Data Processing Agreement (DPA)

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre KONTORE LABS LLC (Wilmington, Delaware, USA) — el "Procesador" — y la organización tenant que contrata KONTORE ERP — el "Controlador" o "Cliente". El DPA forma parte de los Términos de Servicio de KONTORE ERP y se aplica al procesamiento de Datos Personales por parte del Procesador en nombre del Cliente.

Al suscribirse al Servicio, el Cliente acepta este DPA. Para firma electrónica avanzada o wet-ink en contratos enterprise, escribir a [email protected].

1. Definiciones

Los términos en mayúscula tienen el significado establecido en el art. 4 del Reglamento (UE) 2016/679 (RGPD/GDPR). En particular:

"Datos Personales": toda información relativa a una persona física identificada o identificable (interesado).
"Tratamiento": cualquier operación realizada sobre Datos Personales, automatizada o no.
"Controlador": el Cliente (tenant), quien determina los fines y medios del Tratamiento.
"Procesador": KONTORE LABS LLC, quien procesa Datos Personales en nombre del Controlador.
"Subprocesador": cualquier tercero designado por el Procesador para asistir en el Tratamiento.

2. Objeto y duración

El Procesador procesa Datos Personales enviados por el Cliente a través del Servicio KONTORE ERP. El Tratamiento se extiende durante la duración de la suscripción más los plazos de retención descritos en el Anexo II.

3. Naturaleza y finalidad del Tratamiento

Categoría	Finalidad	Base legal (GDPR Art. 6)
Datos operacionales (operaciones, facturas, despachos)	Prestar el Servicio ERP	Ejecución de contrato
Datos de cuenta (email administrador, asignación de roles)	Autenticación + control de acceso	Ejecución de contrato
Datos KYC (identidad verificada vía Stripe Identity)	Prevención de fraude + cumplimiento AML/OFAC	Obligación legal + interés legítimo
Logs de uso (auditoría, IP, timestamps)	Seguridad + troubleshooting	Interés legítimo
Metadatos de comunicación (emails enviados vía integración Gmail)	Prestar el servicio de email	Ejecución de contrato

4. Categorías de interesados

Empleados y contratistas del Cliente que usan el ERP.
Clientes y proveedores del Cliente (cuyos datos el Cliente carga en el ERP).
Administrador del Cliente (para verificación KYC durante onboarding).

5. Categorías de Datos Personales procesados

Identificación: nombre, email, rol, teléfono (opcional).
Identidad verificada (KYC): tipo/país de documento, nombre y apellido, fecha de nacimiento, dirección (todo cifrado AES-GCM 256 en KONTORE).
Operacionales: razones sociales, direcciones, identificadores fiscales de contrapartes de comercio exterior.
Financieros: montos de facturas, fechas de pago (NO datos de tarjetas — los procesa Stripe Checkout).
Comunicación: asunto y cuerpo de mensajes salientes (NO los entrantes).

6. Instrucciones del Cliente

El Procesador procesa los Datos Personales únicamente conforme a instrucciones documentadas del Cliente, incluidas las transferencias internacionales. El Cliente autoriza al Procesador a utilizar los Subprocesadores listados en el Anexo III.

7. Confidencialidad

El Procesador garantiza que todo el personal autorizado para procesar Datos Personales está sujeto a deber de confidencialidad mediante contratos de trabajo y NDAs vigentes.

8. Medidas de seguridad

El Procesador implementa las medidas técnicas y organizativas descritas en el Anexo I — Medidas de Seguridad, entre ellas:

Cifrado en reposo: AES-GCM 256 para PII (KYC, tokens OAuth). Cifrado transparente de PostgreSQL para el resto.
Cifrado en tránsito: TLS 1.3, HSTS preload (2 años).
Control de acceso: RLS en todas las tablas sensibles, validación JWT, rol KONTORE_SUPER requerido para operaciones cross-tenant.
Logs de auditoría: append-only, retenidos 7 años.
Backups: PITR 7 días (Supabase Pro), cifrados.
Respuesta a incidentes: notificación dentro de 72 horas (GDPR Art. 33).

9. Subprocesamiento

El Procesador utiliza los Subprocesadores listados en el Anexo III. Notificará al Cliente con 30 días de antelación cualquier nuevo Subprocesador y el Cliente podrá oponerse por motivos razonables. La oposición puede dar lugar a la resolución del Servicio si el Procesador no puede continuar sin ese Subprocesador.

10. Derechos del interesado

El Procesador asiste al Cliente a responder solicitudes de los interesados (acceso, rectificación, supresión, portabilidad) dentro de 30 días. El Cliente sigue siendo el punto de contacto principal frente a sus usuarios finales.

11. Evaluación de impacto (DPIA)

El Procesador presta asistencia razonable al Cliente para llevar a cabo Evaluaciones de Impacto (GDPR Art. 35), incluyendo documentación de medidas de seguridad y acuerdos con Subprocesadores.

12. Notificación de violaciones de Datos Personales

El Procesador notificará al Cliente sin demora indebida (dentro de 72 horas desde el conocimiento) cualquier violación de Datos Personales que afecte los datos del Cliente, incluyendo:

Naturaleza de la violación.
Categorías y número aproximado de interesados afectados.
Consecuencias probables.
Medidas de mitigación adoptadas.

13. Derechos de auditoría

El Cliente (o un auditor independiente designado por el Cliente) podrá auditar el cumplimiento del Procesador con este DPA una vez por año calendario, con 60 días de aviso por escrito. Los costos de la auditoría son del Cliente, salvo que la auditoría revele un incumplimiento material, en cuyo caso los asume el Procesador. El Procesador podrá compartir reportes de auditoría externos vigentes (cyber-neo, penetration test) en lugar de auditoría presencial.

14. Devolución o supresión de los datos

A la terminación de la suscripción del Cliente, el Procesador:

Devuelve todos los Datos Personales en formato CSV/JSON dentro de 30 días.
Suprime todos los Datos Personales de sistemas activos dentro de 60 días.
Anonimiza (pero retiene) datos requeridos por obligación legal AML/KYC (7 años).
Elimina backups dentro de la ventana PITR (7 días).

15. Transferencias internacionales

Para transferencias fuera de la UE/EEE, el Procesador se apoya en:

Cláusulas Contractuales Tipo (SCC) de la Comisión Europea — Módulo 3 (Procesador a Procesador) — para transferencias a Subprocesadores ubicados en EE.UU.
EU-US Data Privacy Framework (DPF) para Subprocesadores certificados.

16. Limitación de responsabilidad

La responsabilidad del Procesador bajo este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio.

17. Legislación aplicable

Este DPA se rige por las leyes del Estado de Delaware, USA. Sin perjuicio de ello, el Cliente podrá invocar la legislación local que le resulte aplicable conforme al art. 79 GDPR (derecho a la tutela judicial efectiva) ante los tribunales del lugar de residencia del interesado.

Anexo I — Medidas de seguridad

Medidas técnicas y organizativas vigentes:

Cifrado: AES-GCM 256 para PII en reposo (KYC, tokens OAuth, refresh tokens). TLS 1.3 en tránsito. HSTS preload (2 años).
Aislamiento multi-tenant: cada tenant tiene su propio proyecto Supabase, físicamente separado. RLS activa en todas las tablas con datos de negocio.
Autenticación y autorización: JWT con ES256 (publishable keys), roles ADMIN/SUP/TESORERO/NORMAL, lista blanca de empresas por usuario, auditoría completa de acciones sensibles.
Audit log: append-only con cadena de hash HMAC (detección de tampering retroactivo), retenido 7 años.
Acceso del personal: MFA obligatorio, principio de menor privilegio, separación de roles.
Backups y continuidad: PITR 7 días en Supabase Pro, restores probados periódicamente.
Testeo de seguridad: auditoría anual cyber-neo + pruebas de penetración externas.
Respuesta a incidentes: notificación al Cliente dentro de 72 horas (GDPR Art. 33).
Roadmap Vendor-Blind Tier 1 (Q3 2026, planes Pro y superior): aprobación 2-key para accesos cross-tenant, llaves de escalación gestionadas en AWS Secrets Manager (fuera del entorno de ejecución del worker, fetch on-demand), AWS CloudTrail como mirror externo independiente de cada acceso a llaves, panel "Mis accesos KONTORE" visible al Cliente dentro de su ERP. El cronograma se publica en /seguridad.html.

Anexo II — Plazos de retención

Categoría	Retención	Acción al expirar
Datos KYC (PII verificada)	7 años post-cancelación	Anonimización + rotación de claves
Audit logs (kyc_audit_log + audit_log)	7 años post-cancelación	Anonimización del actor
Datos operacionales del ERP	Duración de la suscripción	Exportación CSV/JSON + supresión 90 días post-cancelación
Backups (PITR)	7 días	Purga automática
Logs técnicos del worker	30 días	Purga automática en Cloudflare
Datos en Stripe (su retención)	Según política Stripe	stripe.com/privacy

Anexo III — Subprocesadores autorizados

Vigentes desde: 31 de mayo de 2026 (Sprint TENANT-KYC).

#	Subprocesador	Ubicación	Finalidad	Categorías de datos
1	Supabase Inc.	USA / Sudamérica (según región del tenant)	PostgreSQL, autenticación, almacenamiento	Datos operacionales, plataforma, KYC cifrado
2	Cloudflare Inc.	EE.UU. + edge global	CDN, Workers, DNS, DDoS	Metadatos HTTP (IP, user-agent, ruta)
3	Stripe Inc.	EE.UU. + UE	Procesamiento de pagos	Email del titular, monto, metadatos de pago
4	Stripe Inc. — Identity	EE.UU. + UE	Verificación KYC (documento + selfie)	Imagen del documento, selfie, PII extraída
5	Anthropic PBC	EE.UU.	Claude API (IA documental)	Contenido de documentos enviados en cada prompt
6	Google LLC	EE.UU.	OAuth + Drive + Gmail + Calendar (por tenant)	Tokens OAuth cifrados, metadatos de archivos Drive
7	Resend Inc.	EE.UU.	Email transaccional	Email destinatario, asunto, cuerpo
8	Twilio Inc.	EE.UU.	SMS y WhatsApp Business (opcional)	Número telefónico, contenido del mensaje

Política Stripe Identity: la imagen del documento y el selfie biométrico nunca se almacenan en infraestructura del Procesador — permanecen en Stripe. El Procesador retiene únicamente la PII extraída cifrada con AES-GCM 256. Stripe está certificado bajo EU-US DPF y provee SCC Módulo 3 por defecto.

Firma

Este DPA se acepta electrónicamente al suscribir KONTORE ERP. La aceptación queda registrada en kontore-platform.audit_log con timestamp + IP. Para wet-ink (contratos enterprise) escribir a [email protected].

Historial de versiones

v1.0 (2026-05-15) — DPA inicial al lanzamiento.
v2.0 (2026-05-31) — Sprint TENANT-KYC: Anexo III §4 Stripe Identity + retención KYC en Anexo II.

This Data Processing Agreement ("DPA") is entered into between KONTORE LABS LLC (Wilmington, Delaware, USA) — the "Processor" — and the tenant organization subscribing to KONTORE ERP — the "Controller" or "Customer". This DPA forms part of the KONTORE ERP Terms of Service and applies to the processing of Personal Data by the Processor on behalf of the Customer.

By subscribing to the Service, the Customer accepts this DPA. For advanced electronic signature or wet-ink (enterprise contracts), contact [email protected].

1. Definitions

Capitalized terms have the meaning given in Article 4 of Regulation (EU) 2016/679 (GDPR). In particular:

"Personal Data": any information relating to an identified or identifiable natural person (data subject).
"Processing": any operation performed on Personal Data, whether or not by automated means.
"Controller": the Customer (tenant), who determines purposes and means of processing.
"Processor": KONTORE LABS LLC, who processes Personal Data on behalf of the Controller.
"Sub-processor": any third party engaged by the Processor to assist in processing.

2. Subject matter and duration

The Processor processes Personal Data submitted by the Customer through the KONTORE ERP service. Processing lasts for the duration of the subscription plus the retention periods described in Annex II.

3. Nature and purpose of processing

Category	Purpose	Lawful basis (GDPR Art. 6)
Operational data (operations, invoices, dispatches)	Provide the ERP service	Performance of contract
Account data (admin email, role assignments)	User authentication + access control	Performance of contract
KYC data (verified identity via Stripe Identity)	Anti-fraud + AML/OFAC compliance	Legal obligation + legitimate interest
Usage logs (audit, IP, timestamps)	Security + troubleshooting	Legitimate interest
Communication metadata (emails sent via Gmail integration)	Deliver email service	Performance of contract

4. Categories of data subjects

Customer's employees and contractors using the ERP.
Customer's clients and suppliers (whose data the Customer enters in the ERP).
Customer's administrator (for KYC verification during onboarding).

5. Categories of Personal Data processed

Identification: name, email, role, phone (optional).
Verified identity (KYC): document type/country, first/last name, DOB, address (all encrypted with AES-GCM 256 at KONTORE).
Operational: business names, addresses, tax IDs of trading counterparties.
Financial: invoice amounts, payment dates (NO card data — handled by Stripe Checkout).
Communication: email subject + body for outbound messages (NOT inbound).

6. Customer instructions

The Processor processes Personal Data only on documented instructions from the Customer, including transfers to third countries. The Customer authorizes the Processor to use the Sub-processors listed in Annex III.

7. Confidentiality

The Processor ensures that all personnel authorized to process Personal Data is bound by confidentiality through employment contracts and active NDAs.

8. Security measures

The Processor implements the technical and organizational measures described in Annex I — Security Measures, including:

Encryption at rest: AES-GCM 256 for PII (KYC, OAuth tokens). PostgreSQL transparent encryption for the rest.
Encryption in transit: TLS 1.3, HSTS preload (2 years).
Access control: RLS on all sensitive tables, JWT validation, KONTORE_SUPER role required for cross-tenant operations.
Audit logs: append-only, 7-year retention.
Backups: PITR 7 days (Supabase Pro), encrypted.
Incident response: 72-hour notification (GDPR Art. 33).

9. Sub-processing

The Processor engages the Sub-processors listed in Annex III. The Customer is notified 30 days in advance of any new Sub-processor and may object on reasonable grounds. Objection may result in termination of the Service if the Processor cannot continue without that Sub-processor.

10. Data subject rights

The Processor assists the Customer in responding to data subject requests (access, rectification, erasure, portability) within 30 days. The Customer remains the primary point of contact for its end users.

11. Data Protection Impact Assessment (DPIA)

The Processor provides reasonable assistance to the Customer in performing DPIAs (GDPR Art. 35), including documentation of security measures and Sub-processor agreements.

12. Personal data breach notification

The Processor notifies the Customer without undue delay (within 72 hours of becoming aware) of any personal data breach affecting the Customer's data, including:

Nature of the breach.
Categories and approximate number of data subjects affected.
Likely consequences.
Mitigation measures taken.

13. Audit rights

The Customer (or an independent auditor mandated by the Customer) may audit the Processor's compliance with this DPA once per calendar year, with 60 days written notice. Audit costs are borne by the Customer, except where the audit reveals material non-compliance, in which case the Processor bears them. The Processor may share current external audit reports (cyber-neo, penetration test) in lieu of an on-site audit.

14. Return or deletion of data

Upon termination of the Customer's subscription, the Processor will:

Return all Personal Data in CSV/JSON format within 30 days.
Delete all Personal Data from active systems within 60 days.
Anonymize (but retain) data required by AML/KYC legal obligation (7 years).
Delete backups within the PITR window (7 days).

15. International transfers

For transfers outside the EU/EEA, the Processor relies on:

Standard Contractual Clauses (SCC) 2021 — Module 3 (Processor to Processor) — for transfers to Sub-processors in the US.
EU-US Data Privacy Framework (DPF) for Sub-processors certified under DPF.

16. Limitation of liability

The Processor's liability under this DPA is subject to the limitations set out in the Terms of Service.

17. Governing law

This DPA is governed by the laws of the State of Delaware, USA. Notwithstanding, the Customer may invoke local law applicable to it under GDPR Art. 79 (right to an effective judicial remedy) before the courts of the data subject's place of residence.

Annex I — Security measures

Technical and organizational measures in force:

Encryption: AES-GCM 256 for PII at rest (KYC, OAuth tokens, refresh tokens). TLS 1.3 in transit. HSTS preload (2 years).
Multi-tenant isolation: each tenant has its own Supabase project, physically separated. RLS enabled on every business-data table.
Authentication and authorization: JWT with ES256 (publishable keys), ADMIN/SUP/TREASURER/NORMAL roles, per-user company allowlist, full audit trail of sensitive actions.
Audit log: append-only with chained HMAC hash (retroactive tampering detection), 7-year retention.
Staff access: mandatory MFA, principle of least privilege, role separation.
Backups and continuity: PITR 7 days on Supabase Pro, restore drills tested periodically.
Security testing: annual cyber-neo audit + external penetration tests.
Incident response: Customer notification within 72 hours (GDPR Art. 33).
Roadmap Vendor-Blind Tier 1 (Q3 2026, Pro plan and above): 2-key approval for cross-tenant access, escalation keys managed in AWS Secrets Manager (outside the Worker's execution environment, fetched on-demand), AWS CloudTrail as an independent external mirror of every key access, Customer-visible "My KONTORE accesses" panel inside the ERP. Schedule published at /seguridad.html.

Annex II — Retention periods

Category	Retention	Action on expiry
KYC data (verified PII)	7 years post-cancellation	Anonymization + key rotation
Audit logs (kyc_audit_log + audit_log)	7 years post-cancellation	Actor anonymization
ERP operational data	Duration of subscription	CSV/JSON export + deletion 90 days after cancellation
Backups (PITR)	7 days	Automatic purge
Technical worker logs	30 days	Automatic purge at Cloudflare
Stripe data (their retention)	Per Stripe's policy	stripe.com/privacy

Annex III — Authorized Sub-processors

Effective: May 31, 2026 (Sprint TENANT-KYC).

#	Sub-processor	Location	Purpose	Data categories
1	Supabase Inc.	USA / South America (per tenant region)	PostgreSQL, Auth, Storage	Operational data, platform, encrypted KYC
2	Cloudflare Inc.	USA + global edge	CDN, Workers, DNS, DDoS	HTTP metadata (IP, user-agent, route)
3	Stripe Inc.	USA + EU	Payment processing	Account holder email, amount, payment metadata
4	Stripe Inc. — Identity	USA + EU	KYC verification (document + selfie)	Document image, selfie, extracted PII
5	Anthropic PBC	USA	Claude API (document AI)	Document content sent in each prompt
6	Google LLC	USA	OAuth + Drive + Gmail + Calendar (per tenant)	Encrypted OAuth tokens, Drive file metadata
7	Resend Inc.	USA	Transactional email	Recipient email, subject, body
8	Twilio Inc.	USA	SMS and WhatsApp Business (optional)	Phone number, message content

Stripe Identity policy: the document image and biometric selfie are never stored on the Processor's infrastructure — they remain at Stripe. The Processor only retains extracted PII encrypted with AES-GCM 256. Stripe is certified under EU-US DPF and provides SCC Module 3 by default.

Signature

This DPA is accepted electronically upon subscribing to KONTORE ERP. The acceptance is recorded in kontore-platform.audit_log with timestamp + IP. For wet-ink (enterprise contracts), contact [email protected].

Version history

v1.0 (2026-05-15) — Initial DPA at launch.
v2.0 (2026-05-31) — Sprint TENANT-KYC: Annex III §4 Stripe Identity + KYC retention in Annex II.

Acuerdo de Procesamiento de Datos (DPA)