Que controles de acceso existen?

Acceso basado en roles (Operadores vs Lectores). SSO via Google OAuth. Claves API limitadas por workspace. Soporte de Passkey.

Reporte Type I disponible bajo NDA. Type II en progreso. Contactenos para el reporte.

DPA disponible. Lista de subencargados publicada. Retencion de datos configurable (30 dias a 12 meses). Derecho a supresion respetado.

Quienes son sus subencargados?

Lista completa publicada en nuestra pagina de DPA. Los principales proveedores incluyen Supabase (UE), PostHog (UE), Stripe, Vercel y proveedores de inferencia IA.

Mission Control hace commits automaticos?

No. Mission Control crea trabajo revisado. No hace push de codigo, no fusiona PRs ni despliega. Todas las exportaciones requieren revision humana.

Puedo restringir la inferencia IA a proveedores de la UE?

Si. Opcion de inferencia exclusiva de la UE disponible en el plan Enterprise. Contactenos para la configuracion.

Como solicito una revision de seguridad?

Envie un email a security@contractspec.studio o use el formulario de contacto en esta pagina.

Confianza empresarial

Kit de revision de seguridad

Todo lo que seguridad, legal y compras necesitan para evaluar rapidamente el nucleo certificado actual.

Controles de seguridad DPA y subencargados Politica de privacidad

Incluido en el kit

Resumen de seguridad listo para compras: controles, tratamiento de datos, subencargados y flujo de cuestionarios.

Incluido en el kit

- Resumen de controles de seguridad (auth, cifrado, pista de auditoria, retencion)
- Manejo de datos (redaccion PII, flujo de borrado, opciones de residencia)
- Registro de subencargados y referencias de transferencia

Flujo de compras

- Respuesta de cuestionario de seguridad en <= 48 horas habiles
- Referencias de DPA y privacy para revision legal
- Reporte SOC 2 Type I disponible bajo NDA

Orden recomendado de revision

- 1. Postura y controles de seguridad
- 2. DPA y subencargados
- 3. Politica de privacidad y retencion

SOC 2 Type I — Disponible bajo NDA

Auditoria Type II en progreso. Solicite el reporte para su revision de seguridad.

Solicitar reporte

Residencia de datos en la UE

Base de datos, almacenamiento y analitica alojados en regiones de la UE. Inferencia IA exclusiva de la UE opcional en el plan Enterprise.

Subencargados de la plataforma

Proveedores de infraestructura principales que procesan datos como parte de las operaciones normales.

Proveedor	Proposito	Region
Vercel	Hosting, serverless functions	Configurable
Supabase	Managed PostgreSQL database	EU (eu-west-1)
PostHog	Product analytics, feature flags	EU

Ver lista completa de subencargados

FAQ de Seguridad

Donde se almacenan mis datos?: Base de datos principal en la UE (Supabase region UE). Almacenamiento de objetos en la UE (GCS europe-west1). Ningun dato sale de la UE a menos que configure un proveedor de inferencia fuera de la UE.
Estan cifrados los datos?: Si. AES-256 en reposo, TLS 1.3 en transito. Tokens de API cifrados con claves limitadas al workspace.
Como se manejan los datos personales?: Redaccion automatica de PII (emails, telefonos, nombres) antes del almacenamiento de feedback. Configurable por fuente.

Envia tu cuestionario y cronograma

Respondemos rapido y mantenemos una trazabilidad clara para cada parte interesada.

Enviar al equipo de seguridad Abrir DPA

Subencargados de la plataforma

Proveedores de infraestructura principales que procesan datos como parte de las operaciones normales.

Proveedor	Proposito	Region
Vercel	Hosting, serverless functions	Configurable
Supabase	Managed PostgreSQL database	EU (eu-west-1)
PostHog	Product analytics, feature flags	EU

FAQ de Seguridad

Donde se almacenan mis datos?

Base de datos principal en la UE (Supabase region UE). Almacenamiento de objetos en la UE (GCS europe-west1). Ningun dato sale de la UE a menos que configure un proveedor de inferencia fuera de la UE.

Estan cifrados los datos?

Si. AES-256 en reposo, TLS 1.3 en transito. Tokens de API cifrados con claves limitadas al workspace.

Como se manejan los datos personales?

Redaccion automatica de PII (emails, telefonos, nombres) antes del almacenamiento de feedback. Configurable por fuente.