete My Account (permanent, irreversible). Store data may be partially retained where required by tax and accounting law (see Section 10).
  • Restriction: pause processing of your data by deleting or deactivating your account.
  • Objection: decline AI features, analytics, or marketing by not using them or by opting out.
  • Consent withdrawal: withdraw any consent you previously gave (marketing, cookies, etc.) at any time.

To exercise rights not directly available in the App or Store interface, contact privacy@jesusinfive.com.

10. Data Retention

App data — Active accounts: we retain your App data for as long as your account is active.

App data — Deleted accounts: when you delete your App account, your data is purged from our active database within 30 days. Encrypted backups may persist for up to 90 days for disaster recovery, after which they are also purged. AI processing logs at Anthropic follow Anthropic's 30-day retention policy.

Store data — Order records: US tax law and accounting best practice require retention of financial transaction records (including order history, invoices, payment records, and shipping records) for at least seven (7) years from the date of the transaction. Comparable requirements apply in many other jurisdictions (e.g., EU VAT records, 6–10 years depending on Member State). We retain this minimum order data for this period regardless of account deletion.

Store data — Customer accounts: if you create a Shopify customer account, the account is retained while active; on request, we can delete the account, but order records linked to it (retained per the previous bullet) will be retained in pseudonymized form (name and email removed where legally permissible).

Marketing data: consent records (date, source, scope of marketing opt-in) are retained for as long as you remain opted in, plus 3 years after withdrawal of consent for legal-defense purposes (e.g., to demonstrate compliance with TCPA, CAN-SPAM, GDPR consent requirements).

Anonymized usage analytics: anonymous data with no link to your identity may be retained indefinitely.

11. Children's Privacy

Neither the App nor the Store is intended for users under 16. We do not knowingly collect personal information from anyone under 16, including children under 13 as defined by the U.S. Children's Online Privacy Protection Act (COPPA). If you become aware that a user under 16 has provided us with personal information, please contact us at privacy@jesusinfive.com and we will delete it promptly.

12. US State Privacy Rights

If you are a resident of a U.S. state with comprehensive privacy laws — California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Florida (FDBR) — you have the following rights regarding your personal information:

  • Right to know/access: what personal information we collect, use, disclose, and share
  • Right to delete your personal information (subject to retention exceptions in Section 10)
  • Right to correct inaccurate personal information
  • Right to data portability (receive your information in machine-readable format)
  • Right to opt out of the sale or sharing of personal information for cross-context behavioral advertising. If you have visited our Store while signed in to Meta, Google, or TikTok, marketing pixels may have shared limited browsing data with those platforms; you may opt out via the cookie banner or the "Do Not Sell or Share" link in our footer.
  • Right to non-discrimination for exercising your rights

California residents — additional rights under CPRA: correction, limitation of the use of sensitive personal information, opt-out from automated decision-making with significant effects (we do not use this). We do not sell personal information for monetary consideration; for purposes of "sharing" under the CCPA/CPRA, see the marketing pixel disclosure above.

To exercise any of these rights, contact privacy@jesusinfive.com. We will verify your identity before processing the request (typically by requesting confirmation from the email associated with your account or order). We will respond within the time periods required by your state law.

13. EU/EEA/UK Residents (GDPR)

If you are in the European Economic Area, the United Kingdom, Switzerland, or another GDPR-covered jurisdiction, additional rights apply. Although Five Castles LLC is incorporated in the United States, GDPR applies to us extraterritorially under Article 3.2 when we offer services or goods to individuals in the EEA — including when you purchase from our Store with an EU shipping address or use the App in the EU.

  • Lawful bases for processing: (a) your consent (account creation, optional App features, marketing communications, non-essential cookies); (b) the necessity to perform our contract with you (delivering the App service, fulfilling your Store order); (c) compliance with a legal obligation (tax recordkeeping); and (d) our legitimate interest (fraud prevention, product improvement) — balanced against your rights.
  • You have the right of access, rectification, erasure, restriction, portability, and objection to processing — exercisable via Settings, your Customer Account, or by contacting privacy@jesusinfive.com.
  • You have the right to lodge a complaint with your local data protection authority. In Spain: Agencia Española de Protección de Datos (AEPD), www.aepd.es. In the UK: Information Commissioner's Office (ICO), www.ico.org.uk.
  • We have not appointed a dedicated Data Protection Officer (DPO) because our processing does not meet the thresholds requiring one under Article 37 GDPR.
  • We rely on Standard Contractual Clauses (SCCs) and supplementary measures where applicable for transfers to our US-based and other non-EEA processors (see Section 7).

14. Brazil and Other Latin American Residents

If you reside in Brazil, you are protected by the rights established by the Lei Geral de Proteção de Dados (LGPD, Law 13.709/2018), including access, correction, anonymization, portability, deletion, consent revocation, and information about with whom we share your data. The Brazilian National Data Protection Authority (ANPD) is the competent body.

If you reside in Colombia, you are protected by rights under Statutory Law 1581 of 2012 and Decree 1377 of 2013, including access, knowledge, updating, rectification, and deletion. The Superintendence of Industry and Commerce (SIC) is the data protection authority.

Users in other Latin American jurisdictions (Mexico LFPDPPP, Argentina Law 25.326, Chile Law 19.628, etc.): your local data protection rights apply and we will honor reasonable requests. Contact privacy@jesusinfive.com with your request.

15. Changes to This Policy

We may update this Privacy Policy as the App and Store evolve. We will notify you of material changes through the App, the Website, or by email at least 30 days before the changes take effect. The "Last updated" date at the top of this policy reflects the most recent revision. We encourage you to review this policy periodically.

16. Contact Us

Five Castles LLC (Wyoming, USA)
Email: privacy@jesusinfive.com

For users in the EU/EEA, we have not appointed an EU representative as we do not meet the thresholds under Article 27 GDPR. You may contact us directly at the email above.

Español

Alcance de esta Política de Privacidad. Este documento cubre tanto: (a) la aplicación móvil Jesus in Five ("la App"), distribuida a través de la Apple App Store; como (b) nuestra tienda online en jesusinfive.com ("el Sitio Web" o "la Tienda"), donde se venden los diarios físicos y mercancía relacionada. Las secciones que aplican solo a una superficie están claramente marcadas.

1. Quiénes somos

Jesus in Five y la tienda online jesusinfive.com son operadas por Five Castles LLC, una sociedad de responsabilidad limitada de Wyoming, Estados Unidos ("nosotros", "Five Castles"). Esta Política describe cómo recopilamos, usamos, protegemos y compartimos tu información cuando usas la App, visitas nuestro Sitio Web, o compras productos de nuestra Tienda.

2. Información que recopilamos

2.A · A través de la App

Información de cuenta: nombre, correo electrónico y contraseña (almacenada como hash criptográfico, nunca en texto plano).

Contenido del diario (cifrado en tu dispositivo antes de ser transmitido — ver Sección 4):

  • Entradas de La Palabra Viva
  • Notas de Señal de Gracia
  • Entradas de Carga Entregada
  • Reflexiones de Semilla del Reino
  • Reflexiones nocturnas de El Rastro
  • Entradas semanales del Séptimo Día
  • Puntajes de paz y rasgos del Carácter de Cristo seleccionados
  • Notas de Gracia (corpus buscable)
  • Entradas del Índice de Bendiciones
  • Reflexiones y respuestas de carga generadas por IA

Estado de la app: progreso de inscripción (camino, semana actual, fecha de inicio), nivel de suscripción (Miembro/Expirado), preferencias de recordatorios, metadatos del código de recuperación (hash, no el código en sí).

Información del dispositivo: tipo de dispositivo, versión del sistema operativo, versión de la app, preferencia de idioma.

Opcional: escaneos OCR de escritura a mano si eliges usar la función de cámara.

2.B · A través del Sitio Web / Tienda

Información de pedido: cuando realizas una compra, recopilamos tu nombre, dirección de facturación, dirección de envío, correo electrónico y (opcionalmente) número de teléfono para notificaciones de envío. La información de pago (número completo de tarjeta, CVV, fecha de expiración) es procesada directamente por Shopify Payments y nunca se almacena en nuestros sistemas; solo retenemos la marca de la tarjeta y los últimos 4 dígitos para recibo y resolución de disputas.

Información de cuenta de cliente: si creas una cuenta de cliente en jesusinfive.com, tu correo electrónico y contraseña (con hash por Shopify) se almacenan para permitirte ver el historial de pedidos y gestionar direcciones de envío.

Datos de navegación y análisis: páginas visitadas, productos vistos, artículos añadidos o removidos del carrito, eventos de abandono de checkout, tiempo en el sitio, fuente de referencia, parámetros UTM (atribución de campañas), consultas de búsqueda dentro de la Tienda.

Datos de dispositivo y conexión: dirección IP (usada para geolocalización, prevención de fraude, visualización de moneda), tipo y versión del navegador, sistema operativo, resolución de pantalla, preferencia de idioma.

Preferencias de marketing: estado de opt-in para correos promocionales y/o mensajes SMS (recopilado en el checkout o mediante formularios de suscripción al newsletter), junto con la fecha y origen del consentimiento.

Reseñas y contenido generado por el usuario: si envías una reseña o calificación de producto, recopilamos el contenido de la reseña, tu nombre para mostrar (o iniciales) y la marca de compra verificada.

Correspondencia de servicio al cliente: correos o mensajes de chat que envíes a nuestro equipo de soporte, incluyendo cualquier información que elijas incluir.

3. Cómo usamos tu información

3.A · En relación con la App

Usamos la información relacionada con la App para:

  • Proporcionar y personalizar tu experiencia de reflexión diaria
  • Sincronizar tus datos entre dispositivos
  • Rastrear tu racha, progreso y estado de completitud
  • Enviar notificaciones y recordatorios que actives
  • Generar reflexiones y respuestas con IA vía Anthropic Claude (ver Sección 5.A)
  • Generar narración de audio vía ElevenLabs (lecturas pregrabadas) y Google Cloud Text-to-Speech (respuestas de reflexión IA) — ver Sección 5.A
  • Procesar pagos de suscripción de la App vía Apple App Store
  • Diagnosticar problemas técnicos y mejorar la App basándonos en patrones anónimos de uso
  • Comunicar actualizaciones importantes de cuenta o servicio

Transparencia de IA: cuando la App genera contenido usando inteligencia artificial (Sub-Tarjetas de Reflexión y Consejo de Carga), este contenido se etiqueta claramente como "Generado por IA" conforme a California Business and Professions Code §17940 y los requisitos de transparencia del Reglamento de IA de la UE para sistemas de IA de riesgo limitado. Nunca presentamos contenido de IA como si fuera escrito por una persona.

3.B · En relación con el Sitio Web / Tienda

Usamos la información relacionada con la Tienda para:

  • Procesar y cumplir tu pedido (validar pago, empaquetar y enviar los productos)
  • Proporcionar confirmaciones de pedido, notificaciones de envío, información de seguimiento y actualizaciones de entrega
  • Gestionar devoluciones, reembolsos, intercambios y consultas de servicio al cliente
  • Cumplir con obligaciones fiscales, contables y de mantenimiento de registros (impuesto sobre las ventas de EE.UU., IVA donde aplique, requisitos del IRS)
  • Detectar, investigar y prevenir transacciones fraudulentas
  • Mejorar la experiencia de compra basándonos en analítica agregada de navegación y conversión
  • Personalizar recomendaciones de productos según tu historial de navegación (si aplica)
  • Enviar comunicaciones de marketing SI optaste por recibirlas (ver Sección 3.C)

3.C · Comunicaciones de marketing (ambas superficies)

Con tu consentimiento explícito proporcionado en el registro (App), en el checkout (Tienda), mediante un formulario de newsletter, o en Ajustes > Notificaciones, podemos enviarte comunicaciones promocionales ocasionales, incluyendo correos, mensajes SMS o notificaciones push sobre nuevas funciones, ofertas especiales, actualizaciones de contenido devocional, lanzamientos de productos, reposiciones y novedades de campañas de Kickstarter.

Nunca enviaremos contenido promocional sin tu consentimiento previo (estas casillas de consentimiento están desmarcadas por defecto y son separadas de la aceptación de Términos o de completar una compra). Puedes retirar el consentimiento de marketing en cualquier momento:

  • Correo: haz clic en "Cancelar suscripción" en cualquier pie de correo promocional, o contacta privacy@jesusinfive.com.
  • SMS: responde STOP a cualquier SMS promocional (EE.UU./Canadá) o sigue las instrucciones de baja del mensaje.
  • Notificaciones push: Ajustes > Notificaciones dentro de la App, o desactiva a nivel del sistema operativo.

Retirar el consentimiento de marketing NO afecta las notificaciones esenciales del servicio (confirmaciones de pedido, actualizaciones de envío, recordatorios diarios que programaste en la App, alertas de seguridad de cuenta, avisos de renovación de suscripción) ni nuestro procesamiento de tus datos para entregar el servicio.

4. Cifrado en tu dispositivo (solo App)

Tu contenido privado de diario (los elementos listados en la Sección 2.A como "Contenido del diario") se cifra en tu dispositivo usando cifrado de sobre AES-256 antes de transmitirse a nuestros servidores. El cifrado usa una Clave de Cifrado de Dispositivo (DEK) generada localmente en tu primera activación. Esta DEK se envuelve (cifra) usando una Clave de Cifrado de Clave (KEK) derivada de tu Código de Activación o Código de Recuperación combinado con un pepper del lado del servidor.

Esto significa:

  • Five Castles NO puede leer el contenido de tus entradas de diario.
  • Aunque nuestra base de datos fuera comprometida, tus reflexiones permanecerían ilegibles.
  • Tu Código de Recuperación (formato XXXX-XXXX) es tu única forma de restaurar acceso desde un nuevo dispositivo. No almacenamos tu Código de Recuperación; debes guardarlo donde se te indica durante la configuración.

Los detalles criptográficos están documentados en nuestro Diseño Criptográfico, disponible bajo petición.

Nota: Este cifrado en el dispositivo aplica únicamente al contenido del diario recopilado a través de la App (Sección 2.A). La información recopilada a través de la Tienda (Sección 2.B) está protegida por la seguridad ecommerce estándar de Shopify (cifrado en tránsito vía TLS y cifrado en reposo en las bases de datos de Shopify) pero no está sujeta a la misma arquitectura zero-knowledge.

5. Servicios de terceros y compartición de datos

Nunca vendemos tu información personal. Compartimos datos únicamente con procesadores examinados que nos ayudan a entregar el servicio:

5.A · Procesadores de la App

  • Supabase, Inc. (EE.UU.) — alojamiento de base de datos y autenticación; recibe contenido cifrado del diario e información de cuenta.
  • RevenueCat, Inc. (EE.UU.) — procesamiento de suscripciones de la App; recibe ID anónimo de usuario y eventos de suscripción.
  • Anthropic, PBC (EE.UU.) — generación de reflexiones y respuestas IA (modelo Claude Opus); recibe los fragmentos relevantes de tu entrada en el momento de la generación.
  • ElevenLabs, Inc. (EE.UU.) — generación de narración de audio del contenido devocional pregrabado (no contenido personal tuyo).
  • Google LLC / Google Cloud Text-to-Speech (EE.UU.) — síntesis en audio de las respuestas de reflexión generadas por IA. El texto se procesa únicamente para la síntesis de audio y no se retiene ni se usa para entrenar los modelos de Google, según los términos de datos de clientes de Google Cloud.
  • Apple, Inc. (EE.UU.) — procesamiento de pagos de suscripción de la App.

AVISO IMPORTANTE SOBRE ANTHROPIC: cuando usas funciones de IA (Reflexión o Consejo de Carga), las porciones relevantes de tu entrada se descifran en tu dispositivo y se envían a Anthropic para generar la respuesta. Bajo los términos predeterminados de la API de Anthropic, los prompts y respuestas pueden retenerse hasta 30 días para monitoreo de abuso antes de eliminarse. Anthropic NO usa estos datos para entrenar sus modelos. Detalles en la Política de Privacidad de Anthropic y su Política de Uso de la API.

5.B · Procesadores del Sitio Web / Tienda

  • Shopify, Inc. (Canadá / EE.UU.) — proveedor de la plataforma ecommerce. Shopify aloja nuestra tienda online, procesa el flujo de checkout, almacena cuentas de cliente y registros de pedidos, y proporciona analítica integrada. Ver Política de Privacidad de Shopify.
  • Shopify Payments / Stripe, Inc. (EE.UU.) — procesamiento de pagos de tarjetas de crédito y débito. Recibe datos completos de tarjeta de pago, dirección de facturación y monto del pedido; no tenemos acceso a tu número completo de tarjeta. Stripe está certificado PCI-DSS Nivel 1.
  • PayPal, Inc. (EE.UU.) — método de pago alternativo, cuando lo selecciones. PayPal procesa la transacción bajo su propia política de privacidad.
  • Transportistas de envío (p. ej., USPS, UPS, FedEx, DHL — dependiendo del destino) — reciben tu nombre, dirección de envío y peso/dimensiones del pedido para entregarlo. Pueden proporcionarnos datos de seguimiento.
  • Socio de impresión y fulfillment (proveedor con sede en China) — recibe tu nombre y dirección de envío para la producción y envío directo del diario físico. El socio está contractualmente obligado a usar esta información únicamente para el cumplimiento del pedido y no para ningún otro propósito.
  • Proveedor de servicios de correo (p. ej., Shopify Email o Klaviyo, según la configuración actual) — envía confirmaciones de pedido, notificaciones de envío, respuestas de servicio al cliente y (solo si optaste por recibirlos) correos promocionales.
  • Píxeles de analítica y publicidad (cuando estén habilitados): podemos usar Google Analytics, Meta Pixel, TikTok Pixel y tecnologías similares de seguimiento de marketing para medir la efectividad de campañas y mejorar nuestra publicidad. Estos píxeles se gestionan conforme a nuestro proceso de consentimiento de cookies (ver Sección 6).
  • Herramientas de servicio al cliente (p. ej., Shopify Inbox, Gorgias o similares) — pueden usarse para gestionar conversaciones de soporte por correo y chat.

La lista específica de procesadores de la Tienda puede evolucionar a medida que el negocio crezca. La lista actual está disponible bajo solicitud a privacy@jesusinfive.com.

5.C · Servicios externos (enlaces profundos)

La App contiene enlaces a servicios externos que NO operamos, incluyendo Spotify (para listas de reproducción musicales seleccionadas). Cuando tocas uno de estos enlaces, sales de la App y entras en la plataforma de ese tercero; no transmitimos tu información personal a ellos. Tus interacciones en esas plataformas se rigen por sus respectivas políticas de privacidad (p. ej., Política de Privacidad de Spotify).

6. Cookies y tecnologías de seguimiento (solo Sitio Web)

El sitio jesusinfive.com utiliza cookies y tecnologías de seguimiento similares (web beacons, píxeles, local storage). La App no utiliza cookies web, pero usa almacenamiento análogo en el dispositivo para mantener tu sesión y preferencias.

Categorías de cookies que usamos:

  • Cookies esenciales (siempre activas): requeridas para que la Tienda funcione — estado del carrito, progresión del checkout, estado de inicio de sesión, prevención de fraude. No pueden desactivarse sin romper la Tienda.
  • Cookies de análisis: analítica integrada de Shopify y, cuando esté habilitado, Google Analytics 4. Se usan para entender el uso agregado del sitio (páginas más vistas, embudo de conversión, distribución geográfica) y mejorar la Tienda.
  • Cookies de marketing / publicidad: cuando realizamos campañas de publicidad pagada, podemos usar píxeles de Meta (Facebook/Instagram), Google Ads, TikTok o Pinterest para medir la atribución de conversión y habilitar retargeting. Estos píxeles comparten datos limitados (página visitada, evento de conversión) con la plataforma publicitaria.
  • Cookies de geolocalización / localización: detectan país aproximado según IP para visualización de moneda y estimación de costo de envío.

Tus opciones:

Visitantes de UE/EEE/Reino Unido: un banner de consentimiento de cookies aparece en tu primera visita. Puedes aceptar todas las cookies, rechazar todas las no esenciales, o personalizar tu selección. Tus preferencias se guardan y pueden cambiarse en cualquier momento vía el enlace "Preferencias de cookies" en el pie del sitio.

Visitantes de EE.UU.: puedes optar por no participar en publicidad personalizada vía el enlace "No vender ni compartir mi información personal" en el pie del sitio (donde aplique según tu ley estatal — ver Sección 12).

Todos los visitantes: puedes gestionar cookies vía la configuración de tu navegador. Desactivar las cookies esenciales evitará que la Tienda funcione correctamente.

7. Transferencias internacionales de datos

Nuestros procesadores están ubicados principalmente en los Estados Unidos, con Shopify también operando desde Canadá. Nuestro socio de impresión y fulfillment está ubicado en China. Si estás en el Espacio Económico Europeo, Reino Unido, Suiza, Brasil u otra región con leyes de protección de datos que restringen transferencias internacionales, al usar la App o realizar un pedido en el Sitio Web reconoces que tus datos serán transferidos y procesados en estas jurisdicciones.

Cuando es aplicable, nos basamos en:

  • Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea para transferencias a países sin decisión de adecuación;
  • El Marco de Privacidad de Datos UE-EE.UU. (DPF) cuando los procesadores estén certificados;
  • Decisiones de adecuación de la Comisión Europea (p. ej., para Canadá bajo PIPEDA);
  • Medidas suplementarias (cifrado, seudonimización) cuando se consideren necesarias.

Para transferencias a nuestro socio de impresión en China, limitamos los datos compartidos al mínimo requerido para el envío (nombre, dirección de envío, peso del pedido) y obligamos al socio contractualmente a confidencialidad y limitación de propósito. China no está actualmente sujeta a una decisión de adecuación de la UE; debes ser consciente de que las protecciones legales en China pueden diferir de las de tu jurisdicción.

8. Seguridad de datos

Más allá del cifrado en el dispositivo para datos de la App (Sección 4), implementamos:

  • Seguridad de Capa de Transporte (TLS 1.2+) para todos los datos en tránsito, tanto para la App como para el Sitio Web
  • Políticas de Seguridad a Nivel de Fila (RLS) en nuestra base de datos de la App para que solo puedas acceder a tus propios datos
  • Hash de contraseñas con bcrypt (nunca almacenamos contraseñas en texto plano)
  • Pepper del lado del servidor almacenado separadamente de la base de datos como refuerzo adicional (App)
  • Infraestructura de pagos de Shopify certificada PCI-DSS Nivel 1 para la Tienda
  • Autenticación de dos factores (2FA) obligatoria en todas las cuentas administrativas
  • Revisiones periódicas de seguridad de nuestro código, infraestructura y acuerdos con procesadores

Ningún sistema es 100% seguro. No podemos garantizar seguridad absoluta, pero trabajamos continuamente para proteger tus datos.

9. Tus derechos

Tienes derecho a:

  • Acceso: ver todos tus datos personales — el contenido de la App es visible en la App (usa Ajustes > Exportar Mis Datos para una copia completa); los datos de la Tienda son visibles en tu cuenta de cliente de Shopify (o disponibles bajo solicitud).
  • Portabilidad: exportar tus reflexiones en JSON legible por máquina (App); recibir tu historial de pedidos en CSV o JSON (Tienda, bajo solicitud).
  • Corrección: actualizar información de cuenta inexacta vía Ajustes > Editar Perfil (App) o tu Cuenta de Cliente > Detalles de la cuenta (Tienda).
  • Eliminación: borrar tu cuenta de la App y todos los datos asociados vía Ajustes > Eliminar Mi Cuenta (permanente, irreversible). Los datos de la Tienda pueden retenerse parcialmente cuando la ley fiscal y contable lo requiera (ver Sección 10).
  • Restricción: pausar el procesamiento de tus datos eliminando o desactivando tu cuenta.
  • Oposición: rechazar las funciones de IA, analítica o marketing simplemente no usándolas u optando por no participar.
  • Retiro de consentimiento: retirar cualquier consentimiento que hayas dado previamente (marketing, cookies, etc.) en cualquier momento.

Para ejercer derechos no disponibles directamente en la interfaz de la App o Tienda, contacta privacy@jesusinfive.com.

10. Retención de datos

Datos de la App — cuentas activas: conservamos tus datos de la App mientras tu cuenta esté activa.

Datos de la App — cuentas eliminadas: cuando eliminas tu cuenta de la App, tus datos se purgan de nuestra base de datos activa dentro de 30 días. Las copias de respaldo cifradas pueden persistir hasta 90 días para recuperación de desastres, después se purgan también. Los logs de procesamiento IA en Anthropic siguen su política de retención de 30 días.

Datos de la Tienda — registros de pedidos: la ley fiscal de EE.UU. y las buenas prácticas contables requieren la retención de registros de transacciones financieras (incluyendo historial de pedidos, facturas, registros de pago y registros de envío) por al menos siete (7) años desde la fecha de la transacción. Requisitos comparables aplican en muchas otras jurisdicciones (p. ej., registros de IVA en la UE, 6–10 años según el Estado miembro). Conservamos estos datos mínimos del pedido durante este período independientemente de la eliminación de la cuenta.

Datos de la Tienda — cuentas de cliente: si creas una cuenta de cliente de Shopify, la cuenta se conserva mientras esté activa; bajo solicitud, podemos eliminar la cuenta, pero los registros de pedidos vinculados a ella (retenidos según el punto anterior) se conservarán en forma seudonimizada (nombre y correo eliminados cuando esté legalmente permitido).

Datos de marketing: los registros de consentimiento (fecha, origen, alcance del opt-in de marketing) se conservan mientras permanezcas suscrito, más 3 años después del retiro del consentimiento para fines de defensa legal (p. ej., demostrar cumplimiento con TCPA, CAN-SPAM, requisitos de consentimiento del RGPD).

Analítica de uso anonimizada: los datos anónimos sin vínculo a tu identidad pueden conservarse indefinidamente.

11. Privacidad de menores

Ni la App ni la Tienda están destinadas a usuarios menores de 16 años. No recopilamos a sabiendas información personal de nadie menor de 16 años, incluyendo niños menores de 13 según la define la Ley de Protección de la Privacidad de los Niños en Internet de EE.UU. (COPPA). Si tomas conocimiento de que un usuario menor de 16 años nos ha proporcionado información personal, contáctanos a privacy@jesusinfive.com y la eliminaremos sin demora.

12. Derechos de privacidad de residentes de EE.UU.

Si eres residente de un estado de EE.UU. con leyes integrales de privacidad — California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Florida (FDBR) — tienes los siguientes derechos respecto a tu información personal:

  • Derecho a saber/acceder: qué información personal recopilamos, usamos, divulgamos y compartimos
  • Derecho a eliminar tu información personal (sujeto a las excepciones de retención en la Sección 10)
  • Derecho a corregir información personal inexacta
  • Derecho a la portabilidad (recibir tu información en formato legible por máquina)
  • Derecho a optar por no participar (opt-out) en la venta o el compartir de información personal con fines de publicidad cruzada. Si has visitado nuestra Tienda mientras estabas conectado a Meta, Google o TikTok, los píxeles de marketing pueden haber compartido datos limitados de navegación con esas plataformas; puedes optar por no participar vía el banner de cookies o el enlace "No Vender ni Compartir" en nuestro pie de página.
  • Derecho a la no discriminación por ejercer tus derechos

Residentes de California — derechos adicionales bajo CPRA: corrección, limitación del uso de información personal sensible, opt-out de toma de decisiones automatizada con efectos significativos (no usamos esto). No vendemos información personal por consideración monetaria; para fines de "compartir" bajo la CCPA/CPRA, ver la divulgación de píxeles de marketing arriba.

Para ejercer cualquiera de estos derechos, contacta privacy@jesusinfive.com. Verificaremos tu identidad antes de procesar la solicitud (típicamente solicitando confirmación desde el correo asociado a tu cuenta o pedido). Responderemos dentro de los plazos requeridos por tu ley estatal.

13. Residentes de UE/EEE/Reino Unido (RGPD)

Si estás en el Espacio Económico Europeo, Reino Unido, Suiza u otra jurisdicción cubierta por el RGPD, se aplican derechos adicionales. Aunque Five Castles LLC esté constituida en Estados Unidos, el RGPD nos aplica extraterritorialmente bajo el Artículo 3.2 cuando ofrecemos servicios o bienes a personas en el EEE — incluyendo cuando compras en nuestra Tienda con una dirección de envío de la UE o usas la App en la UE.

  • Bases legales para el procesamiento: (a) tu consentimiento (creación de cuenta, funciones opcionales de la App, comunicaciones de marketing, cookies no esenciales); (b) la necesidad de ejecutar nuestro contrato contigo (entregar el servicio de la App, cumplir tu pedido de la Tienda); (c) cumplimiento de una obligación legal (mantenimiento de registros fiscales); y (d) nuestro interés legítimo (prevención de fraude, mejora de producto) — equilibrado con tus derechos.
  • Tienes derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento — ejercitables vía Ajustes, tu Cuenta de Cliente, o contactando privacy@jesusinfive.com.
  • Tienes derecho a presentar una reclamación ante tu autoridad local de protección de datos. En España: Agencia Española de Protección de Datos (AEPD), www.aepd.es. En Reino Unido: Information Commissioner's Office (ICO), www.ico.org.uk.
  • No hemos designado un Delegado de Protección de Datos (DPO) porque nuestro procesamiento no cumple los umbrales que lo exigen bajo el Artículo 37 del RGPD.
  • Nos basamos en Cláusulas Contractuales Estándar (CCE) y medidas suplementarias cuando aplique para las transferencias a nuestros procesadores en EE.UU. y otros fuera del EEE (ver Sección 7).

14. Residentes de Brasil y otros países latinoamericanos

Si eres residente de Brasil, te amparan los derechos establecidos por la Lei Geral de Proteção de Dados (LGPD, Ley 13.709/2018), incluyendo acceso, corrección, anonimización, portabilidad, eliminación, revocación de consentimiento, e información sobre con quién compartimos tus datos. La Autoridad Nacional de Protección de Datos brasileña (ANPD) es el órgano competente.

Si eres residente de Colombia, te amparan los derechos bajo la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013, incluyendo acceso, conocimiento, actualización, rectificación, y supresión. La Superintendencia de Industria y Comercio (SIC) es la autoridad de protección de datos.

Usuarios en otras jurisdicciones latinoamericanas (México LFPDPPP, Argentina Ley 25.326, Chile Ley 19.628, etc.): tus derechos locales de protección de datos aplican y respetaremos las solicitudes razonables. Contacta privacy@jesusinfive.com con tu solicitud.

15. Cambios a esta política

Podemos actualizar esta Política de Privacidad a medida que la App y la Tienda evolucionen. Te notificaremos de cambios materiales a través de la App, el Sitio Web o por correo electrónico al menos 30 días antes de que los cambios entren en vigor. La fecha de "Última actualización" en la parte superior refleja la revisión más reciente. Te animamos a revisar esta política periódicamente.

16. Contacto

Five Castles LLC (Wyoming, EE.UU.)
Correo: privacy@jesusinfive.com

Para usuarios en UE/EEE, no hemos designado un representante en la UE ya que no cumplimos los umbrales del Artículo 27 del RGPD. Puedes contactarnos directamente al correo de arriba.