StatusEC maneja información sensible — cédulas, antecedentes penales, historial judicial. Esta página documenta cómo protegemos esos datos, con quién los compartimos y qué compromisos estamos dispuestos a firmar antes de iniciar nuestra relación comercial.
Datos cifrados en tránsito con TLS 1.3 y en reposo con AES-256. Ninguna información sensible se transmite ni se almacena en texto plano en ninguna etapa del procesamiento.
No solo le ayudamos a cumplir la LOPDP — la cumplimos internamente. Base de licitud, minimización de datos, retención limitada, registro de tratamientos y ejercicio de derechos ARCO están operativos.
Principio de privilegio mínimo: cada miembro del equipo accede solo a lo indispensable para su rol. Registros de auditoría completos para todo acceso a datos de clientes.
Esta página documenta públicamente con quién compartimos datos, dónde los alojamos y bajo qué condiciones. Sin letra chica. Si cambia nuestro stack de subprocesadores, lo actualizamos aquí.
Sin terminología marketinera. Las prácticas reales que aplicamos en nuestra plataforma.
| Categoría | Práctica aplicada |
|---|---|
| Cifrado en tránsito | Todo tráfico entre su navegador y nuestra plataforma usa TLS 1.3 con certificados actualizados automáticamente. Conexiones que no cumplan el estándar son rechazadas. |
| Cifrado en reposo | Base de datos cifrada con AES-256 a nivel de disco. Secretos y credenciales gestionados con servicios especializados de gestión de claves, nunca en código fuente ni variables de entorno en texto plano. |
| Autenticación | Autenticación robusta con hash bcrypt de contraseñas. Sesiones con expiración automática. Autenticación multifactor disponible para cuentas de empresa y obligatoria para administradores. |
| Control de acceso | Arquitectura de permisos basada en roles (RBAC). Sub-usuarios por sucursal, departamento o función. Cada acción queda registrada con usuario, timestamp y detalle de datos accedidos. |
| Respaldos | Respaldos automáticos diarios con retención de 30 días. Respaldos cifrados con las mismas claves AES-256. Pruebas de restauración ejecutadas periódicamente. |
| Aislamiento de datos | Cada empresa cliente está lógicamente aislada en la base de datos. Un usuario de Empresa A no puede, bajo ningún escenario técnico, acceder a datos de Empresa B. |
| Retención de datos | Datos de empleados monitoreados se retienen mientras exista la relación contractual con el cliente más el tiempo legal aplicable. Al finalizar el contrato, los datos se eliminan en máximo 90 días o se entregan al cliente por solicitud. |
| Consentimiento LOPDP | Toda persona monitoreada recibe solicitud de consentimiento explícito antes del primer escaneo. Firma digital con sello de tiempo y hash inmutable. Los titulares pueden revocar el consentimiento y ejercer derechos ARCO en cualquier momento. |
| Registro de auditoría | Log detallado de cada consulta, acceso y modificación: quién, cuándo, qué dato, desde qué IP. Los clientes pueden exportar el registro de auditoría de su propia empresa. |
| Gestión de vulnerabilidades | Dependencias del stack actualizadas continuamente. Escaneo automático de vulnerabilidades en cada despliegue. Parches de seguridad aplicados en máximo 48 horas para severidades críticas. |
| Infraestructura | Plataforma desplegada en infraestructura cloud de primer nivel (AWS, Vercel) con certificaciones SOC 2 e ISO 27001 propias del proveedor. StatusEC se beneficia indirectamente de esos controles aunque no sea auditada bajo esos marcos. |
| Monitoreo | Supervisión 24/7 de disponibilidad, latencia y anomalías. Alertas automáticas al equipo técnico ante actividad inusual. Tiempo objetivo de respuesta inicial ante incidentes: 1 hora. |
Algunos proveedores procesan datos en nuestro nombre para que la plataforma funcione. Son los únicos. La lista se mantiene aquí actualizada.
Almacenamiento de base de datos y servicios de procesamiento. Certificado ISO 27001, SOC 2 Tipo II.
🌎 EE.UU. (us-east-1)Hosting del frontend y rutas de API. Cifrado TLS automático. Certificado SOC 2.
🌎 Multi-regiónEnvío de solicitudes de consentimiento LOPDP y notificaciones a titulares de datos por WhatsApp.
🌎 EE.UU.Procesamiento de pagos con tarjeta de crédito. No almacenamos datos de tarjetas — son tokenizados por Payphone.
🇪🇨 EcuadorEnvío de emails transaccionales: reportes, notificaciones, consentimientos LOPDP.
🌎 EE.UU.Métricas agregadas de uso del sitio público. No incluye datos de empleados monitoreados ni información sensible.
🌎 EE.UU.Si incorporamos un nuevo subprocesador o cambiamos de proveedor, notificaremos a los clientes con al menos 30 días de anticipación por email al contacto principal. Esta página se actualiza primero. Clientes con contratos enterprise pueden solicitar un anexo DPA específico por proveedor.
StatusEC actúa como encargado del tratamiento en relación con los datos de sus empleados monitoreados, y como responsable en relación con los datos de sus usuarios de la plataforma.
Cada tratamiento tiene una base de licitud identificada conforme al Art. 7 LOPDP: consentimiento del titular (monitoreo), ejecución contractual (relación con clientes) o interés legítimo (seguridad y antifraude de la plataforma).
Mantenemos el registro de actividades de tratamiento exigido por el Art. 38 LOPDP, disponible para la autoridad de control y para auditorías de clientes enterprise bajo NDA.
Cualquier titular de datos puede ejercer derechos de acceso, rectificación, cancelación, oposición, portabilidad y explicación en arco@statusec.com. Respondemos en máximo 15 días.
StatusEC cuenta con un DPD designado cuyo correo directo es dpd@statusec.com. Atiende consultas, solicitudes de titulares y coordina con la SPDP cuando sea requerido.
Ante una brecha de seguridad que afecte datos personales, notificamos a la SPDP en máximo 72 horas y a los clientes afectados en paralelo, conforme al Art. 43 LOPDP.
Ofrecemos un Acuerdo de Procesamiento de Datos (DPA) estándar para todos los clientes, y un DPA personalizado para contratos enterprise. Solicítelo a legal@statusec.com.
Preferimos ser honestos sobre lo que falta antes que inflar credenciales. Aquí lo que estamos trabajando.
StatusEC no está certificado todavía bajo SOC 2 ni ISO 27001 como entidad. Nuestra infraestructura base sí lo está (AWS, Vercel), y aplicamos internamente muchos de los controles de esos marcos. Tenemos planificada la auditoría SOC 2 Tipo I para el próximo ejercicio. Si su requerimiento incluye una certificación formal específica, conversémoslo en la demo para coordinar un plan de cumplimiento.
Actualmente la base de datos reside en infraestructura AWS en EE.UU. La LOPDP permite transferencias internacionales cuando el destino tiene nivel adecuado de protección o cuando existen garantías contractuales apropiadas. Contamos con cláusulas contractuales estándar con nuestros subprocesadores. Para clientes que requieran hospedaje exclusivamente en territorio ecuatoriano, podemos evaluar esa configuración en planes enterprise.
Si su empresa requiere firmar un Acuerdo de Confidencialidad antes de ver nuestro producto, lo firmamos sin problema. Solicite el borrador escribiendo a legal@statusec.com o mencionándolo al agendar la demo. Respuesta en máximo 24 horas hábiles.
Nuestro equipo de seguridad responde consultas de clientes potenciales, evaluadores técnicos, y recibe reportes responsables de vulnerabilidades. Canales directos para cada caso:
Última actualización de esta página: Abril 2026