Seguridad y datos del despacho.
Esto es lo que pasa con la información de tu despacho contable cuando arranca tu cuenta. Sin abogadismo. Sin marketing-de-cumplimiento.
e.firma y CSD
Magda timbra los CFDI usando el Certificado de Sello Digital (CSD) que tu despacho registra para cada cliente — no usamos tu e.firma personal ni la de tu cliente para timbrar. El CSD se cifra en reposo con AES-256 y solo Magda puede usarlo durante el proceso de timbrado.
El PAC (Proveedor Autorizado de Certificación) se confirma al cierre del onboarding contigo, según el que ya uses en CONTPAQi (PAC SW, Diverza, Solución Factible, Edicom u otro). Si el PAC cae, Magda detiene el lote y te avisa por correo y WhatsApp; los CFDI se reanudan en cuanto el PAC vuelva, dentro del plazo de los 5 días hábiles que pide el SAT.
Hosting y datos
Tus datos viven en infraestructura cloud de Railway, en Estados Unidos (us-east). Esto constituye una transferencia internacional necesaria para el cumplimiento de la relación contractual contigo, autorizada por el artículo 37 fracción V de la LFPDPPP, sin requerir consentimiento adicional.
Respaldos
Backups diarios cifrados, retención 30 días. Objetivo de recuperación (RTO) de 4 horas, punto de recuperación (RPO) de 24 horas para datos transaccionales del despacho.
Cifrado
TLS 1.2+ en tránsito, AES-256 en reposo. Separación lógica por organización: cada despacho tiene su tenant aislado en la base de datos.
Subprocesadores
Para que el servicio funcione necesitamos apoyarnos en estos proveedores. Cada uno está obligado por contrato a tratar tus datos exclusivamente para la finalidad descrita y conforme al estándar de la LFPDPPP.
| Proveedor | Propósito | Datos compartidos | Ubicación | Contrato |
|---|---|---|---|---|
| Railway | Hospedaje aplicación + base de datos + backups | Toda la información operativa del despacho | Estados Unidos | DPA firmado · LFPDPPP art. 37-V |
| Stripe | Procesamiento de pagos de la suscripción | Solo subscription ID. Stripe captura tarjeta directamente. | Estados Unidos | DPA firmado |
| Resend | Correo transaccional (alta, recibos, recordatorios) | Email del destinatario, contenido del correo | Estados Unidos | DPA firmado |
| YCloud / WhatsApp Business API | Mensajes WhatsApp Business al cliente final | Tel del cliente, plantilla del mensaje | Estados Unidos | DPA firmado |
| OpenRouter | Acceso a modelos de IA para redacción y validación CFDI | Solo el contexto mínimo de cada operación. No se entrenan modelos con tu información. | Estados Unidos | DPA firmado |
Railway
- Propósito
- Hospedaje aplicación + base de datos + backups
- Datos compartidos
- Toda la información operativa del despacho
- Ubicación
- Estados Unidos
- Contrato
- DPA firmado · LFPDPPP art. 37-V
Stripe
- Propósito
- Procesamiento de pagos de la suscripción
- Datos compartidos
- Solo subscription ID. Stripe captura tarjeta directamente.
- Ubicación
- Estados Unidos
- Contrato
- DPA firmado
Resend
- Propósito
- Correo transaccional (alta, recibos, recordatorios)
- Datos compartidos
- Email del destinatario, contenido del correo
- Ubicación
- Estados Unidos
- Contrato
- DPA firmado
YCloud / WhatsApp Business API
- Propósito
- Mensajes WhatsApp Business al cliente final
- Datos compartidos
- Tel del cliente, plantilla del mensaje
- Ubicación
- Estados Unidos
- Contrato
- DPA firmado
OpenRouter
- Propósito
- Acceso a modelos de IA para redacción y validación CFDI
- Datos compartidos
- Solo el contexto mínimo de cada operación. No se entrenan modelos con tu información.
- Ubicación
- Estados Unidos
- Contrato
- DPA firmado
Si en el futuro incorporamos un nuevo proveedor relevante, lo agregamos aquí y al Aviso de Privacidad antes de empezar a transferirle datos.
Controles de acceso
Autenticación 2FA
2FA TOTP disponible para todas las cuentas del despacho. Recomendado para el contador titular.
SSO / SAML
SSO empresarial (Google Workspace, Microsoft Entra ID, Okta) disponible en el plan Empresarial.
Bitácora de auditoría
Cada acción que Lupita o Magda hacen en tu nombre queda registrada con timestamp, usuario, cliente afectado, tipo de acción y resultado. Exportable a Excel cuando lo pidas.
Encargado del tratamiento
Te firmamos contrato de encargado del tratamiento conforme al art. 89 LFPDPPP antes de que Lupita o Magda toquen información de tus clientes finales. Pídelo a hola@cumplida.com y te lo enviamos en PDF para firmar al inicio del onboarding.
hola@cumplida.comStatus e incidencias
Estamos preparando una página pública de status (status.cumplida.com) para reportar incidencias en tiempo real. Mientras tanto, escríbenos a soporte@cumplida.com y respondemos en menos de 4 horas hábiles.
soporte@cumplida.com¿Algo no te cuadra?
Cualquier duda técnica antes de comprar: hola@cumplida.com · WhatsApp +52 33 1714 1785 · Reserved Technology, S.A. de C.V., Zapopan, Jalisco.