NuevoEl paquete de cumplimiento del Reglamento de Baterías 2027 ya está disponible.Leer
DPP Automate LogoDPP Automate
Legal

Confianza, by design. Auditada por defecto.

Alojado en la UE, firmado criptográficamente y construido para reguladores que realmente miran. Lee los controles, solicita los informes.

  • Residencia UE
  • Firmas criptográficas
  • Conforme con el RGPD
Solicitar informesReportar una vulnerabilidad
Certificaciones

Lo que tenemos, lo que estamos ganando, lo que viene.

SOC 2 Type II

En curso

Auditoría independiente de nuestros controles de seguridad, disponibilidad y confidencialidad. En curso con nuestro auditor.

Solicitar estado

ISO 27001

En curso

Sistema de gestión de seguridad de la información alineado con ISO/IEC 27001. Preparación Stage 1 en curso.

Solicitar estado

TISAX

Hoja de ruta

Evaluación de la cadena de suministro de automoción. Programado para el próximo ciclo de conformidad.

Solicitar estado

Conforme con el RGPD

Conseguido

Residencia UE, DPA art. 28, CCT módulo 2, plazos de borrado de 30 días. Conforme por defecto.

Solicitar estado

Residencia de datos UE

Conseguido

Los datos de los clientes se procesan y almacenan exclusivamente en la UE — Fráncfort primaria, Ámsterdam failover.

Solicitar estado

Test de intrusión anual

En curso

Test ofensivo de seguridad de la aplicación en producción por un tercero. Resumen disponible a petición tras cada ciclo.

Solicitar estado
Compromisos

Cuatro promesas en cada pasaporte.

01 · Seguridad

Defensa en cada capa.

Cifrado en tránsito y en reposo, mTLS más OAuth 2 entre servicios y registro de auditoría firmado criptográficamente para cada evento del pasaporte.

02 · Privacidad

Datos europeos, reglas europeas.

Tratamiento conforme con el RGPD, residencia UE y claves de cifrado gestionadas por el cliente (BYOK) en los planes Enterprise.

03 · Disponibilidad

Construido para no caer.

SLA 99,95 % en Operator, 99,99 % en Enterprise. Activo-activo entre Fráncfort y Ámsterdam. Página de estado en tiempo real.

04 · Transparencia

Sin sorpresas.

DPA público y este Trust Center. Cambios de sub-encargados notificados con 30 días de antelación. Cada incidente publicado en cinco días hábiles.

Arquitectura

Los controles detrás de las promesas.

Cifrado en tránsito

TLS 1.2+ en cada endpoint público. mTLS entre servicios internos con certificados de vida corta.

Cifrado en reposo

AES-256 en bases de datos, blob storage y backups. Claves por inquilino con rotación documentada.

Identidad y accesos

Identidad respaldada por Clerk, OAuth 2 / OpenID Connect, SSO y SCIM en los planes Enterprise.

Aislamiento de red

VPC por entorno sin endpoints públicos de base de datos. Egreso en lista blanca, ingreso filtrado en el borde.

Registro de auditoría

Audit trail firmado criptográficamente, solo-añadir. Historial de revisiones inmutable para cada pasaporte.

Claves gestionadas por el cliente

Los clientes Enterprise pueden usar sus propias claves (BYOK) para el cifrado en reposo, con rotación según su calendario.

Residencia de datos

Tus datos se quedan en Europa.

Los datos de los clientes se procesan y almacenan exclusivamente dentro de la Unión Europea. Ninguna copia, réplica o backup sale de la región — ni para analítica, ni para soporte, ni para failover.

Sede en Suiza, alojamiento en la UE: la combinación que la mayoría de los equipos de compras europeos pide. Las transferencias transfronterizas bajo el art. 44 del RGPD se rigen por las CCT de la UE (2021/914), módulo 2, con nuestro DPA estándar.

Sede suiza · Alojado UE
Región primaria
Fráncfort
Alemania

Región de producción primaria para compute, almacenamiento y logs de auditoría. Sirve todo el tráfico del cliente por defecto.

Activo-activo
Región de failover
Ámsterdam
Países Bajos

Región hot-standby para replicación síncrona y failover automático dentro del perímetro UE.

Activo-activo
Informes y documentos

Todo lo que pide compras y seguridad.

  • Informe SOC 2 Type II
    En curso
    Última actualización
    En curso
    Solicitar estado
  • Certificado ISO 27001
    En curso
    Última actualización
    En curso
    Solicitar estado
  • Resumen del test de intrusión
    A petición
    Última actualización
    Requiere NDA
    Solicitar
  • Lista de sub-encargados
    Público
    Última actualización
    Mantenida en continuo
    Ver en /dpa
  • Acuerdo de tratamiento de datos (DPA)
    Público
    Última actualización
    Mayo de 2026
    Ver en /dpa
  • Política de privacidad
    Público
    Última actualización
    Mayo de 2026
    Ver privacidad
  • Documento técnico de arquitectura
    A petición
    Última actualización
    Requiere NDA
    Solicitar

Los documentos marcados como «En curso» se están preparando con nuestro auditor. Los documentos bajo NDA se envían en dos días hábiles tras una solicitud escrita de un contacto nombrado de compras o seguridad.

Divulgación responsable

¿Encuentras una vulnerabilidad? Cuéntanoslo primero.

Dentro del alcance: la aplicación en producción, los datos de los clientes y nuestras API públicas. Fuera del alcance: los servicios de terceros de los que dependemos (Clerk, Convex, Google) — repórtalos directamente al proveedor.

Envíanos los reportes por email a la dirección de abajo. Aceptamos envíos cifrados con PGP — pide la clave pública en el primer mensaje.

Acusamos recibo de cada reporte en 72 horas, hacemos triage en cinco días hábiles y aspiramos a publicar un arreglo para hallazgos críticos en catorce días.

Safe harbour: no emprenderemos acciones legales contra investigadores de buena fe que sigan esta política y eviten violaciones de privacidad, interrupciones de servicio o exfiltración de datos.

info@dppautomate.comPon «security» en el asunto para un triage más rápido.
Hall of fame
Sé la primera.

Sin divulgaciones públicas hasta la fecha. Quien reporte un hallazgo válido será mencionado aquí, con su consentimiento.

Bug bounty · Hoja de ruta
Incidentes

Historial operativo, sin rodeos.

Incidentes reportables
0
Cero incidentes reportables hasta hoy.

Contados desde el lanzamiento en 2024 hasta hoy. Cada incidente reportable se publica en cinco días hábiles.

Todo en orden

Cómo publicamos los incidentes.

Un incidente reportable es cualquier evento no planificado que afecte a la confidencialidad, integridad o disponibilidad de los datos de los clientes. Publicamos un post-mortem público con causa raíz, impacto en el cliente y remediación en cinco días hábiles. Suscríbete en la página de estado de abajo.

status.dppautomate.com
Contacto de seguridad

Contacta con el equipo de seguridad.

Para due diligence de proveedores, cuestionarios de seguridad o escalados de conformidad, escribe a la dirección de abajo — nuestro responsable de seguridad responderá.

Email de seguridad
info@dppautomate.com

Pon «security» en el asunto para un triage más rápido.

Entidad operadora
DPP Automate
Schlosstalstrasse 202
8408 Winterthur
Switzerland

Sé la marca
preparada.

Empieza gratisReservar sesión de 30 min