SAT · CFDI 4.0
SUMI timbra facturas electrónicas CFDI 4.0 ante el Servicio de Administración Tributaria vía PAC (Proveedor Autorizado de Certificación) con acreditación vigente, cumpliendo con los lineamientos del Anexo 20 del SAT.
Centro de Confianza
Seguridad, privacidad y cumplimiento.
Todo lo que necesitas saber sobre cómo protegemos tu operación, qué regulaciones cumplimos y cómo actuamos cuando algo sale mal. Sin jerga, sin letra chica.
01 · Seguridad técnica
Cómo protegemos la infraestructura.
Aislamiento por cliente
Arquitectura multi-tenant con separación estricta a nivel de datos. Cada distribuidor tiene su espacio aislado — el acceso cruzado entre clientes es arquitectónicamente imposible, no depende de filtros de aplicación.
Cifrado en tránsito
Todo el tráfico entre el navegador, la app móvil y SUMI viaja sobre TLS 1.2 o superior. Certificados gestionados por Cloudflare con renovación automática. HSTS preload activado.
Cifrado en reposo
Los datos almacenados residen en infraestructura cloud con cifrado a nivel de disco (AES-256, estándar del proveedor). Los archivos adjuntos se cifran con la misma base.
Autenticación y contraseñas
Contraseñas hasheadas con bcrypt y sal. Soporte para 2FA basado en TOTP (Google Authenticator, Authy, 1Password). Política de contraseñas configurable por tenant.
Control de acceso (RBAC)
Permisos granulares por módulo y acción, con roles predefinidos y capacidad de roles personalizados por tenant. Principio de menor privilegio por defecto.
Bitácora de auditoría
Operaciones sensibles (contratos, firmas, cambios de permisos, impersonación administrativa) se registran con usuario, IP, timestamp UTC y cambios específicos. Exportable para auditoría externa.
02 · Datos y privacidad
Tus datos son tuyos. Siempre.
- Residencia geográfica
- Los datos residen en infraestructura cloud gestionada con opción de residencia en México o Norteamérica, según los requisitos de tu industria, clientes corporativos o cumplimiento normativo.
- Respaldos automatizados
- Respaldos cifrados diarios con retención configurable. Almacenados en ubicaciones geográficamente separadas de la infraestructura primaria, con pruebas periódicas de restauración.
- Portabilidad
- Puedes exportar tus datos completos en cualquier momento y sin costo, en formatos abiertos (CSV, PDF, JSON). Tu historial operativo es tuyo — siempre, sin preguntas.
- Eliminación al terminar el contrato
- Al terminar tu contrato, los datos de tu cuenta se eliminan de los sistemas activos dentro de 30 días naturales. Los respaldos siguen el ciclo de retención configurado (ya no accesibles, purgados por calendario).
03 · Cumplimiento legal México
Diseñado para la ley mexicana.
Código de Comercio — Firmas electrónicas
Las firmas electrónicas generadas en SUMI cumplen con los artículos 89 a 94 del Código de Comercio de México, que reconoce la validez jurídica de los mensajes de datos y firmas electrónicas en actos de comercio. Cada firma queda respaldada con hash SHA-256 del documento, dirección IP del firmante, user agent del dispositivo, marca temporal UTC y evidencia completa para fines legales y de auditoría.
LFPDPPP · Protección de datos personales
SUMI opera bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. El aviso de privacidad completo se publicará próximamente.
04 · Disponibilidad
Operando cuando tu cliente también opera.
Objetivo de disponibilidad
Meta de uptime mensual: 99.5%. Medido continuamente con monitoreo automatizado externo. Reporte público en página de estado (próximamente).
Ventanas de mantenimiento
Se notifican con al menos 48 horas de anticipación por correo electrónico y banner dentro de la aplicación. Se programan fuera del horario pico de operación (noches / fines de semana).
Monitoreo 24/7
Sistemas automatizados alertan al equipo de operaciones ante cualquier degradación de servicio. Los incidentes críticos se atienden fuera del horario laboral normal.
Recuperación ante desastres
Respaldos geo-redundantes y procedimientos de recuperación documentados y probados. Los parámetros específicos de RPO y RTO se compartirán bajo DPA a solicitud.
05 · Divulgación responsable
¿Encontraste una vulnerabilidad?
Si descubres una vulnerabilidad de seguridad en SUMI, te pedimos reportarla al equipo de seguridad antes de divulgarla públicamente. Nos comprometemos a responder con seriedad y respeto.
Nuestro compromiso contigo
- Responder al reporte en menos de 48 horas hábiles.
- Trabajar contigo para validar y reproducir el hallazgo.
- Corregir la vulnerabilidad con la urgencia que corresponda a su severidad.
- Reconocerte públicamente (con tu permiso) una vez solucionado.
- No tomar acciones legales contra reportes hechos de buena fe que respeten nuestra política (no exfiltración masiva de datos, no interrupción de servicio, no acceso a datos de otros clientes más allá de lo necesario para probar).
06 · Documentos
Documentos y acuerdos.
Aviso de privacidad
Próximamente — se publicará al lanzamiento a producción.
Términos de servicio
Próximamente — se publicará al lanzamiento a producción.
Acuerdo de procesamiento de datos (DPA)
Disponible a solicitud para clientes con requisitos B2B formales.
Lista de sub-procesadores
Disponible bajo DPA. Notificación previa ante cualquier cambio.