1. Principios de protección de datos
Tratamos datos conforme a la Ley 1581/2012 y Decreto 1377/2013, bajo principios de:
| Legalidad | Finalidad | Libertad | Veracidad |
| Transparencia | Acceso Restringido | Seguridad | Confidencialidad |
2. Datos que recopilamos
FIRMANTE recolecta y trata las siguientes tipologías de datos según la interacción del titular con la plataforma:
2.1. Datos de Usuarios Registrados (Clientes/Tenants)
Nombre, número de documento de identidad, correo electrónico, teléfono de contacto, cargo, información corporativa de la organización, credenciales de acceso, registros de facturación y logs de actividad administrativa. Frente a estos datos, FIRMANTE actúa como Responsable del Tratamiento.
2.2. Datos de Firmantes Terceros (Destinatarios Invitados)
Nombre, número de identificación, correo electrónico, número de teléfono celular (abonado) y los documentos cargados para suscripción. Frente a estos datos, FIRMANTE actúa única y exclusivamente como Encargado del Tratamiento por cuenta del Tenant (quien es el único Responsable).
2.3. Datos Técnicos de Trazabilidad y Seguridad (Metadatos)
Dirección IP de origen, información del dispositivo y del navegador (agente de usuario), registros de auditoría (logs de visualización, aceptación y firma), tokens de sesión y geolocalización al momento exacto de la actuación.
2.4. Tratamiento de Datos Sensibles (Geolocalización)
En los eventos en que la plataforma o el Tenant activen módulos de validación de identidad avanzada (biometría facial, dactilar o captura de ubicación exacta), el Titular manifiesta conocer que estos datos tienen carácter de Sensibles de conformidad con el artículo 5 de la Ley 1581 de 2012. El suministro de estos datos es facultativo para el titular; no obstante, su rechazo impedirá agotar el flujo de firma electrónica configurable por el Tenant.
3. Finalidades del tratamiento
Las actividades de tratamiento que realiza FIRMANTE se encuentran estrictamente vinculadas al desarrollo de su objeto social y se limitan a:
3.1. En calidad de Responsable
Administrar las cuentas de acceso, gestionar el soporte técnico, procesar la facturación y el recaudo, tramitar PQRS y enviar comunicaciones operativas o comerciales (estas últimas sujetas a revocatoria).
3.2. En calidad de Encargado (Prestación del Servicio de Firma Electrónica)
| a) Autenticidad: | Validar técnicamente la identidad del firmante mediante el envío y verificación de códigos de un solo uso (OTP vía SMS, correo electrónico o WhatsApp). |
| b) Integridad y Veracidad: | Estampar cronológicamente la transacción, calcular el algoritmo criptográfico (Código HASH) del archivo PDF definitivo y asegurar que el documento no sea alterado con posterioridad. |
| c) Confiabilidad: | Consolidar y generar de forma automatizada el Certificado de Evidencias (Audit Trail) que servirá como soporte inmutable de no repudio para las partes del contrato. |
| d) Custodia: | Almacenar de forma segura en la nube los documentos firmados y sus pistas de auditoría durante los términos de retención estipulados. |
4. Destinatarios de los datos
- Proveedores de servicios tecnológicos (cloud, email, SMS, pasarelas de pago).
- Participantes en el proceso de firma (firmantes designados).
- Autoridades competentes (solo ante orden judicial o administrativa).
- Transferencias internacionales con salvaguardas adecuadas.
5. Plazos de conservación
| Categoría | Plazo |
|---|---|
| Cuenta y perfil de usuario | Duración de la cuenta + 5 años |
| Documentos firmados y logs de auditoría | 10 años |
| Logs de acceso y seguridad | 2 años |
| Registros de facturación | 10 años |
| Solicitudes PQRS | 5 años |
| Datos de firmantes terceros | Vigencia del documento + 10 años |
| Datos de marketing | Hasta revocación del consentimiento |
| Post-cancelación (exportación) | 30 días + obligaciones legales |
6. Derechos de los titulares (ARCO+)
- Acceso (A): Conocer qué datos tenemos sobre ti.
- Rectificación (R): Corregir datos inexactos o incompletos.
- Cancelación / Supresión (C): Solicitar la eliminación de tus datos.
- Oposición (O): Oponerte al tratamiento por motivos legítimos.
- Portabilidad: Recibir tus datos en formato estructurado y legible.
- Limitación del tratamiento: Solicitar la suspensión del tratamiento.
- Revocación del consentimiento: Retirar el consentimiento en cualquier momento.
- Presentar quejas ante la SIC: Superintendencia de Industria y Comercio.
7. Cómo ejercer tus derechos
Envía solicitud a soporte@firmante.co con:
- Nombre completo y documento de identidad
- Email registrado en plataforma
- Descripción clara de tu solicitud
- Documentos de soporte si aplica
| Tipo de Solicitud | Tiempo de Respuesta |
|---|---|
| Consultas (Acceso) | 10 días hábiles (prorrogables 5 días) |
| Reclamos (Rectificación, Supresión, Oposición) | 15 días hábiles (prorrogables 8 días) |
| Solicitudes Incompletas | 5 días para subsanar |
8. Medidas de seguridad
- Cifrado TLS 1.3 en tránsito y AES-256 en reposo.
- Hash de contraseñas con Bcrypt.
- Control de acceso basado en roles (RBAC) con mínimo privilegio.
- Logs de auditoría inmutables.
- Autenticación de dos factores (2FA) para administradores.
- Monitoreo de seguridad 24/7.
- Backups cifrados y geo-redundantes.
- Evaluaciones periódicas de vulnerabilidades.
- Plan de respuesta a incidentes.
9. Deslinde de Responsabilidad por Fallas del Responsable (Tenant)
FIRMANTE implementa robustas medidas técnicas (cifrado TLS 1.3, AES-256 e inmutabilidad de logs) para proteger la información en tránsito y en reposo. Sin embargo, la Plataforma no se hace responsable por brechas de seguridad informáticas o violaciones al Habeas Data que se originen por:
- La custodia negligente que el Tenant o el Firmante hagan de sus credenciales de acceso, dispositivos celulares (donde se reciben los OTP) o cuentas de correo electrónico.
- El cargue de datos de contacto (correos o teléfonos) erróneos, desactualizados o falsos por parte del Tenant al configurar el circuito de firma.
- La ausencia de la autorización previa, expresa e informada de Habeas Data que el Tenant estaba obligado a recaudar del titular antes de enviar el documento a la plataforma.
10. Datos de menores
No recopilamos intencionalmente datos de menores de 14 años. Si detectamos dichos datos, los eliminaremos de inmediato. Los padres/tutores pueden contactarnos en soporte@firmante.co.
11. Autoridad de control
Si no quedas satisfecho con nuestra respuesta, puedes acudir a la:
Portal: https://www.sic.gov.co
Dirección: Carrera 13 No. 27-00, Bogotá D.C.
Línea gratuita: 01 8000 910165
12. Actualizaciones de esta política
Notificaremos cambios significativos con al menos 30 días de antelación a través de la plataforma o por email.
¿Tienes dudas sobre este documento? Contáctanos en soporte@firmante.co o escríbenos al WhatsApp.