Trust Center

Transparencia y seguridad

En Code Contract la seguridad no es un extra: es cómo construimos. Aquí puedes ver exactamente qué hacemos para proteger tus datos.

Controles de seguridad

Cifrado en tránsito (TLS 1.3)

Cifrado at rest (AES-256-GCM)

Contraseñas hasheadas (bcrypt 12 rounds)

Autenticación multi-factor (TOTP)

Control de acceso basado en roles (RBAC)

Multi-tenancy con aislamiento por organización

Registro de auditoría inmutable

Rate limiting y protección contra fuerza bruta

Validación de archivos subidos (magic bytes)

Webhooks firmados con HMAC SHA-256

Detección de login desde ubicación nueva

Session timeout configurable

CSP, X-Frame-Options, Referrer-Policy

Sellado de tiempo cualificado (TSA RFC 3161, eIDAS)

Sellado blockchain opcional vía OriginStamp (cuando el cliente lo activa)

Subprocesadores

Estos son los proveedores que utilizamos para prestarte el servicio. Todos tienen DPA firmado. Notificamos cambios con 30 días de antelación.

Proveedor	Servicio	Ubicación
Vercel Inc.	Hosting y CDN	USA / EU (Frankfurt)
Neon Inc.	PostgreSQL gestionada	EU (Frankfurt)
Anthropic PBC	IA (Claude) — extracción y agentes	USA (con SCCs EU)
Resend	Email transaccional	EU
Twilio Inc.	SMS, WhatsApp y llamadas	USA / EU
Meta Platforms (WhatsApp Business API)	Mensajería WhatsApp	EU
Cloudflare Inc.	CDN, WAF, Turnstile	EU / global
PostHog Inc.	Analítica de producto (opcional)	EU (Frankfurt)
Sentry	Detección de errores	USA / EU
Microsoft (Azure Document Intelligence)	OCR de documentos	EU (Frankfurt)
OriginStamp AG	Sellado blockchain (hashes)	EU (Alemania)
Upstash Inc.	Redis para rate limiting	EU (Frankfurt)

Documentación legal

Términos y Condiciones Política de Privacidad Política de Cookies DPA · Acuerdo de Encargo DPIA · Evaluación de Impacto Subprocesadores

Estado del sistema

Comprueba en tiempo real si la plataforma y sus servicios están operativos. Útil para tu equipo de operaciones o para integrar con monitores externos (UptimeRobot, Pingdom).

Ver status público JSON crudo (/api/health)

Plan de respuesta a incidentes

1. Detección — Sentry + alertas automáticas + uptime monitoring 24/7.
2. Triage — Clasificación severidad (P0 caída total · P1 funcionalidad mayor afectada · P2 menor) en menos de 15 min.
3. Notificación — Si afecta a usuarios, status page actualizado en menos de 30 min con mensaje claro de qué pasa y ETA.
4. Mitigación — Equipo on-call ataca el problema. Si involucra datos personales, comunicación a la AEPD en menos de 72h (RGPD art. 33).
5. Post-mortem — En menos de 5 días hábiles publicamos análisis de causa raíz y plan de prevención. Sin culpables, con aprendizajes.

Verificación pública de documentos

Cualquier persona (cliente, autoridad, regulador) puede verificar la autenticidad de un documento sellado en Code Contract usando su SHA-256, sin necesidad de cuenta.

Verificar un documento

Reporte responsable de vulnerabilidades

Si has encontrado un problema de seguridad, agradeceremos que nos lo comuniques antes de hacerlo público. Respondemos en menos de 48h y reconocemos públicamente a los reporteros (con su permiso).

security@codecontract.io

¿Necesitas más información?

Si tu equipo de seguridad necesita una auditoría formal, documentación adicional o quieres reportar una vulnerabilidad:

soporte@codecontract.io