Ver Planes• 30 días de garantía
Privacidad · Enterprise

Aviso de Privacidad

Cómo AllSign recopila, utiliza, almacena y protege tus datos personales conforme a la legislación internacional de protección de datos.

Última actualización: 2 de abril de 2026
v2.0Vigente desde: 28 de febrero de 2026GDPR (2016) · CCPA (2018) · LFPDPPP (enforcement: SABG) · LGPD (2018)
1

Responsable del tratamiento

Razón Social: Astro Digital S.A. de C.V.
RFC: ADI2308166D2
Domicilio: Cairo 110, Col. Futuro Nogalar Sector 1, C.P. 66484, San Nicolás De Los Garza, Nuevo León, México
Sitio web: allsign.io
Oficial de Protección de Datos (DPO): servicios@allsign.io
Contacto legal: servicios@allsign.io
WhatsApp: +52 81 8209 2776

AllSign es una plataforma de firma electrónica, certificación digital y gestión documental operada por Astro Digital S.A. de C.V. ("el Proveedor", "nosotros" o "AllSign"). El presente Aviso de Privacidad tiene por objeto informarle cómo tratamos los datos personales a los que tenemos acceso por cualquier medio cuando usted utiliza nuestra Plataforma y/o Servicios.

2

Alcance

Este Aviso de Privacidad aplica a:

  • Visitantes del sitio web allsign.io y sus subdominios.
  • Clientes que contratan Planes y Servicios de AllSign.
  • Usuarios que acceden a la Plataforma, incluyendo firmantes invitados.
  • Usuarios de nuestra API e integraciones.
  • Empleados y representantes de empresas que interactúan con AllSign.

Roles en el tratamiento de datos:

  • AllSign como Responsable (Controller): Cuando recopilamos datos para operar la Plataforma, gestionar cuentas de clientes, facturar y mejorar nuestros Servicios.
  • AllSign como Encargado (Processor): Cuando procesamos datos personales de terceros en nombre y por instrucción de un Cliente (p. ej., datos de firmantes). En este caso, el Cliente actúa como Responsable y debe cumplir con sus propias obligaciones legales, incluyendo obtener el consentimiento de los titulares.
3

Datos personales que recopilamos

Recopilamos únicamente los datos necesarios, adecuados y relevantes para las finalidades descritas en este aviso:

(i) Datos de identificación y contacto

Nombre y apellidos · Correo electrónico · Teléfono fijo y/o móvil · CURP (cuando aplique) · Firma autógrafa en medios electrónicos (incluyendo información del trazo) · Firma electrónica avanzada y datos del certificado digital (.cer) emitido por la Autoridad Certificadora correspondiente.

(ii) Datos para facturación

Denominación o razón social · Domicilio fiscal (código postal, estado, país, ciudad, colonia, calle, número) · RFC o identificador fiscal equivalente.

(iii) Datos de pago

Números de cuenta, números de tarjeta (tokenizados — nunca almacenamos números completos), CLABE interbancaria, institución bancaria. Los pagos son procesados por proveedores certificados PCI-DSS.

(iv) Datos de verificación de identidad (KYC)

Datos de documentos de identidad verificados mediante consultas a registros públicos · Fotografía frente y reverso del documento de identidad · Imagen y fotografía facial del titular (cuando aplique).

(v) Datos biométricos — Categoría especial (Art. 9 GDPR / Art. 9 LFPDPPP / BIPA §15)

Cuando el Cliente activa la verificación biométrica de identidad (Selfie + Face Match), AllSign recopila y procesa los siguientes identificadores biométricos del firmante: fotografía facial (selfie) capturada en el momento de la verificación y representación matemática de geometría facial (vector de características generado para comparación). Estos datos se utilizan exclusivamente para verificar que el firmante es quien dice ser, comparando la selfie contra la fotografía del documento de identidad presentado.

Consentimiento expreso requerido: el tratamiento de datos biométricos se realiza únicamente con consentimiento explícito del titular, otorgado mediante confirmación afirmativa en la pantalla de verificación antes de capturar cualquier imagen. El titular puede revocar su consentimiento en cualquier momento sin afectar la validez de verificaciones ya completadas.

Retención de datos biométricos: las fotografías y vectores biométricos se eliminan automáticamente a los 30 días naturales desde la fecha de verificación, salvo que la ley exija un período de conservación mayor. No compartimos datos biométricos con terceros salvo encargados del tratamiento sujetos a DPA. Nunca vendemos ni comercializamos datos biométricos.

Cumplimiento normativo: LFPDPPP Art. 9 (México) — consentimiento expreso por escrito para datos sensibles · GDPR Art. 9(2)(a) (UE/EEE) — consentimiento explícito · BIPA §15(b) (Illinois, EE.UU.) — política escrita y autorización firmada previo a la recopilación · LGPD Art. 11(I) (Brasil) — consentimiento específico y destacado.

(vi) Datos de verificación de antecedentes (Background Check)

Datos de documentos de identidad · RFC · CURP · Fotografía del documento de identidad. Solo se tratan cuando el Cliente contrata expresamente este servicio.

(vii) Datos técnicos y de uso

Dirección IP · Tipo de navegador y sistema operativo · Identificadores de dispositivo · Páginas visitadas y acciones realizadas · Ubicación aproximada derivada de IP · Marcas de tiempo · Cookies y tecnologías similares (ver sección 9).

(viii) Documentos

Los documentos cargados y firmados en la Plataforma se procesan exclusivamente para ejecutar el método de firma seleccionado por el Cliente y/o Usuario. AllSign no accede al contenido de los documentos salvo por instrucción expresa del Cliente o por requerimiento legal.

Datos sensibles: AllSign no solicita ni recopila datos sensibles (origen racial, estado de salud, orientación sexual, creencias religiosas, afiliación política) salvo los datos biométricos descritos en la sección (v), los cuales requieren consentimiento expreso del titular y se tratan con las medidas de seguridad reforzadas que exige la ley. El titular puede negar el consentimiento biométrico; en ese caso no podrá completar el proceso de verificación de identidad que lo requiere.
5

Finalidades del tratamiento

Finalidades primarias (necesarias para el servicio):

  • Crear y gestionar cuentas de usuario en la Plataforma.
  • Verificar la identidad del Cliente y/o Usuario.
  • Ejecutar métodos de firma electrónica (SES, AES, QES).
  • Verificar la vigencia y estado de certificados digitales.
  • Emitir constancias NOM-151 de conservación de mensajes de datos.
  • Verificar datos de documentos de identidad (KYC) y antecedentes (Background Check).
  • Procesar pagos y emitir facturas.
  • Generar pistas de auditoría (audit trail) de los procesos de firma.
  • Brindar soporte técnico y atención al cliente.
  • Cumplir con obligaciones legales, regulatorias y contractuales.

Finalidades secundarias (no necesarias, requieren consentimiento):

  • Enviar comunicaciones de marketing, promociones y novedades.
  • Realizar análisis estadísticos y de uso para mejorar la Plataforma.
  • Personalizar la experiencia del usuario.
  • Realizar encuestas de satisfacción.
Opt-out: Si no desea que sus datos se utilicen para finalidades secundarias, puede solicitarlo en cualquier momento enviando un correo a servicios@allsign.io o utilizando los controles de preferencias en su perfil dentro de la Plataforma. La negativa no afectará la prestación de los Servicios contratados.
6

Transferencias internacionales de datos

AllSign opera globalmente y puede transferir datos personales a jurisdicciones fuera del país de residencia del titular. Cuando lo hacemos, implementamos las siguientes salvaguardas:

Unión Europea / EEE

Para transferencias fuera del EEE, utilizamos las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), complementadas con medidas de seguridad adicionales cuando sea necesario conforme al marco Schrems II.

México

Las transferencias se realizan conforme a la LFPDPPP y su Reglamento, asegurando que el receptor cumpla con obligaciones de protección de datos equivalentes. No se requiere consentimiento del titular cuando las remisiones se realicen a encargados del tratamiento conforme al Art. 52 del Reglamento de la LFPDPPP.

Estados Unidos

Se implementan acuerdos de procesamiento de datos (DPA) que cumplen con los requisitos de CCPA/CPRA. Para datos provenientes de la UE, se recurre al EU-U.S. Data Privacy Framework cuando aplique.

Otros países

Para Brasil (LGPD), Canadá (PIPEDA) y demás jurisdicciones, se aplican las salvaguardas equivalentes requeridas por cada legislación local.

Ubicación de los centros de datos: Los datos se almacenan principalmente en centros de datos ubicados en Estados Unidos y Europa. AWS cuenta con certificaciones SOC 2 Type II e ISO/IEC 27001. Hetzner cuenta con certificación ISO/IEC 27001. Las prácticas de seguridad de ambos proveedores están alineadas con estándares internacionales.

No transferimos datos personales a terceros sin su consentimiento, excepto cuando sea necesario para prestar los Servicios contratados o cuando la ley lo permita. Para una lista actualizada de sub-encargados, consulte la sección 10.

7

Seguridad, almacenamiento y retención

7.1 Medidas de seguridad técnicas

  • Cifrado de datos en tránsito: TLS 1.3
  • Cifrado de datos en reposo: AES-256
  • Bases de datos cifradas con claves gestionadas por KMS
  • Autenticación multifactor (MFA) disponible para todas las cuentas
  • Certificados SSL/TLS en todos los servicios expuestos
  • Firewalls de aplicación web (WAF) y sistemas de detección de intrusiones
  • Escaneo regular de vulnerabilidades y pruebas de penetración
  • Registros de acceso y auditoría de todas las operaciones

7.2 Medidas de seguridad organizativas

  • Acuerdos de confidencialidad con todos los empleados y proveedores
  • Principio de mínimo privilegio en accesos internos
  • Capacitación periódica del personal en protección de datos y seguridad
  • Procedimientos documentados de gestión de incidentes
  • Prácticas alineadas con ISO 27001 y SOC 2 Type II

7.3 Períodos de retención

CategoríaPeríodo de retención
Datos de cuentaMientras la cuenta esté activa + 30 días tras terminación
Documentos firmados y pistas de auditoría10 años conforme al Código de Comercio mexicano (Art. 49)
Datos de facturación5 años conforme a la legislación fiscal aplicable
Datos de KYC / verificación de identidad (documentos, capturas)5 años desde la última verificación
Datos biométricos (selfie + vector de geometría facial)30 días naturales desde la fecha de verificación — eliminación automática
Logs de acceso y seguridad12 meses
Datos de marketingHasta revocación del consentimiento

7.4 Notificación de violaciones de seguridad

En caso de una violación de seguridad que afecte significativamente los derechos de los titulares, AllSign se compromete a:

  • UE/GDPR: Notificar a la autoridad supervisora dentro de las 72 horas posteriores al conocimiento del incidente (Art. 33 GDPR) y a los titulares afectados cuando exista alto riesgo.
  • México: Notificar al titular a la brevedad posible sobre los datos comprometidos, conforme al Art. 20 del Reglamento de la LFPDPPP y los Lineamientos de Notificación de Vulneraciones del INAI/SABG.
  • California: Notificar conforme a las disposiciones de la CCPA y el Codigo Civil de California §1798.82.
  • Otros: Cumplir con los plazos y requisitos de notificación de la jurisdicción aplicable.
8

Derechos de los titulares

Dependiendo de su jurisdicción, usted tiene los siguientes derechos sobre sus datos personales:

Derecho🇲🇽 México
LFPDPPP		🇪🇺 UE
GDPR		🇺🇸 California
CCPA/CPRA		🇧🇷 Brasil
LGPD
Acceso / Conocer
Rectificación / Corrección
Cancelación / Eliminación
Oposición / Restricción
Portabilidad de datos
Opt-out de venta / compartición
No discriminación
Decisiones automatizadas
Revocación del consentimiento

Cómo ejercer sus derechos:

Envíe su solicitud a servicios@allsign.io incluyendo:

  • Nombre completo y correo electrónico registrado.
  • Descripción del derecho que desea ejercer y los datos personales involucrados.
  • Documento de identificación para verificar su identidad.

Plazos de respuesta:

  • México (LFPDPPP): 20 días hábiles, prorrogables por 20 días adicionales.
  • UE (GDPR): 1 mes, prorrogable por 2 meses adicionales en casos complejos.
  • California (CCPA): 45 días, prorrogables por 45 días adicionales.
  • Brasil (LGPD): 15 días.

Autoridades competentes:

  • México: Secretaría de Anticorrupción y Buen Gobierno — SABG (gob.mx/buengobierno) — sucesora del INAI por decreto DOF de marzo 2025
  • UE: La autoridad supervisora de protección de datos de su Estado miembro.
  • California: California Privacy Protection Agency (CPPA).
  • Brasil: ANPD (gov.br/anpd)
9

Cookies y tecnologías de rastreo

AllSign utiliza cookies y tecnologías similares clasificadas en las siguientes categorías:

CategoríaFinalidadConsentimiento
EsencialesFuncionamiento básico, autenticación, seguridadNo requerido
AnalíticasAnálisis de uso, métricas de rendimiento, mejora continuaRequerido
MarketingPublicidad personalizada, seguimiento de conversionesRequerido
FuncionalesPreferencias del usuario, idioma, tema visualRequerido

Puede gestionar sus preferencias de cookies en cualquier momento a través del banner de cookies de la Plataforma o mediante la configuración de su navegador. La desactivación de cookies no esenciales no afecta la funcionalidad principal de los Servicios.

Para navegadores que soportan la señal Global Privacy Control (GPC), AllSign respeta dicha señal como una solicitud válida de opt-out conforme a la CCPA/CPRA.

10

Procesadores y sub-encargados

AllSign utiliza proveedores de servicio (sub-encargados) cuidadosamente seleccionados para prestar los Servicios. Todos los sub-encargados están sujetos a acuerdos de procesamiento de datos (DPA) y medidas de seguridad equivalentes a las nuestras. Los cambios en sub-encargados se notifican a los Clientes con al menos 30 días de anticipación; el Cliente puede formular objeción fundada durante ese plazo, conforme al Art. 50 del Reglamento de la LFPDPPP.

Categorías de sub-encargados:

CategoríaFunciónUbicación
Infraestructura cloudHosting, almacenamiento, CDNEE.UU. / Europa
Procesamiento de pagosCobros, facturaciónEE.UU.
Certificación digitalPSC / TSP para NOM-151 y sellos de tiempo — Seguridata Privada, S.A. de C.V. (acreditado SE, DOF 14/12/2011)México
Verificación de identidad (KYC)Validación de documentos y biometríaMéxico / EE.UU.
ComunicacionesEmail transaccional, SMS, WhatsAppEE.UU. / Europa
AnalíticaAnálisis de uso (privacy-first)Europa
Soporte al clienteChat, tickets, base de conocimientosEE.UU. / Europa

Para obtener una lista detallada y actualizada de sub-encargados con nombres específicos, escriba a servicios@allsign.io. AllSign notificará a los Clientes con al menos 30 días de anticipación sobre cambios en sub-encargados que afecten el tratamiento de datos personales.

11

Privacidad de menores

Los Servicios de AllSign están dirigidos exclusivamente a personas mayores de 18 años (o la mayoría de edad aplicable en su jurisdicción). No recopilamos intencionalmente datos personales de menores de edad.

Si tiene conocimiento de que un menor ha proporcionado datos personales a través de la Plataforma, contáctenos inmediatamente a servicios@allsign.io para que procedamos a su eliminación.

12

Modificaciones y contacto

El tratamiento de datos personales en el contexto de los Servicios contratados se rige adicionalmente por los Términos y Condiciones de AllSign, en particular la sección 15 relativa a las obligaciones en materia de protección de datos.

AllSign se reserva el derecho de modificar este Aviso de Privacidad en cualquier momento para atender novedades legislativas, cambios en nuestras prácticas o nuevos requerimientos. Las modificaciones se notificarán con al menos 30 días naturales de anticipación mediante:

  • Publicación en allsign.io/aviso_privacidad con fecha de vigencia.
  • Correo electrónico al último correo registrado.
  • Aviso dentro de la Plataforma.

Versión

2.1 · Vigente desde: 28 de febrero de 2026 · Última actualización: 23 de abril de 2026

Versión anterior: julio de 2023

Oficinas administrativas

Astro Digital S.A. de C.V.
Cairo 110, Col. Futuro Nogalar Sector 1
C.P. 66484, San Nicolás De Los Garza, N.L., México

¿Tienes preguntas sobre tu privacidad o el tratamiento de tus datos?

Nuestro Oficial de Protección de Datos (DPO) está disponible para atenderte

servicios@allsign.io+52 81 8209 2776