Centro de Confianza

Seguridad, privacidad y cumplimiento.

Todo lo que necesitas saber sobre cómo protegemos tu operación, qué regulaciones cumplimos y cómo actuamos cuando algo sale mal. Sin jerga, sin letra chica.

01 · Seguridad técnica

Cómo protegemos la infraestructura.

Aislamiento por cliente

Arquitectura multi-tenant con separación estricta a nivel de datos. Cada distribuidor tiene su espacio aislado — el acceso cruzado entre clientes es arquitectónicamente imposible, no depende de filtros de aplicación.

Cifrado en tránsito

Todo el tráfico entre el navegador, la app móvil y SUMI viaja sobre TLS 1.2 o superior. Certificados gestionados por Cloudflare con renovación automática. HSTS preload activado.

Cifrado en reposo

Los datos almacenados residen en infraestructura cloud con cifrado a nivel de disco (AES-256, estándar del proveedor). Los archivos adjuntos se cifran con la misma base.

Autenticación y contraseñas

Contraseñas hasheadas con bcrypt y sal. Soporte para 2FA basado en TOTP (Google Authenticator, Authy, 1Password). Política de contraseñas configurable por tenant.

Control de acceso (RBAC)

Permisos granulares por módulo y acción, con roles predefinidos y capacidad de roles personalizados por tenant. Principio de menor privilegio por defecto.

Bitácora de auditoría

Operaciones sensibles (contratos, firmas, cambios de permisos, impersonación administrativa) se registran con usuario, IP, timestamp UTC y cambios específicos. Exportable para auditoría externa.

02 · Datos y privacidad

Tus datos son tuyos. Siempre.

Residencia geográfica
La base de datos operativa y los respaldos cifrados residen en infraestructura cloud gestionada en México. La distribución de contenido estático y la protección perimetral viajan por Cloudflare (red global), lo cual puede implicar transferencia internacional de cierto tráfico técnico; queda declarado en nuestro Aviso de Privacidad.
Respaldos automatizados
Respaldos cifrados diarios con retención configurable. Almacenados en ubicaciones geográficamente separadas de la infraestructura primaria, con pruebas periódicas de restauración.
Portabilidad
Puedes exportar tus datos completos en cualquier momento y sin costo, en formatos abiertos (CSV, PDF, JSON). Tu historial operativo es tuyo — siempre, sin preguntas.
Eliminación al terminar el contrato
Al terminar tu contrato, los datos de tu cuenta se eliminan de los sistemas activos dentro de 30 días naturales. Los respaldos siguen el ciclo de retención configurado (ya no accesibles, purgados por calendario).

03 · Cumplimiento legal México

Diseñado para la ley mexicana.

SAT · CFDI 4.0

Al activar el módulo de facturación, SUMI timbra CFDI 4.0 ante el Servicio de Administración Tributaria mediante un PAC (Proveedor Autorizado de Certificación) con acreditación vigente, cumpliendo con los lineamientos del Anexo 20 del SAT. Todas las tarifas publicadas son sin IVA; el 16% se desglosa en el comprobante fiscal conforme a la Ley del Impuesto al Valor Agregado.

Código de Comercio — Firmas electrónicas

Las firmas electrónicas generadas en SUMI cumplen con los artículos 89 a 94 del Código de Comercio de México, que reconoce la validez jurídica de los mensajes de datos y firmas electrónicas en actos de comercio. Cada firma queda respaldada con hash SHA-256 del documento, dirección IP del firmante, user agent del dispositivo, marca temporal UTC y evidencia completa para fines legales y de auditoría.

LFPDPPP · Protección de datos personales

SUMI opera bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Consulta el Aviso de Privacidad para el detalle completo sobre qué datos recabamos, con qué finalidades, cuáles son tus derechos ARCO y cómo ejercerlos.

04 · Disponibilidad

Operando cuando tu cliente también opera.

Objetivo de disponibilidad

Meta de uptime mensual: 99.5%. Medido continuamente con monitoreo automatizado externo. Reporte público en página de estado (próximamente).

Ventanas de mantenimiento

Se notifican con al menos 48 horas de anticipación por correo electrónico y banner dentro de la aplicación. Se programan fuera del horario pico de operación (noches / fines de semana).

Monitoreo 24/7

Sistemas automatizados alertan al equipo de operaciones ante cualquier degradación de servicio. Los incidentes críticos se atienden fuera del horario laboral normal.

Recuperación ante desastres

Respaldos geo-redundantes y procedimientos de recuperación documentados y probados. Los parámetros específicos de RPO y RTO se compartirán bajo DPA a solicitud.

05 · Divulgación responsable

¿Encontraste una vulnerabilidad?

Si descubres una vulnerabilidad de seguridad en SUMI, te pedimos reportarla al equipo de seguridad antes de divulgarla públicamente. Nos comprometemos a responder con seriedad y respeto.

Nuestro compromiso contigo

  • Responder al reporte en menos de 48 horas hábiles.
  • Trabajar contigo para validar y reproducir el hallazgo.
  • Corregir la vulnerabilidad con la urgencia que corresponda a su severidad.
  • Reconocerte públicamente (con tu permiso) una vez solucionado.
  • No tomar acciones legales contra reportes hechos de buena fe que respeten nuestra política (no exfiltración masiva de datos, no interrupción de servicio, no acceso a datos de otros clientes más allá de lo necesario para probar).

Contacto de seguridad

[email protected]

06 · Documentos

Documentos y acuerdos.

Aviso de privacidad →

Datos recabados, finalidades, derechos ARCO y contacto para asuntos de privacidad. Conforme a LFPDPPP.

Términos de servicio →

Objeto del servicio, trial, facturación, SLA con créditos por incumplimiento, responsabilidades y terminación.

Acuerdo de procesamiento de datos (DPA)

Disponible a solicitud para clientes con requisitos B2B formales. Escribe a [email protected].

Lista de sub-encargados

Publicada en la sección de Transferencias del Aviso de Privacidad. Notificación previa ante cualquier cambio sustantivo.

← Volver al inicio