Tu información protegida y trazable
Construimos Contratua bajo los principios de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y las mejores prácticas de seguridad de la industria.
Cuatro pilares
Defensa en profundidad
Cifrado de extremo a extremo
AES-256 en reposo, TLS 1.3 en tránsito. Las claves rotan automáticamente y se gestionan con KMS.
Residencia de datos
Infraestructura principal en AWS us-east-1 con réplica continua. Disponible bajo solicitud el alojamiento en MX.
Cumplimiento mexicano
Diseñado bajo los principios de la LFPDPPP, su reglamento y los lineamientos del INAI.
Roadmap certificación
SOC 2 Type II en proceso (auditoría programada Q4 2026). ISO 27001 en preparación.
Control de accesos
Quién entra, qué hace, cuándo lo hizo
Cada acción queda registrada. Cada acceso, autorizado y revocable.
SSO + SAML 2.0 / OIDC
Integración con Okta, Azure AD, Google Workspace y otros IdP empresariales. Provisión y revocación automática.
Control de roles granular (RBAC)
Permisos por equipo, tipo de documento y nivel de aprobación. Separación entre creadores, revisores, aprobadores y firmantes.
MFA obligatorio
Autenticación de doble factor con TOTP o WebAuthn para todos los usuarios internos. Configurable por tenant.
Bitácora completa de accesos
Cada lectura, comentario, aprobación o firma queda registrada con timestamp, IP y agente. Exportable a CSV/JSON.
Tratamiento de datos
Cómo cuidamos tu información
Conforme a los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad señalados en la LFPDPPP.
Retención y eliminación
Documentos cerrados se conservan hasta que el cliente solicite su eliminación. Borrado lógico inmediato (papelera 30 días) y borrado físico cifrado al cumplir el plazo. Política de retención configurable por tenant.
Portabilidad y derecho ARCO
El paquete cerrado (PDF + bitácora) es exportable en cualquier momento. Los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) bajo LFPDPPP se atienden vía aviso@contratua.app en 20 días hábiles.
Sub-procesadores autorizados
Lista pública y versionada de los servicios que tratan datos de los clientes (AWS, Neon, Resend, Vercel, Sentry). Notificación con 30 días de antelación ante cualquier cambio sustantivo.
Aislamiento multi-tenant
Cada cliente vive en un tenant lógicamente aislado. Sin queries cruzadas posibles a nivel de capa de aplicación o de base de datos.
Respaldos + recuperación
Snapshots automatizados cada 4 horas. Retención de 30 días point-in-time. RTO objetivo: 4 horas. RPO objetivo: 1 hora.
Respuesta a incidentes
Protocolo formal con notificación al cliente en menos de 72 horas. Reporte INAI según el reglamento de la LFPDPPP cuando aplique.
Sub-procesadores
Servicios que tratan datos
Lista versionada y pública. Notificamos al cliente con 30 días de antelación ante cualquier alta o cambio.
- Amazon Web ServicesInfraestructura de cómputo y almacenamientous-east-1 (USA)
- NeonBase de datos relacional gestionada (Postgres)us-east-1 (USA)
- VercelEdge runtime + entrega de aplicaciónGlobal CDN
- ResendEnvío de correos transaccionalesUSA / EU
- SentryMonitoreo de errores y rendimientoUSA
Última actualización: 3 de junio de 2026
Documentación legal
Lo que tu equipo legal va a pedir
Divulgación responsable
¿Encontraste algo raro?
Si identificas una vulnerabilidad, escríbenos a seguridad@contratua.app. Nos comprometemos a confirmar recepción en 48 horas y mantenerte informado del proceso de resolución.