¿Kligrafia tiene SOC 2 o ISO 27001?

No actualmente. Operamos con prácticas de seguridad equivalentes (cifrado, RLS, MFA, audit logs, divulgación responsable, DPA explícito), pero las certificaciones formales SOC 2 Type II e ISO 27001 son procesos auditables de varios meses con costo significativo. Están en la hoja de ruta a medida que la base de clientes lo justifique. Si tu compliance interno exige certificación documentada hoy, conviene mencionarlo antes de adoptar la plataforma — podemos compartir el roadmap específico.

¿Quién tiene acceso a mis documentos?

Únicamente tu cuenta y los firmantes invitados explícitamente. El equipo de Kligrafia no abre documentos de clientes salvo en casos de soporte donde tú lo autorizas por escrito, o cuando una orden judicial venezolana lo exige. Los accesos administrativos quedan registrados en audit logs internos.

¿Qué pasa si el servicio cae o cierra?

Mantenemos backups encriptados y probados regularmente. En caso de cierre del servicio, se ofrecerá un período de exportación durante el cual podrás descargar todos tus envelopes y evidence packs en formato PDF estándar — esos archivos siguen siendo válidos sin Kligrafia, porque la firma vive dentro del PDF, no en nuestra base de datos. Los compromisos específicos están detallados en los Términos.

¿Cómo reporto una vulnerabilidad de seguridad?

Tenemos una política de divulgación responsable publicada en /.well-known/security.txt. Escribe a security@kligrafia.com. Tiempo objetivo de primera respuesta: 72 horas hábiles. Reconocemos públicamente a investigadores en esta página, sólo con tu consentimiento explícito.

¿Las firmas resisten un peritaje técnico en Venezuela?

El audit chain SHA-256 y el sellado de tiempo permiten que un perito recalcule los hashes desde el documento original hasta el evidence pack. Si un solo byte cambió después de firmar, los hashes no coinciden y eso es demostrable matemáticamente — no por confianza en Kligrafia, sino por las propiedades del algoritmo. Esa reproducibilidad es lo que distingue una firma electrónica con audit chain de un escaneo manipulable.

Verificar Iniciar sesión Empezar

Arquitectura técnica

Cómo protegemos cada firma,
en seis capas.

La validez probatoria de una firma electrónica no nace del logo de la plataforma: nace de poder demostrar matemáticamente que la identidad del firmante fue verificada y que el documento no fue alterado después. Kligrafia construyó cada capa de su producto pensando en ese principio.

Verifica un PDF firmado Trust Center y sub-procesadores

Seis capas que se sienten enterprise.

Cada capa cubre un vector distinto: integridad criptográfica, confidencialidad del documento, aislamiento entre cuentas, identidad del firmante, autenticación de aplicación y resiliencia operativa.

Audit chain criptográfico SHA-256

Cada acción sobre un envelope (subida, marcado, firma, descarga, verificación) genera un evento con hash SHA-256 encadenado al anterior. Si un solo byte del PDF o del log se modifica, la cadena se rompe y el documento queda invalidado. Esa propiedad es lo que sostiene el valor probatorio bajo el Decreto-Ley 1.204.

Cifrado AES-256 en reposo, TLS 1.2+ en tránsito

Los PDFs originales y los evidence packs se almacenan cifrados con AES-256 en object storage (Cloudflare R2). Todo el tráfico entre el navegador, la API y los servicios internos viaja sobre TLS 1.2+ con HSTS preload activado. Los secrets sensibles (API keys, claves de firma) se gestionan separados del código.

Row-Level Security en PostgreSQL

Cada query a la base de datos pasa por políticas RLS que filtran automáticamente por organización. Un bug en código de aplicación no puede exponer datos de otra cuenta porque la propia base de datos rechaza la consulta. Cuarenta migraciones revisadas, role kligrafia_app con privilegios mínimos.

KYC en tres niveles con anti-spoofing

Nivel A — correo verificado, IP, user-agent, dispositivo. Nivel B — cédula laminada fotografiada por ambos lados con OCR y validación de patrón. Nivel C — Nivel B + prueba de vida con cámara, anti-spoofing y comparación facial contra la cédula. El evidence pack registra qué nivel alcanzó cada firmante.

Autenticación, sesiones y webhooks firmados

Sesiones con tokens rotables, MFA disponible para roles administrativos, password hashing con algoritmo moderno y costo configurado, magic links con expiración corta. Los webhooks salientes van firmados HMAC-SHA256 — tu endpoint verifica que la petición vino realmente de Kligrafia antes de procesarla.

Origin protegido detrás de Cloudflare

El servidor de aplicación queda detrás de Cloudflare con WAF, rate-limiting y DDoS protection activos. Los logs se centralizan, las dependencias se auditan periódicamente y los backups encriptados se prueban regularmente con restauración real para evitar "backups que no restauran".

Evidence pack

Todo lo que un perito necesita para validar la firma.

Cuando un envelope se completa, Kligrafia genera un PDF de evidencia separado del documento firmado. Es el material reproducible que sostiene el caso en cualquier procedimiento de cotejo.

Probar el verificador público

Hash SHA-256 del PDF antes y después de cada firma.
Timestamp ISO 8601 de cada acción (upload, place, sign, download).
IP, user-agent, dispositivo y geolocalización aproximada de cada firmante.
Nivel de KYC alcanzado por cada firmante (A, B o C) y método de validación.
Cadena de eventos encadenados por hash — cualquier alteración rompe la cadena.
Sellado de tiempo RFC 3161 emitido por una autoridad de timestamping externa.
Firma digital del evidence pack mismo, para que el PDF de evidencia no se pueda manipular sin que se note.

Postura honesta

Lo que hacemos y lo que aún no.

Preferimos ser explícitos sobre dónde estamos en el camino de certificaciones a vender humo. Esta página se actualiza cuando hay cambios materiales.

Sí hoy

· Audit chain SHA-256 + sellado de tiempo en cada envelope.
· Cifrado AES-256 en reposo, TLS 1.2+ en tránsito, HSTS preload.
· Row-Level Security en Postgres con multi-tenancy auditado.
· KYC tres niveles con prueba de vida (anti-spoofing).
· Webhooks firmados HMAC-SHA256.
· Backups encriptados con prueba periódica de restauración.
· Divulgación responsable publicada (security.txt).
· DPA explícito disponible — /legal/dpa.

Aún no, en roadmap

· SOC 2 Type II — proceso a iniciar conforme escale la base de clientes empresariales.
· ISO 27001 — evaluación en paralelo con SOC 2.
· Bug bounty público con recompensas monetarias — hoy aceptamos reportes con reconocimiento, no pago.
· Acreditación PSC ante SUSCERTE — no aplica al modelo actual de firma electrónica simple; se evaluará si surge demanda de firma certificada.

Divulgación responsable

Encontraste algo. Cuéntanos antes de publicarlo.

Si descubriste una vulnerabilidad en Kligrafia, escríbenos a [email protected]. Respondemos en menos de 72 horas hábiles, coordinamos un parche en privado y, con tu consentimiento, reconocemos públicamente tu reporte en esta página.

La política completa y la PGP key están en /.well-known/security.txt.

Preguntas frecuentes

Lo que preguntan los equipos de seguridad.

¿Kligrafia tiene SOC 2 o ISO 27001?: No actualmente. Operamos con prácticas de seguridad equivalentes (cifrado, RLS, MFA, audit logs, divulgación responsable, DPA explícito), pero las certificaciones formales SOC 2 Type II e ISO 27001 son procesos auditables de varios meses con costo significativo. Están en la hoja de ruta a medida que la base de clientes lo justifique. Si tu compliance interno exige certificación documentada hoy, conviene mencionarlo antes de adoptar la plataforma — podemos compartir el roadmap específico.
¿Quién tiene acceso a mis documentos?: Únicamente tu cuenta y los firmantes invitados explícitamente. El equipo de Kligrafia no abre documentos de clientes salvo en casos de soporte donde tú lo autorizas por escrito, o cuando una orden judicial venezolana lo exige. Los accesos administrativos quedan registrados en audit logs internos.
¿Qué pasa si el servicio cae o cierra?: Mantenemos backups encriptados y probados regularmente. En caso de cierre del servicio, se ofrecerá un período de exportación durante el cual podrás descargar todos tus envelopes y evidence packs en formato PDF estándar — esos archivos siguen siendo válidos sin Kligrafia, porque la firma vive dentro del PDF, no en nuestra base de datos. Los compromisos específicos están detallados en los Términos.
¿Cómo reporto una vulnerabilidad de seguridad?: Tenemos una política de divulgación responsable publicada en /.well-known/security.txt. Escribe a [email protected]. Tiempo objetivo de primera respuesta: 72 horas hábiles. Reconocemos públicamente a investigadores en esta página, sólo con tu consentimiento explícito.
¿Las firmas resisten un peritaje técnico en Venezuela?: El audit chain SHA-256 y el sellado de tiempo permiten que un perito recalcule los hashes desde el documento original hasta el evidence pack. Si un solo byte cambió después de firmar, los hashes no coinciden y eso es demostrable matemáticamente — no por confianza en Kligrafia, sino por las propiedades del algoritmo. Esa reproducibilidad es lo que distingue una firma electrónica con audit chain de un escaneo manipulable.

Una firma sólo vale lo que se puede demostrar.

Empieza gratis y verifica tú mismo cómo se siente firmar con audit chain. Sin tarjeta, sin compromiso.

Crear cuenta gratis Marco legal del Decreto-Ley 1.204

Cómo protegemos cada firma,en seis capas.