Saltar al contenido
Code Contract

Trust Center

Seguridad, compliance y transparencia

Toda la información que tu equipo de seguridad, legal o procurement necesita para validar Code Contract como proveedor.

Status del sistema en vivoSolicitar documentación bajo NDA

Certificaciones y marcos normativos

ISO/IEC 27001:2022

Implantación en curso. SoA con 93 controles preparado. Consultoría seleccionada Q1 2026.

En curso

eIDAS — Reglamento UE 910/2014

Firma electrónica avanzada (AES) operativa con certificados X.509 del firmante (FNMT, idCAT, Camerfirma…). Sellos RFC 3161 con presunción legal art. 41 cuando se contrata qTSP cualificado.

Alineado

Directiva NIS2 (UE 2022/2555)

Modelo de incidentes con plazos 24h/72h/1mes según art. 23. Tracking de subprocesadores cadena de suministro art. 21.2.d.

Alineado

RGPD / LOPDGDD

Datos en EU (Frankfurt). DPA disponible. Endpoints art. 17 y 20 implementados. Notificación AEPD 72h vía workflow de incidentes.

Activo

SOC 2 Type II

Previsto Q2 2027 si se confirma demanda US/UK.

Previsto

Documentación descargable

Plantillas y materiales preparados para tu equipo de seguridad, legal y procurement. Versionados.

DPA · Acuerdo de Encargo (ES/EN)Público

Bilingüe. Art. 28 RGPD. Listo para firmar.

Política de PrivacidadPúblico
Términos y CondicionesPúblico
Política de CookiesPúblico
Lista de SubprocesadoresPúblico

Notificamos cambios con 30 días de antelación.

Cuestionario CAIQ v4 pre-rellenadoNDA

~70 preguntas Cloud Security Alliance.

Statement of Applicability (SoA) ISO 27001NDA

93 controles del Anexo A:2022.

Plan de Respuesta a Incidentes (IRP)NDA

IRT, severidades, runbooks.

Plan de Continuidad de Negocio (BCP)NDA

RTO/RPO por sistema.

Penetration Test Report (último)NDA

Empresa CREST/OSCP acreditada.

Controles técnicos activos

Cifrado en tránsito (TLS 1.3)
Cifrado at rest (AES-256-GCM) en campos sensibles
Contraseñas hasheadas (bcrypt 12 rounds)
MFA obligatorio para Owner y Admin (ISO 27001 A.5.17)
Control de acceso basado en roles granular (RBAC)
Multi-tenancy con aislamiento por organización + IDOR audit
Auditoría de accesos para cuentas AUDITOR (cada lectura registrada)
Registro de auditoría inmutable + ErrorLog con código humano
Alertas proactivas: NIS2 24h, errores agrupados por fingerprint
Rate limiting y protección contra fuerza bruta
Validación de archivos subidos (magic bytes)
Webhooks firmados con HMAC SHA-256
Detección de login desde ubicación nueva
Session timeout configurable + step-up 2FA
CSP, HSTS, X-Frame-Options, Referrer-Policy
Sellado de tiempo RFC 3161 con presunción legal eIDAS art. 41 (con qTSP)
Cifrado de campos extraídos por IA (NIFs, emails, importes)
Retención automática: papelera 30d, sesiones 90d, errores 365d fatal
Sello blockchain opcional vía OriginStamp

Subprocesadores

Proveedores que utilizamos para prestar el servicio. Cada uno tiene DPA enlazado. Notificamos cambios con 30 días de antelación.

ProveedorServicioUbicaciónDPA
Vercel Inc.Hosting y CDNEU (Frankfurt) / USVer
Neon Inc.PostgreSQL gestionadaEU (Frankfurt)Ver
Anthropic PBCIA (Claude) — extracción y agentesUS (con SCCs UE)Ver
ResendEmail transaccionalEUVer
Twilio Inc.SMS, WhatsApp, vozUS / EUVer
Cloudflare Inc.CDN, WAF, TurnstileGlobalVer
PostHog Inc.Analítica de producto (opcional)EU (Frankfurt)Ver
SentryDetección de erroresUS / EUVer
Microsoft (Azure Document Intelligence)OCR de documentosEU (Frankfurt)Ver
OriginStamp AGSellado blockchain (hashes)EU (Alemania)Ver

Plan de respuesta a incidentes

Documentado conforme a ISO 27001 A.5.24 y NIS2 art. 23. Plazos legales obligatorios.

  1. 1. Detección — Sentry + ErrorLog + cron de alertas detectan anomalías 24/7. Picos de errores o fingerprints repetidos disparan email al equipo.
  2. 2. Triage (15 min) — Clasificación severidad: low / medium / high / critical.
  3. 3. Notificación NIS2 (24h) — Si la entidad es esencial o importante, aviso preliminar al CSIRT INCIBE en menos de 24h con plantilla pre-rellenada.
  4. 4. Notificación RGPD (72h) — Si hay datos personales afectados, comunicación a AEPD en menos de 72h (RGPD art. 33).
  5. 5. Mitigación — Equipo on-call ataca el problema con runbooks documentados.
  6. 6. Informe completo (72h) — Informe detallado NIS2 al CSIRT.
  7. 7. Cierre (1 mes) — Post-mortem, análisis de causa raíz, plan de prevención. Sin culpables, con aprendizajes.

Verificación pública de documentos

Cualquier persona (cliente, autoridad, regulador, juzgado) puede verificar la autenticidad de un documento sellado en Code Contract con su SHA-256, sin necesidad de cuenta.

Verificar un documento

Reporte responsable de vulnerabilidades

Si has encontrado un problema de seguridad, agradecemos que nos lo comuniques de forma privada antes de hacerlo público. Respondemos en menos de 48h.

security@codecontract.io

Due diligence enterprise

Si tu equipo de procurement necesita responder a un RFP o pasar nuestro filtro de proveedores, podemos:

  • • Firmar tu DPA o adaptar el nuestro a vuestras cláusulas.
  • • Responder cuestionarios de seguridad (CAIQ, SIG, custom).
  • • Compartir bajo NDA: SoA, IRP, BCP, pentest report, análisis de riesgos.
  • • Acompañar a vuestra auditoría interna previa al contrato.

soporte@codecontract.io · ventas@codecontract.io