Centro de confianza

Su confianza, documentada.

Todo lo que necesitan sus equipos jurídico, de seguridad y de compras — en un solo lugar, sin formularios.

De un vistazo

  • Conforme RGPD por diseño — ATD incluido en todos los planes
  • Alojamiento UE únicamente: Fráncfort (Supabase) + Ámsterdam (TransIP)
  • AES-256 en reposo, TLS 1.2+ en tránsito
  • AES-256-GCM para claves API de clientes (BYOK)
  • Aislamiento multi-tenant mediante Supabase Row Level Security
  • Ningún entrenamiento de IA con datos de clientes
  • Compromiso de notificación de brechas en 48 horas
  • Solo B2B — ningún tratamiento de datos de consumidores

Acuerdo de Tratamiento de Datos (ATD)

Nuestro Acuerdo de Tratamiento de Datos conforme al Artículo 28 del RGPD está incluido en todos los planes y pre-aceptado al firmar nuestras Condiciones. Descargue la versión actual para su equipo jurídico.

Ver el ATDVersión 1.1 · Última actualización 23 de abril de 2026

Subprocesadores

SupabaseBase de datos, autenticación, almacenamiento de archivosFráncfort, DE
TransIP B.V.VPS para el proxy LiteLLMÁmsterdam, NL
Vercel, Inc.Frontend + edge computeEdge UE
LettermintCorreo transaccionalUE
Stripe Payments EuropePagos + Stripe TaxDublín, IE

Notificamos a todos los clientes al menos 30 días antes de añadir o reemplazar cualquier subprocesador.

Lista completa con condiciones contractuales →

Infraestructura

Alojamiento de la aplicaciónRed edge UE de Vercel
Base de datos + auth + almacenamientoSupabase — Fráncfort, Alemania (UE)
Proxy LLM + control presupuestarioLiteLLM en TransIP VPS — Ámsterdam, Países Bajos (UE)
Envío de correosLettermint (UE)
PagosStripe + Stripe Tax — Dublín, Irlanda (UE)
Residencia de datosNingún dato de clientes sale del EEE bajo ninguna circunstancia

Medidas de seguridad

Cifrado en reposoAES-256 (datos), AES-256-GCM (claves API)
Cifrado en tránsitoTLS 1.2+ en todas las conexiones
AutenticaciónCorreo + MFA TOTP (obligatorio)
Control de accesoMínimo privilegio, basado en roles, RLS multi-tenant
Copias de seguridadCifradas diariamente, recuperación point-in-time, retención 30 días
SupervisiónObservabilidad Vercel
Análisis de vulnerabilidadesDependabot, CodeQL
RTO objetivo4 horas
RPO objetivo24 horas

BYOK y proveedores LLM

En el marco de nuestro modelo Bring Your Own Key, los clientes mantienen una relación directa con cada proveedor LLM (OpenAI, Anthropic, Google, Mistral) a través de sus propias claves API. Los proveedores LLM no son subprocesadores de Custos.

Las claves API de los clientes se cifran con AES-256-GCM y solo se descifran en memoria en el momento de uso — nunca se registran, nunca son visibles para el personal de Custos.

Respuesta a incidentes

Nos comprometemos a notificar a los clientes afectados en un plazo de 48 horas desde que tengamos conocimiento de un incidente de seguridad que afecte a sus datos personales, según lo exige el Artículo 33 del RGPD.

Registro de incidentes

Ningún incidente reportado hasta la fecha. Esta sección se actualizará de forma transparente cuando ocurra cualquier incidente, siguiendo el calendario establecido en nuestro ATD.

Los investigadores de seguridad pueden reportar vulnerabilidades a . Respondemos en 48 horas y damos crédito a las divulgaciones responsables en nuestro changelog.

Contacto y legal

Solicitudes legales + ATD
Solicitudes de privacidad
Divulgaciones de seguridad
EmpresaAlpha Digital B.V. · KvK 72313129 · Stationsplein 26, 6512 AB Nijmegen, NL
Política de privacidadTérminos de servicioATDCookiesSeguridad