La seguridad de sus contratos es nuestra prioridad
Cada socio de infraestructura que usamos, cada integración que creamos y cada decisión de arquitectura que tomamos parten de una sola pregunta: ¿cómo mantenemos seguros sus datos contractuales?
Todo empieza por la seguridad.
Desde los socios que elegimos hasta las integraciones que creamos.
Contracko funciona sobre infraestructura operada por proveedores auditados según las normas ISO/IEC 27001 y SOC 2 Type II, con cifrado en cada capa, autenticación de dos factores en cada cuenta y un «no» rotundo al entrenamiento de modelos con los contratos de los clientes.
Infraestructura auditada, de principio a fin
Cada capa de Contracko funciona sobre infraestructura de socios cuidadosamente elegidos, con atestaciones de seguridad reconocidas internacionalmente. Las certificaciones siguientes las poseen esos proveedores, no Contracko en sí.
Alojamiento web
Hetzner
Nuestra aplicación funciona en Hetzner Cloud. Hetzner posee la certificación ISO/IEC 27001:2022 en sus centros de datos alemanes, la norma internacional para la gestión de la seguridad de la información, y es auditado anualmente por terceros independientes.
Base de datos
PlanetScale en AWS
Sus registros de contratos residen en un clúster gestionado de PlanetScale Postgres que se ejecuta en AWS en la UE. PlanetScale es auditado de forma continua por un organismo contable estadounidense según la norma SOC 2 Type II.
Almacenamiento de objetos
Cloudflare R2
Los contratos subidos y las exportaciones residen en Cloudflare R2 con garantías de jurisdicción de la UE. Cloudflare posee tanto la atestación ISO 27001 como la SOC 2 Type II.
Todos los datos de los clientes (aplicación, base de datos y archivos subidos) se conservan en centros de datos de la UE. Un acuerdo de tratamiento de datos (DPA) firmado conforme a las cláusulas contractuales tipo de la Comisión Europea está disponible bajo petición. Nuestro registro de actividades de tratamiento se publica en nuestra política de privacidad.
SOC 2 e ISO 27001 forman parte de nuestra hoja de ruta. Como primer paso, completamos una autoevaluación CSA STAR Nivel 1 (CAIQ v4) y figuramos en el Registro CSA STAR.
Cifrado en tránsito y en reposo
Se utiliza un cifrado robusto allí donde sus datos se mueven, con protocolos y algoritmos conformes a las normas del sector.
TLS 1.2 / 1.3 en tránsito
Cada conexión a Contracko se cifra con TLS 1.2 o 1.3, mediante certificados que se renuevan automáticamente. Imponemos el HTTPS a través de HSTS, de modo que los navegadores se niegan a volver a conexiones sin cifrar.
Qué significa esto: Cada conexión entre su navegador y Contracko está protegida por el mismo protocolo de cifrado que usan la banca en línea y los servicios públicos.
AES-256 en reposo
Los registros de contratos, los archivos subidos y el estado operativo se almacenan con cifrado AES-256 en reposo, gestionado por nuestros proveedores de infraestructura como parte de sus programas certificados de gestión de claves.
Qué significa esto: Si alguien se hiciera con los discos físicos donde residen nuestros datos, los contratos que contienen seguirían siendo ilegibles. Sin las claves de cifrado, el contenido permanece bloqueado.
Copias de seguridad cifradas
Sus datos se respaldan con instantáneas cifradas, recuperación a un momento concreto y protecciones de inmutabilidad que resguardan las copias de seguridad frente a alteraciones o eliminaciones.
Qué significa esto: Si los datos llegaran a perderse, corromperse o verse afectados por ransomware, podemos restaurarlos a un momento anterior desde copias de seguridad protegidas frente a manipulaciones.
Firmas electrónicas con validez legal
Cuando envía un contrato para firmar en Contracko, las firmas están diseñadas para tener validez legal conforme a las principales leyes de firma electrónica, con autenticación, registro de la intención del firmante y un registro de auditoría completo detrás de cada documento firmado.
Válida conforme a ESIGN y UETA
En Estados Unidos, la ley federal ESIGN Act y la ley estatal UETA otorgan a las firmas electrónicas la misma validez legal que a una firma manuscrita. Los firmantes se autentican por correo electrónico, se registra su intención de firmar y el documento firmado se conserva en el contrato, de modo que las firmas cumplen los requisitos esenciales de ambas.
Firma electrónica eIDAS en la UE
En la UE, el reglamento eIDAS otorga a las firmas electrónicas efecto legal y admisibilidad ante los tribunales. Contracko genera una firma electrónica simple eIDAS: la intención de firma se vincula al firmante y la firma queda asociada al documento, de modo que se puede detectar cualquier cambio posterior.
Registro de auditoría y detección de manipulaciones
Cada paso queda registrado: enviado, visto, firmado, rechazado y completado. Cuando finaliza la firma, el PDF firmado y un acta de finalización se guardan en el contrato, y el documento queda asociado a las firmas para que se pueda detectar cualquier cambio posterior.
Las leyes de firma electrónica varían según el país. Las firmas de Contracko están diseñadas para cumplir ESIGN, UETA y eIDAS; confirme los requisitos que se aplican en el lugar donde opera.
Un acceso y una seguridad que crecen con usted
Controle quién accede a qué contratos, imponga las buenas prácticas de seguridad de las cuentas y ofrezca los estándares de identidad empresarial en los que su equipo de TI ya confía.
Autenticación de dos factores en cada cuenta
Toda cuenta puede activar la autenticación de dos factores basada en TOTP con códigos de respaldo desde los ajustes de la cuenta. Disponible hoy, gratis en todos los planes. Las acciones críticas pueden exigir un nuevo segundo factor.
Acceso basado en roles, definido por contrato
Los permisos se definen por organización y por contrato, con roles claramente delimitados para propietarios, colaboradores y lectores. Las personas adecuadas ven exactamente lo que deben ver.
Inicio de sesión único para empresas
En el plan Big Business, los equipos pueden conectar Contracko a su proveedor de identidad existente con inicio de sesión único OIDC de autoservicio, incluidos Microsoft Entra, Google Workspace, Okta y cualquier proveedor compatible con OIDC (SAML bajo petición). Su equipo de TI controla quién tiene acceso, impone el 2FA de forma centralizada y aprovisiona o revoca cuentas desde un solo lugar.

Sus contratos no son datos de entrenamiento
Contracko utiliza modelos de IA de terceros para impulsar el análisis de contratos y la extracción de datos. Según sus condiciones de API por defecto, su contenido ya queda excluido del entrenamiento. Además, tenemos acuerdos de Zero Data Retention con OpenAI y Mistral.
Entrenamiento excluido por defecto
Utilizamos cada proveedor de IA a través de sus condiciones de API comerciales, que excluyen contractualmente las solicitudes y los resultados de los clientes del entrenamiento de futuros modelos.
Zero Data Retention
Tenemos acuerdos de Zero Data Retention con OpenAI y Mistral, por lo que el contenido de las solicitudes no se conserva más allá de lo estrictamente necesario para devolver una respuesta. Google Gemini funciona bajo condiciones comerciales que excluyen sus datos del entrenamiento, aunque todavía no bajo un acuerdo de Zero Data Retention.
La lista completa de proveedores de IA que tratan datos de los clientes se detalla en nuestro acuerdo de tratamiento de datos, disponible bajo petición a través de nuestro formulario de contacto.
Preguntas frecuentes
Encuentre respuestas a las preguntas habituales sobre esta función.
Avance más rápido en sus contratos sin comprometer la seguridad
Gestión de contratos con IA, con infraestructura auditada y autenticación de dos factores en cada cuenta. Gratis para empezar.


