Saltar al contenido
DeCA Platform

El pack de due diligence, publicado antes de que lo pidas

SLA con cifras y créditos de servicio, DPA descargable, lista de subencargados, ubicación de datos y estado del servicio en directo. Todo lo que tu departamento de compras, tu asesoría o tu DPO necesita revisar — sin formularios ni NDA.

Todo el expediente, en un vistazo

Los seis documentos y recursos que una due diligence B2B suele tardar semanas en conseguir de un proveedor. Aquí están publicados.

SLA con créditos de servicio

Objetivos de disponibilidad con definición de medida, exclusiones y compensaciones automáticas. Vigente desde el lanzamiento.

Leer el SLA

DPA (art. 28 RGPD)

Acuerdo de encargo de tratamiento completo y descargable: objeto, medidas, subencargados, brechas y auditoría.

Ver el DPA

Subencargados

Quién trata datos por cuenta nuestra, qué datos, dónde y con qué garantías. Aviso previo de 30 días ante cambios.

Ver la lista

Ubicación de datos: UE

Base de datos y almacenamiento primario de PDF con residencia en la Unión Europea.

Ver detalle

Estado del servicio

Disponibilidad de la inspección, la API y el panel medida y publicada en tiempo real, con histórico de incidentes.

Ver status page

Seguridad técnica

Cifrado, aislamiento RLS y la cadena de hashes verificable explicada con detalle. No confíes: verifica.

Ver la página

Acuerdo de nivel de servicio (SLA) — v1

Ningún proveedor de documentos de transporte en España publica su SLA. Este es el nuestro, con definiciones y compensaciones. Sin letra pequeña escondida: la letra pequeña está aquí, publicada.

Vigente desde el lanzamiento

ServicioObjetivo mensualQué mide
Descarga pública de inspección (URL/QR)99,9 %Disponibilidad mensual del servicio que responde a la URL pública de cada documento.
API pública y panel web99,5 %Disponibilidad mensual de la API v1 y de la aplicación web self-service.

Definición y medida

La disponibilidad mensual se calcula como el porcentaje de minutos del mes natural en que el servicio responde correctamente, medido por monitorización externa independiente desde varios puntos geográficos. Los resultados se publican en lapágina de estado, incidente a incidente.

No cuentan como indisponibilidad: el mantenimiento programado anunciado con al menos 48 horas en la página de estado (siempre fuera de horario laboral español y nunca sobre la descarga de inspección), los fallos de la red o los sistemas del cliente, el uso contrario a los términos del servicioy las causas de fuerza mayor.

Créditos de servicio

Si un mes cerramos por debajo del objetivo, compensamos con crédito de servicio sobre el gasto de ese mes (cuota del plan o, en bonos prepagados, su equivalente en créditos de documentos):

  • Por debajo del objetivo y ≥ 99,0 %: 10 % de crédito de servicio.
  • Por debajo de 99,0 % y ≥ 95,0 %: 25 % de crédito de servicio.
  • Por debajo de 95,0 %: 50 % de crédito de servicio.

Solicítalo por email en los 30 días siguientes al cierre del mes indicando las fechas afectadas; lo verificamos contra nuestra monitorización y lo aplicamos en la siguiente factura o en tu saldo de créditos. El crédito de servicio es la compensación exclusiva por incumplimiento del SLA.

Subencargados de tratamiento

Los proveedores que tratan datos por cuenta nuestra. Esta lista es la misma que figura en el Anexo del DPA: no hay dos versiones.

SubencargadoServicioDatos tratadosUbicaciónGarantías
Cloudflare, Inc.Red de entrega (edge/CDN), servicio de descarga pública de inspección y almacenamiento de los PDF (R2)PDF de los documentos de transporte y registros técnicos de accesoRed global; almacenamiento de datos configurado en la UEDPA con Cláusulas Contractuales Tipo (SCC) y certificación EU-U.S. Data Privacy Framework
Supabase, Inc. (sobre AWS)Base de datos y autenticación de usuarios del panelDatos de cuenta, maestros (clientes, vehículos, conductores) y datos de los documentosRegión UE (centro de datos de AWS en la Unión Europea)DPA con SCC; los datos permanecen en la región UE seleccionada
Stripe, Inc.Pasarela de pago y facturaciónDatos de facturación y pago (los datos de tarjeta los trata solo Stripe)UE / EE. UU.DPA con SCC y certificación EU-U.S. Data Privacy Framework
Resend, Inc.Envío de email transaccional (enlaces al conductor, avisos, notificaciones)Direcciones de email de destinatarios y contenido de las notificacionesEE. UU. / UEDPA con SCC

Cualquier alta o sustitución se publica aquí y se comunica por email a los administradores de cuenta con al menos 30 días de antelación. El detalle contractual (garantías, derecho de oposición) está en elDPA.

Ubicación de los datos: Unión Europea

Dónde viven tus datos, sin ambigüedad.

Base de datos

Alojada en un centro de datos de la UE. Contiene los datos de cuenta, los maestros y el contenido de los documentos, con aislamiento por cuenta aplicado en el propio motor (RLS).

PDF y evidencias

Almacenamiento de objetos con residencia de datos configurada en la UE y distribución mediante red de entrega global para que la inspección descargue rápido desde cualquier carretera.

Transferencias

Cuando un subencargado tiene matriz fuera de la UE, el tratamiento se ampara en Cláusulas Contractuales Tipo y, cuando aplica, en el EU-U.S. Data Privacy Framework. Caso por caso, en la tabla de subencargados.

Contacto de seguridad y compromisos

A quién escribir y qué puedes exigirnos.

Notificación de brechas

Si una violación de seguridad afecta a datos personales que tratamos por tu cuenta, te la notificamos sin dilación indebida y con la información del art. 33.3 RGPD para que puedas cumplir tus propios plazos ante la AEPD. Está comprometido por contrato en el DPA.

Transparencia de incidentes

Los incidentes de disponibilidad se publican en lapágina de estado con cronología y análisis posterior. Sin maquillar el histórico.

Cambios en estos documentos

El SLA, el DPA y esta página están versionados. Los cambios sustanciales se anuncian por email a los administradores de cuenta con antelación razonable y nunca reducen garantías a mitad de periodo contratado.

Preguntas frecuentes de due diligence

¿Tenéis certificación ISO 27001?
Todavía no, y no vamos a fingir lo contrario con un sello decorativo. Nuestra respuesta mientras tanto es transparencia radical: SLA público con créditos de servicio, DPA publicado, lista de subencargados, página de seguridad técnica con evidencias verificables y status page abierta. La certificación formal está en nuestro plan; la transparencia ya está aquí.
¿Dónde se almacenan mis datos?
La base de datos se aloja en un centro de datos de la Unión Europea y el almacenamiento de los PDF está configurado con residencia de datos en la UE. Los subencargados con matriz fuera de la UE operan bajo Cláusulas Contractuales Tipo y, cuando aplica, la certificación EU-U.S. Data Privacy Framework. La lista completa está publicada en esta misma página.
¿Firmáis vuestro DPA? ¿Puedo usar el mío?
Nuestro DPA está publicado y forma parte de la contratación del servicio; si tu departamento legal necesita un ejemplar firmado, te lo enviamos contrafirmado. Si tu organización exige su propio modelo de encargo de tratamiento, escríbenos y lo revisamos — somos un proveedor pequeño y respondemos rápido.
¿Cómo me entero si cambiáis de subencargado?
Publicamos cualquier cambio en la lista de subencargados con al menos 30 días de antelación y avisamos por email a los administradores de cuenta, tal y como recoge el DPA. Si te opones por motivos razonables de protección de datos, puedes resolver el contrato sin penalización antes de que el cambio entre en vigor.
¿Cómo reporto una vulnerabilidad de seguridad?
Escríbenos a security@deca.example. Acusamos recibo en 48 horas laborables y no emprendemos acciones legales contra la investigación de buena fe. Los detalles están en la página de seguridad y en /.well-known/security.txt.

Quedan89díaspara el 5 de octubre de 2026

La due diligence ya está hecha. Solo falta tu cuenta.

Empieza con 10 documentos gratis y guarda esta página para tu expediente de cumplimiento.