Aviso de Privacidad

Razón Social: Astro Digital S.A. de C.V.
RFC: ADI2308166D2
Domicilio: Cairo 110, Col. Futuro Nogalar Sector 1, C.P. 66484, San Nicolás De Los Garza, Nuevo León, México
Sitio web: allsign.io
Oficial de Protección de Datos (DPO): dpo@allsign.io
Contacto legal: legal@allsign.io
WhatsApp: +52 81 8209 2776

AllSign es una plataforma de firma electrónica, certificación digital y gestión documental operada por Astro Digital S.A. de C.V. ("el Proveedor", "nosotros" o "AllSign"). El presente Aviso de Privacidad tiene por objeto informarle cómo tratamos los datos personales a los que tenemos acceso por cualquier medio cuando usted utiliza nuestra Plataforma y/o Servicios.

Este Aviso de Privacidad aplica a:

• Visitantes del sitio web allsign.io y sus subdominios.
• Clientes que contratan Planes y Servicios de AllSign.
• Usuarios que acceden a la Plataforma, incluyendo firmantes invitados.
• Usuarios de nuestra API e integraciones.
• Empleados y representantes de empresas que interactúan con AllSign.

Roles en el tratamiento de datos:

• AllSign como Responsable (Controller): Cuando recopilamos datos para operar la Plataforma, gestionar cuentas de clientes, facturar y mejorar nuestros Servicios.
• AllSign como Encargado (Processor): Cuando procesamos datos personales de terceros en nombre y por instrucción de un Cliente (p. ej., datos de firmantes). En este caso, el Cliente actúa como Responsable y debe cumplir con sus propias obligaciones legales, incluyendo obtener el consentimiento de los titulares.

Recopilamos únicamente los datos necesarios, adecuados y relevantes para las finalidades descritas en este aviso:

El tratamiento de datos personales se fundamenta en las siguientes bases legales según la jurisdicción aplicable:

Finalidades primarias (necesarias para el servicio):

• Crear y gestionar cuentas de usuario en la Plataforma.
• Verificar la identidad del Cliente y/o Usuario.
• Ejecutar métodos de firma electrónica (SES, AES, QES).
• Verificar la vigencia y estado de certificados digitales.
• Emitir constancias NOM-151 de conservación de mensajes de datos.
• Verificar datos de documentos de identidad (KYC) y antecedentes (Background Check).
• Procesar pagos y emitir facturas.
• Generar pistas de auditoría (audit trail) de los procesos de firma.
• Brindar soporte técnico y atención al cliente.
• Cumplir con obligaciones legales, regulatorias y contractuales.

Finalidades secundarias (no necesarias, requieren consentimiento):

• Enviar comunicaciones de marketing, promociones y novedades.
• Realizar análisis estadísticos y de uso para mejorar la Plataforma.
• Personalizar la experiencia del usuario.
• Realizar encuestas de satisfacción.

AllSign opera globalmente y puede transferir datos personales a jurisdicciones fuera del país de residencia del titular. Cuando lo hacemos, implementamos las siguientes salvaguardas:

Ubicación de los centros de datos: Los datos se almacenan principalmente en centros de datos ubicados en Estados Unidos y Europa, operados por proveedores certificados (AWS, Hetzner) con certificaciones SOC 2 Type II e ISO 27001.

No transferimos datos personales a terceros sin su consentimiento, excepto cuando sea necesario para prestar los Servicios contratados o cuando la ley lo permita. Para una lista actualizada de sub-encargados, consulte la sección 10.

7.1 Medidas de seguridad técnicas

• Cifrado de datos en tránsito: TLS 1.3
• Cifrado de datos en reposo: AES-256
• Bases de datos cifradas con claves gestionadas por KMS
• Autenticación multifactor (MFA) disponible para todas las cuentas
• Certificados SSL/TLS en todos los servicios expuestos
• Firewalls de aplicación web (WAF) y sistemas de detección de intrusiones
• Escaneo regular de vulnerabilidades y pruebas de penetración
• Registros de acceso y auditoría de todas las operaciones

7.2 Medidas de seguridad organizativas

• Acuerdos de confidencialidad con todos los empleados y proveedores
• Principio de mínimo privilegio en accesos internos
• Capacitación periódica del personal en protección de datos y seguridad
• Procedimientos documentados de gestión de incidentes
• Prácticas alineadas con ISO 27001 y SOC 2 Type II

7.3 Períodos de retención

7.4 Notificación de violaciones de seguridad

En caso de una violación de seguridad que afecte significativamente los derechos de los titulares, AllSign se compromete a:

• UE/GDPR: Notificar a la autoridad supervisora dentro de las 72 horas posteriores al conocimiento del incidente (Art. 33 GDPR) y a los titulares afectados cuando exista alto riesgo.
• México: Notificar al titular de forma inmediata los datos comprometidos conforme al Art. 20 LFPDPPP.
• California: Notificar conforme a las disposiciones de la CCPA y el Codigo Civil de California §1798.82.
• Otros: Cumplir con los plazos y requisitos de notificación de la jurisdicción aplicable.

Dependiendo de su jurisdicción, usted tiene los siguientes derechos sobre sus datos personales:

Cómo ejercer sus derechos:

Envíe su solicitud a dpo@allsign.io incluyendo:

• Nombre completo y correo electrónico registrado.
• Descripción del derecho que desea ejercer y los datos personales involucrados.
• Documento de identificación para verificar su identidad.

Plazos de respuesta:

• México (LFPDPPP): 20 días hábiles, prorrogables por 20 días adicionales.
• UE (GDPR): 1 mes, prorrogable por 2 meses adicionales en casos complejos.
• California (CCPA): 45 días, prorrogables por 45 días adicionales.
• Brasil (LGPD): 15 días.

Autoridades competentes:

• México: INAI (inai.org.mx)
• UE: La autoridad supervisora de protección de datos de su Estado miembro.
• California: California Privacy Protection Agency (CPPA).
• Brasil: ANPD (gov.br/anpd)

AllSign utiliza cookies y tecnologías similares clasificadas en las siguientes categorías:

Puede gestionar sus preferencias de cookies en cualquier momento a través del banner de cookies de la Plataforma o mediante la configuración de su navegador. La desactivación de cookies no esenciales no afecta la funcionalidad principal de los Servicios.

Para navegadores que soportan la señal Global Privacy Control (GPC), AllSign respeta dicha señal como una solicitud válida de opt-out conforme a la CCPA/CPRA.

AllSign utiliza proveedores de servicio (sub-encargados) cuidadosamente seleccionados para prestar los Servicios. Todos los sub-encargados están sujetos a acuerdos de procesamiento de datos (DPA) y medidas de seguridad equivalentes a las nuestras.

Categorías de sub-encargados:

Para obtener una lista detallada y actualizada de sub-encargados con nombres específicos, escriba a dpo@allsign.io. AllSign notificará a los Clientes con al menos 30 días de anticipación sobre cambios en sub-encargados que afecten el tratamiento de datos personales.

Los Servicios de AllSign están dirigidos exclusivamente a personas mayores de 18 años (o la mayoría de edad aplicable en su jurisdicción). No recopilamos intencionalmente datos personales de menores de edad.

Si tiene conocimiento de que un menor ha proporcionado datos personales a través de la Plataforma, contáctenos inmediatamente a dpo@allsign.io para que procedamos a su eliminación.

AllSign se reserva el derecho de modificar este Aviso de Privacidad en cualquier momento para atender novedades legislativas, cambios en nuestras prácticas o nuevos requerimientos. Las modificaciones se notificarán con al menos 30 días naturales de anticipación mediante:

• Publicación en allsign.io/aviso_privacidad con fecha de vigencia.
• Correo electrónico al último correo registrado.
• Aviso dentro de la Plataforma.