Seguridad de nivel empresarial sin la complejidad empresarial
Firma.dev protege tus documentos con cifrado de nivel bancario, controles de acceso estrictos e infraestructura lista para cumplir con normativas. Diseñado para equipos que necesitan seguridad sin el dolor de cabeza de la adquisición.
Infraestructura
Firma.dev funciona en infraestructura de AWS en la Unión Europea
AWS mantiene las certificaciones SOC 2 Tipo II, ISO 27001 y HIPAA. Todos los datos de los clientes se almacenan en centros de datos de la UE.
Las copias de seguridad se ejecutan cada 60 segundos con recuperación a un punto en el tiempo. Todas las copias de seguridad están encriptadas y almacenadas en la UE. El historial completo de versiones está disponible para cada documento.
El estado del sistema es público en status.firma.dev. No ofrecemos acuerdos formales de nivel de servicio (SLAs) en este momento.
Cifrado
Autenticación y control de acceso
Autenticación de API
Todas las solicitudes de API requieren autenticación basada en claves. Los límites de velocidad protegen contra el abuso. Ver detalles del límite de velocidad.
Inicio de sesión del panel
Google y el inicio de sesión único de GitHub son compatibles. El control de acceso basado en roles permite a los propietarios de la cuenta definir qué pueden ver y hacer los miembros del equipo.
Espacios de Trabajo del Cliente
Seguridad del Firmante
Firma.dev protege a los firmantes durante todo el proceso de firma
Enlaces de firma únicos
Cada firmante recibe una URL única vinculada a su solicitud de firma. Los enlaces no pueden compartirse ni reutilizarse por otros firmantes.
Expiración del enlace
Los enlaces de firma expiran después de 7 días por defecto. Puedes configurar ventanas de expiración personalizadas (en horas) al crear plantillas.
Para obtener detalles de la implementación, consulte la documentación de solicitud de firma.
Seguridad de Webhooks
Todas las solicitudes de webhook están firmadas utilizando HMAC SHA-256
Cada solicitud incluye:
X-Firma-Signaturecon tu secreto de firma actualX-Firma-Signature-Oldcon tu secreto anterior durante el período de gracia de rotación de 7 días
Puedes recuperar tu secreto de firma desde el panel de control y rotarlo mediante la API. Siempre verifica las firmas de los webhooks para prevenir suplantaciones. Ver la guía de Webhooks.
Registros de auditoría
Identidad del firmante y dirección de correo electrónico
Marca de tiempo de cada acción (visto, firmado, completado)
Dirección IP del firmante
Hash del documento para detección de manipulación
Registro de consentimiento que confirma el acuerdo del firmante
Estado de finalización y generación de certificados
Los registros de auditoría no pueden ser modificados ni eliminados. Puedes recuperarlos a través de la API para revisiones de cumplimiento, disputas legales o auditorías internas.
Cumplimiento
Validez de la firma electrónica
Firma.dev produce firmas electrónicas legalmente vinculantes bajo:
Ley ESIGN y UETA (Estados Unidos)
Las firmas electrónicas son legalmente equivalentes a las firmas manuscritas para la mayoría de las transacciones.
eIDAS SES y AdES (Unión Europea)
Firma.dev admite Firmas Electrónicas Simples y Firmas Electrónicas Avanzadas con pistas de auditoría evidentes contra manipulación e identificación del firmante.
eIDAS del Reino Unido
Las firmas electrónicas siguen siendo válidas bajo la legislación de la UE mantenida.
Protección de datos
El consentimiento del firmante se captura y registra antes de que se aplique cualquier firma.
GDPR (Unión Europea)
Todos los datos se almacenan en la UE. Firma.dev actúa como un procesador de datos en su nombre. Un Acuerdo de Procesamiento de Datos está disponible para todos los clientes. Asistimos con las solicitudes de los Sujetos de Datos según sea necesario.
HIPAA (Estados Unidos)
Firma.dev funciona en la infraestructura de AWS compatible con HIPAA, lo que la hace adecuada para documentos relacionados con el cuidado de la salud. Si necesita un Acuerdo de Asociado de Negocios, contacte al soporte.
Estándares de seguridad
Firma.dev está diseñado teniendo en cuenta los principios de SOC 2. Las certificaciones SOC 2 Tipo II e ISO 27001 están en nuestro plan.
Validación de firma a largo plazo (PAdES B-LTA)
Cada documento firmado incluye un perfil de firma PAdES B-LTA. Esto significa que las firmas son inviolables y totalmente autoverificables durante más de 30 años, sin dependencia de autoridades de certificación externas ni de servicios de validación en línea después de la firma.
Todos los datos de validación requeridos (certificados, información de revocación y marcas de tiempo) se incrustan directamente en el PDF en el momento de la firma.
Procesamiento y Retención de Datos
Acuerdo de Procesamiento de Datos
Un Acuerdo de Procesamiento de Datos está disponible para todos los clientes aquí. Las copias contrafirmadas están disponibles bajo petición. Contacta con soporte.
Retención y Eliminación de Datos
Los documentos se conservan indefinidamente a menos que solicites su eliminación. Los clientes pueden solicitar la eliminación completa de la cuenta y los datos en cualquier momento.
Control de Acceso del Personal
El acceso a los datos de los clientes está limitado a personal específico de Firma.dev. Ver el contenido del documento requiere un permiso explícito a nivel de cuenta.
Pruebas de Seguridad y Respuesta ante Incidentes
Empleamos probadores de penetración a tiempo completo y revisores de código para identificar vulnerabilidades antes de que lleguen a producción. Las políticas internas de respuesta a incidentes están implementadas y se prueban regularmente.
Firma.dev
VS
D
Docusign
Divulgación Responsable
Damos la bienvenida a los informes de vulnerabilidad de los investigadores de seguridad. Si descubre un posible problema de seguridad, por favor contáctenos en security@firma.dev. Revisamos todos los informes y respondemos rápidamente.
