Kligrafia · by Didi Solutions

Centro de confianza

Todo lo que tu equipo legal y de seguridadnecesita revisar.

Sub-procesadores, postura de compliance, SLA, política de incidentes y atajos a los documentos legales. Esta página se actualiza cuando hay cambios materiales; si necesitas información que no encuentras aquí, escribe a [email protected].

Ver el DPA completoArquitectura de seguridad

Sub-procesadores

Las 7 empresas que tocan tus datos, agrupadas por función.

Lista canónica usada también en la cláusula 8 del DPA. Los clientes empresariales reciben aviso con 30 días de antelación cuando se agrega un sub-procesador.

Almacenamiento

  • Cloudflare R2 (Cloudflare Inc.)

    EE.UU. / global

    Almacenamiento de documentos PDF y evidence packs

Infraestructura

  • Proveedor de PostgreSQL gestionado

    EE.UU. / UE

    Base de datos relacional con cifrado en reposo y row-level security

Pagos

  • Stripe Inc.

    EE.UU.

    Procesamiento de pagos y suscripciones

Identidad

  • Truora

    Colombia / LATAM

    Verificación de identidad (cédula, OCR, biometría con prueba de vida)

Correo

  • Resend

    EE.UU.

    Envío de correos transaccionales

Inteligencia artificial

  • Anthropic, PBC

    EE.UU.

    Modelos de IA para análisis de cláusulas, extracción de campos y chat

Sellado de tiempo

  • Autoridad de timestamping (TSA)

    UE

    Sellado de tiempo RFC 3161 para firmas y evidence packs

Postura de compliance

Lo que tenemos hoy, lo que está en roadmap y lo que no aplica.

Preferimos ser explícitos. Si tu compliance interno pide algo de la columna “En roadmap” como condición bloqueante, conversémoslo antes de adoptar.

  • Cumplimiento Decreto-Ley 1.204 (Venezuela)
    Activo

    Operación como firma electrónica simple bajo el marco vigente. Documentado en /legal/decreto-1204.

  • Cifrado AES-256 en reposo · TLS 1.2+ en tránsito
    Activo

    Aplicado a documentos, evidence packs y backups.

  • Row-Level Security multi-tenant
    Activo

    Aislamiento de datos garantizado por políticas RLS en Postgres.

  • DPA disponible para clientes empresariales
    Activo

    Ver /legal/dpa — firmable por Empresa/Corporativo y enterprise.

  • Divulgación responsable (security.txt)
    Activo

    Política publicada en /.well-known/security.txt — respuesta en 72 h hábiles.

  • Status page con histórico de incidentes
    Activo

    /status muestra componentes y mantenimientos en tiempo real.

  • SOC 2 Type II
    En roadmap

    Proceso a iniciar conforme escale la base de clientes empresariales. Sin fecha comprometida.

  • ISO 27001
    En roadmap

    Evaluación en paralelo con SOC 2.

  • HIPAA / PCI DSS
    No aplica

    Fuera del alcance actual del producto. Kligrafia no procesa información de salud protegida ni datos de tarjetas (los maneja Stripe).

  • Acreditación PSC ante SUSCERTE
    No aplica

    No aplica al modelo de firma electrónica simple. Se evaluará si surge demanda de firma certificada.

SLA y compromisos

Lo que prometemos, en números.

Compromisos vigentes en mayo de 2026. Los términos formales por plan se detallan en /legal/terms.

Ver status del servicio
  • Uptime objetivo plan Corporativo99.9% mensual
  • Tiempo objetivo de primera respuesta a soporte24 h hábiles (plan Empresa) · 8 h hábiles (Corporativo)
  • Tiempo objetivo de primera respuesta a reportes de seguridad72 h hábiles
  • Notificación de cambio de sub-procesadores a clientes empresariales30 días de antelación
  • Retención de backups encriptados90 días con prueba periódica de restauración

Respuesta a incidentes

Cinco pasos, sin improvisar.

Cuando algo se rompe, lo importante no es prometer perfección sino tener un proceso. Este es el nuestro.

  1. Paso 1

    Detección y triage

    Monitoreo automatizado + reportes externos. Clasificación inicial por severidad (P0/P1/P2/P3) y alcance dentro de la primera hora.

  2. Paso 2

    Contención

    Mitigación inmediata para detener pérdida o exposición. Para incidentes de seguridad: aislamiento, rotación de credenciales, bloqueo de vectores.

  3. Paso 3

    Comunicación

    Para incidentes P0/P1: actualización en /status dentro de 30 minutos de la confirmación, comunicación directa a clientes afectados y, si aplica, notificación bajo la cláusula 11 del DPA.

  4. Paso 4

    Erradicación y recuperación

    Eliminación de la causa raíz, restauración de servicios, verificación de integridad de datos. Tiempo objetivo según severidad.

  5. Paso 5

    Post-mortem público (cuando aplica)

    Para incidentes con impacto material al cliente, publicamos un análisis posterior con causa raíz y acciones correctivas adoptadas.

Atajos

Documentos legales y operativos clave.

DPA

Acuerdo de Procesamiento de Datos.

Privacidad

Política de privacidad y manejo de datos.

Términos

Términos y condiciones de servicio.

Decreto-Ley 1.204

Cómo Kligrafia cumple el marco legal venezolano.

Status

Estado del servicio en tiempo real.

security.txt

Política de divulgación responsable y contacto PGP.

Preguntas frecuentes

Lo que preguntan los equipos legal y de procurement.

¿Dónde están físicamente mis datos?
Los PDFs y evidence packs viven en Cloudflare R2 (red global, primary US/EU). La base de datos relacional opera en un proveedor gestionado con cifrado en reposo (US/EU). Los detalles regionales específicos están en la lista de sub-procesadores de arriba. Para clientes con requisitos estrictos de residencia de datos, conversemos antes de adoptar.
¿Quién es el responsable y quién es el encargado del tratamiento?
Tú (el cliente empresarial) eres el Responsable del tratamiento de los datos personales que cargas al servicio. Kligrafia (Didi Solutions C.A.) actúa como Encargado, procesando los datos siguiendo tus instrucciones documentadas en el DPA y los Términos.
¿Puedo solicitar un cuestionario de seguridad personalizado?
Sí, para clientes empresariales y corporativos respondemos cuestionarios de proveedores (SIG, CAIQ-Lite o templates internos) bajo NDA mutuo. Escribe a [email protected] con el contexto.
¿Cómo me entero si Kligrafia agrega un sub-procesador?
Notificamos a los clientes empresariales con al menos 30 días de antelación (cláusula 8 del DPA). Si tienes objeciones razonables, puedes oponerte; si no llegamos a una solución, podrás rescindir la suscripción sin penalidad por la porción no consumida.
¿Qué pasa con mis datos si cancelo la suscripción?
Mantenemos los datos en formato exportable por un período razonable definido en los Términos, durante el cual puedes descargar todos los envelopes y evidence packs. Pasado ese período, los datos se eliminan o anonimizan según lo establecido en el DPA, salvo retenciones legales obligatorias (facturación, registros tributarios).

¿Necesitas un cuestionario o un NDA antes?

Para clientes empresariales y corporativos respondemos cuestionarios de proveedores bajo NDA mutuo. Escríbenos con el contexto.

Contactar al equipoVer planes Empresa y Corporativo