Centro de confianza
Seguridad, Privacidad y
Cumplimiento en EvaluationsHub.
Todo lo que un líder de adquisiciones, un equipo legal o un CISO necesita evaluar EvaluationsHub Como proveedor de confianza, todo en un solo lugar.
Certificado ISO 27001
Cumple con el RGPD — Residencia de datos en la UE
AWS EU París: cifrado en reposo y en tránsito.
Todos los sistemas operativos. Ver página de estado →
Certificaciones y Cumplimiento
En qué situación nos encontramos hoy.
Gestionamos las certificaciones que su equipo legal y de adquisiciones requiere, no como un simple trámite, sino como un requisito básico.
Certificados
ISO 27001,
Sistema de gestión de seguridad de la información certificado. Cubre la totalidad. EvaluationsHub Plataforma que incluye infraestructura, procesamiento de datos y controles de acceso.
Activo
Compatible con GDPR
Cumplimiento total del RGPD. Procesamiento de datos con sede en la UE, sin transferencia transfronteriza fuera del EEE. Acuerdo de protección de datos disponible para su firma en línea.
Activo
Listo para CSRD/ESG
Diseñado para respaldar la debida diligencia en la cadena de suministro de CSRD. El módulo ESG realiza un seguimiento de los indicadores de Alcance 3, las certificaciones y las pruebas de cumplimiento por proveedor.
Activo
Autenticación de dos factores en todas las cuentas
La autenticación de dos factores se aplica por defecto a todos los usuarios y cuentas de administrador. Es obligatoria para cada inicio de sesión; no hay opción para desactivarla.
Activo
Miembro Inception de NVIDIA
Miembro del programa acelerador de IA NVIDIA Inception, con acceso a estándares de infraestructura de IA de nivel empresarial y supervisión técnica.
Controles técnicos de seguridad
¿Qué protege tus datos?
Los controles de seguridad se aplican a nivel de infraestructura, aplicación y organización, y funcionan de forma continua.
Infraestructura de AWS EU París
Todos los datos están alojados en AWS, en la región de París (UE). Ningún dato sale del Espacio Económico Europeo. Se realizan copias de seguridad georredundantes diariamente.
Cifrado en reposo y en tránsito
Todos los datos en reposo están cifrados con AES-256. Todos los datos en tránsito utilizan TLS 1.2+ con HTTPS aplicado en todos los puntos finales y llamadas a la API.
AWS WAF — Cortafuegos de aplicaciones web
Todos los puntos finales orientados al usuario están protegidos por AWS WAF, que bloquea los ataques de inyección, los vectores DDoS y el tráfico malicioso antes de que lleguen a la capa de aplicación.
Control de acceso basado en roles
Control de acceso basado en roles (RBAC) granular en todos los módulos. Los usuarios solo ven los datos que su rol les permite. Permisos independientes para gerentes de compras, evaluadores, usuarios del portal de proveedores y administradores.
Registro de auditoría completo
Cada acción del usuario, cambio de evaluación, actualización de CAPA y acceso a documentos se registra con marca de tiempo, identidad del usuario e IP. Los registros son inmutables y exportables.
Copias de seguridad diarias y recuperación a un punto en el tiempo
Copias de seguridad diarias automatizadas con almacenamiento georredundante. Recuperación a un punto en el tiempo disponible. El RTO y el RPO se definen en los acuerdos de nivel de servicio (SLA) con los clientes empresariales.
Pruebas de penetración
Se realizan pruebas de penetración periódicas por parte de terceros contra la aplicación y la infraestructura. Los resultados están disponibles bajo un acuerdo de confidencialidad para los clientes empresariales que lo soliciten.
Política de divulgación responsable
Mantenemos una política de divulgación abierta y responsable. Se reconoce la labor de los investigadores de seguridad verificados que informan sobre vulnerabilidades válidas durante todo el proceso de corrección.
Aislamiento de datos multiinquilino
Los datos de cada cliente están aislados lógicamente en un espacio de nombres dedicado para cada inquilino. El acceso a datos entre inquilinos está impedido arquitectónicamente tanto en la capa de base de datos como en la de aplicación.
Tus datos permanecen en Europa. Siempre.
Todos los datos de los clientes se procesan y almacenan en AWS, en la región de París (UE). No transferimos, replicamos ni duplicamos datos fuera del EEE, ni para procesamiento de IA, ni para análisis, ni para herramientas de soporte.
Residencia de datos: UE París — garantizada contractualmente
No se permite la transferencia a terceros países sin consentimiento explícito por escrito.
Tus datos nunca se utilizan para entrenar modelos de IA.
Eliminación de datos al finalizar el contrato: en un plazo de 30 días, con certificado.
Acuerdo de procesamiento de datos (DPA) del artículo 28 del RGPD disponible: firma online o versión negociada para empresas.
Portabilidad de datos: exportación completa disponible en cualquier momento en formatos estándar.
Solo para la UE
Residencia de datos: AWS París. Garantizada contractualmente.
AES-256
Estándar de cifrado para todos los datos en reposo.
Diarios
Copias de seguridad georredundantes automatizadas con recuperación a un punto específico en el tiempo.
30 días
Plazo máximo para la eliminación de datos tras la finalización del contrato.
Documentos Legales
Todo lo que su equipo legal necesita.
Los documentos estándar están disponibles a continuación. Los clientes empresariales pueden solicitar versiones negociadas del acuerdo de protección de datos (DPA) y del acuerdo de confidencialidad (NDA).
Acuerdo de procesamiento de datos (DPA)
Acuerdo de procesamiento de datos (DPA) conforme al artículo 28 del RGPD: léalo y fírmelo directamente en línea a través de Zoho Sign. Versión negociada disponible para cuentas empresariales.
Lea y firme el Acuerdo de Protección de Datos (DPA).
Acuerdo de no divulgación (NDA)
Acuerdo de confidencialidad mutuo: fírmelo directamente en línea. Disponible para evaluaciones de clientes potenciales y proyectos piloto empresariales.
Firma el acuerdo de confidencialidad en línea
Política de privacidad
Política de privacidad completa que abarca la recopilación, el procesamiento y la conservación de datos, así como sus derechos en virtud del RGPD.
Ver Política de Privacidad
Términos de Servicio
Condiciones de suscripción estándar que rigen el uso de la plataforma, los acuerdos de nivel de servicio (SLA) y las obligaciones de soporte.
Mostrar Terminos
Resumen de seguridad
Resumen de seguridad de una página para una rápida cualificación de proveedores: controles, certificaciones y resumen de la arquitectura.
Documento de solicitud
Cuestionario de seguridad
Cuestionario prellenado al estilo CAIQ/VSAQ para los procesos de calificación de compras empresariales.
Cuestionario de solicitud
Subprocesadores
¿Quién procesa sus datos en nuestro nombre?
Mantenemos una lista completa y actualizada de todos los subprocesadores con acceso a los datos de los clientes.
Subprocesador Propósito Ubicación de datos
Servicios Web de Amazon (AWS)Infraestructura en la nube, computación, almacenamiento, base de datos🇫🇷 UE (París)
Corporación ZohoCRM, correo electrónico, contratos, mesa de ayuda, autenticación🇳🇱 UE (Países Bajos)
StripeProcesamiento de pagos (solo facturación, sin datos de proveedores)🇮🇪 UE (Irlanda)
Antrópico (solo IA Eva)Inferencia de IA para Eva AI: procesada con minimización estricta de datos.🇺🇸 EE. UU. — Acuerdo de procesamiento diferido contractual vigente
hacer.comAutomatización de la integración (opcional, configurable por el cliente)🇩🇪 UE (Fráncfort)
¿Tiene alguna pregunta para su equipo legal o de seguridad?
Respondemos a los cuestionarios de seguridad, las solicitudes de autorización de protección de datos y las consultas sobre cumplimiento normativo en un plazo de 48 horas.
DPA · NDA · Resumen de seguridad · Certificado ISO 27001 · Resultados de la prueba de penetración (Empresa, bajo NDA)