Términos y Condiciones

Razón Social: Astro Digital S.A. de C.V. RFC: ADI2308166D2 Domicilio: Cairo 110, Col. Futuro Nogalar Sector 1, C.P. 66484, San Nicolás De Los Garza, Nuevo León, México Sitio web: https://allsign.io Correo electrónico: servicios@allsign.io Teléfono / WhatsApp: +52 81 8209 2776 AllSign es una plataforma de firma electrónica, certificación digital y gestión documental operada por Astro Digital S.A. de C.V. ("el Proveedor", "nosotros" o "AllSign").

Al acceder a la Plataforma, registrarse, suscribir un Plan o utilizar cualquier Servicio de AllSign, usted acepta vincularse sin reserva a los presentes Términos y Condiciones ("T&C"), a nuestra Política de Privacidad (disponible en allsign.io/aviso_privacidad) y, en su caso, al DPA aplicable, ya sea en nombre propio o en representación de la entidad que legalmente represente. Si no está de acuerdo con el contenido de estos T&C, no debe registrarse ni utilizar la Plataforma y debe abstenerse de usar cualquier Servicio. Al aceptar estos T&C, el Cliente y/o Usuario declara bajo protesta de decir verdad que: • Es mayor de 18 años (o la mayoría de edad aplicable en su jurisdicción). • Se encuentra en pleno ejercicio de sus derechos civiles. • Tiene capacidad legal y facultades suficientes para contraer obligaciones. • Actuará conforme a las leyes y regulaciones aplicables en su jurisdicción.

AllSign ofrece, directamente o a través de integraciones con proveedores autorizados, los siguientes Servicios: a) Firma electrónica (SES) — Firma de documentos con trazos, imágenes o validaciones electrónicas. b) Firma electrónica avanzada (AES/FEA) — Firma con certificados digitales emitidos por Autoridades Certificadoras reconocidas (e.firma SAT, por ejemplo). c) Firma electrónica cualificada (QES) — Firma respaldada por certificados cualificados de QTSPs conforme a eIDAS (disponible para regiones aplicables). d) Verificación de identidad (KYC) — Validación de documentos de identidad mediante consultas a registros públicos y verificación biométrica. e) Certificación digital NOM-151 — Emisión de constancias de conservación de mensaje de datos conforme a la NOM-151-SCFI-2016. f) Gestión documental — Creación, envío, seguimiento y almacenamiento de documentos electrónicos. g) API e integraciones — Acceso programático a los Servicios para integración con sistemas de terceros. h) Verificación de antecedentes (Background Check) — Consulta de antecedentes en bases de datos públicas y oficiales. Los Servicios pueden variar según el Plan contratado. AllSign se reserva el derecho de modificar, agregar o discontinuar funcionalidades con previo aviso de 30 días naturales.

a) Naturaleza del servicio. Las funcionalidades de verificación de identidad de AllSign (escaneo de documentos, extracción OCR/MRZ, comparación biométrica facial y detección de ataques de presentación) utilizan modelos de inteligencia artificial y aprendizaje automático para ASISTIR al Cliente en la validación de identidad de firmantes. b) Herramienta suplementaria. La Verificación de Identidad es una HERRAMIENTA TECNOLÓGICA SUPLEMENTARIA que opera sobre la base de "mejor esfuerzo" (best-effort). NO constituye: • Un servicio de certificación notarial ni de fe pública. • Una opinión legal sobre la identidad de una persona. • Un sustituto de la verificación manual, presencial o notarial. • Una garantía absoluta de autenticidad de documentos o identidad. Cada capa de verificación (escaneo de ID, validación MRZ, comparación biométrica, detección anti-spoofing) agrega evidencia digital al proceso de firma. Ninguna capa, ni la combinación de todas ellas, reemplaza una verificación presencial cuando la regulación aplicable lo exija. c) Precisión. Si bien AllSign emplea algoritmos de última generación y mejores prácticas de la industria, la naturaleza probabilística de la inteligencia artificial implica que los resultados pueden contener imprecisiones. AllSign NO GARANTIZA una tasa de precisión específica ni la detección del 100% de documentos fraudulentos o suplantaciones de identidad. d) Responsabilidad del Cliente. El Cliente es el ÚNICO RESPONSABLE de: • Evaluar si la verificación por IA es suficiente para su caso de uso, jurisdicción y nivel de riesgo. • Implementar controles adicionales (incluyendo verificación presencial o ante notario) cuando la naturaleza del documento, la transacción o la regulación aplicable lo requiera. • Cumplir con las regulaciones KYC/AML/PLD aplicables en su jurisdicción. • Realizar revisión humana de los resultados de verificación cuando sea apropiado. e) Sin relación notarial. AllSign NO actúa como notario, fedatario público, autoridad certificadora ni prestador de servicios de confianza cualificado (QTSP). El uso de los Servicios de verificación no crea ningún tipo de certificación legal, fe pública ni equivalente de validación notarial. f) Datos biométricos y opt-out. Los datos biométricos (fotografía del rostro, imagen de documento de identidad) utilizados en la verificación de identidad son datos sensibles conforme a la LFPDPPP y al GDPR. AllSign: • Utiliza estos datos EXCLUSIVAMENTE para la verificación de identidad del firmante en la transacción específica. • NO los utiliza para entrenar modelos de inteligencia artificial sin consentimiento expreso y por escrito del titular. • NO los comercializa ni comparte con terceros salvo los sub-encargados estrictamente necesarios para prestar el servicio (ver Aviso de Privacidad, sección 10). El Cliente puede desactivar la verificación biométrica para sus flujos de firma enviando una solicitud a servicios@allsign.io. En tal caso, los firmantes deberán ser verificados por otros medios bajo responsabilidad exclusiva del Cliente. g) Exclusión de responsabilidad. EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY, AllSign no será responsable por: • Decisiones tomadas por el Cliente basándose total o parcialmente en los resultados de verificación automatizada. • Fraudes, suplantaciones o falsificaciones documentales no detectados por los modelos de IA. • Pérdidas directas o indirectas derivadas de confiar exclusivamente en la verificación automatizada sin implementar los controles adicionales que la diligencia debida o la regulación aplicable requieran.

Para la emisión de constancias de conservación de mensaje de datos conforme a la NOM-151-SCFI-2016 y la generación de sellos digitales de tiempo, AllSign opera a través de: SEGURIDATA PRIVADA, S.A. DE C.V. • Acreditación SE — Conservación de mensajes de datos (NOM-151): publicada en el DOF el 14 de diciembre de 2011. • Acreditación SE — Sellos digitales de tiempo (TSA): publicada en el DOF el 14 de diciembre de 2011. • Acreditación SE — Emisión de certificados digitales de Firma Electrónica Avanzada: oficio 316.2011.001044, publicada en el DOF el 20 de junio de 2011. • Directorio oficial verificable: https://www.economia.gob.mx (sección de Prestadores de Servicios de Certificación) Los sellos de tiempo cumplen con el protocolo RFC 3161 (Internet X.509 PKI Time-Stamp Protocol) y la política RFC 3628 (Policy Requirements for Time-Stamping Authorities), y están sincronizados con el Centro Nacional de Metrología (CENAM), la fuente oficial de tiempo en México. La constancia NOM-151 acredita que el documento electrónico existió con determinadas características en un momento específico y no ha sido alterado desde entonces, siendo admisible como elemento probatorio conforme al Art. 210-A del Código Federal de Procedimientos Civiles. AllSign no asume responsabilidad por interrupciones o errores atribuibles directamente a Seguridata como PSC externo. En caso de que el PSC sea sustituido, AllSign notificará a los Clientes con al menos 30 días de anticipación, garantizando que el nuevo PSC cuente con acreditación vigente ante la Secretaría de Economía.

AllSign soporta múltiples tipos de firma electrónica con validez legal en diversas jurisdicciones: ▸ México: Las firmas electrónicas (SES y AES) tienen la misma validez que la firma autógrafa conforme a los artículos 89 a 114 del Código de Comercio y la Ley de Firma Electrónica Avanzada (LFEA). El Código Civil Federal reconoce los contratos celebrados por medios electrónicos conforme a sus Arts. 1803 y 1811. ▸ Unión Europea: Las firmas electrónicas son válidas conforme al Reglamento eIDAS (UE 910/2014). La firma electrónica cualificada (QES) tiene el efecto jurídico equivalente a la firma manuscrita en todos los Estados miembros (Art. 25.2 eIDAS). ▸ Estados Unidos: Las firmas electrónicas son válidas conforme a la Ley ESIGN (Electronic Signatures in Global and National Commerce Act, 15 U.S.C. §7001 et seq.) y la UETA (Uniform Electronic Transactions Act) adoptada por 49 estados. ▸ Latinoamérica: Las firmas electrónicas son reconocidas en la mayoría de jurisdicciones latinoamericanas, incluyendo Brasil (MP 2.200-2/2001), Colombia (Ley 527 de 1999), Chile (Ley 19.799), Argentina (Ley 25.506) y Perú (Ley 27269). ▸ Canadá: Las firmas electrónicas son válidas conforme a la Personal Information Protection and Electronic Documents Act (PIPEDA, Schedule 2) y las leyes provinciales de comercio electrónico basadas en la Uniform Electronic Commerce Act (UECA), incluyendo la Electronic Commerce Act de Ontario (2000) y sus equivalentes provinciales. Para todos los tipos de firma, AllSign genera pistas de auditoría completas que incluyen: marcas de tiempo, direcciones IP, método de autenticación utilizado, geolocalización (cuando esté disponible) y hash criptográfico del documento firmado. Estas pistas de auditoría constituyen evidencia admisible en procedimientos legales conforme a las leyes aplicables. Tabla de referencia — Tipos de firma y valor probatorio: Tipo de firma | Marco legal (MX) | Valor probatorio | Uso recomendado --------------------|-------------------------------------------|-------------------------------------------|------------------------------------------ Firma Simple (SES) | Arts. 89-A a 114 Cód. Comercio | Presunción relativa; puede impugnarse | Contratos internos, aprobaciones, NDA Firma Avanzada (AES)| Cód. Comercio + LFEA | Alto valor probatorio; apreciación judicial libre (Art. 1205 Cód. Com.) | Contratos comerciales, acuerdos de servicio e.firma SAT (FEA) | Art. 17-D CFF + LFEA | Equivalente a firma autógrafa; vinculante ante SAT y tribunales | Documentos fiscales, contratos de alto valor Firma + NOM-151 | Arts. 89-A a 114 Cód. Comercio + NOM-151-SCFI-2016 | FEA + integridad y fecha cierta acreditadas; admisible Art. 210-A CFPC | Documentos con conservación a largo plazo NOTA: AllSign es un proveedor de tecnología. No ofrecemos asesoría legal. Cada Cliente es responsable de determinar el tipo de firma adecuado según los requisitos legales de su jurisdicción y el tipo de documento que firma. Consulte la sección 5.3 para documentos que requieren formalidades adicionales.

Para garantizar la admisibilidad probatoria de los documentos firmados mediante AllSign, la Plataforma genera y preserva una cadena de evidencias completa e inalterable para cada transacción de firma. Esta cadena sustenta el principio de no repudio conforme al Art. 210-A del Código Federal de Procedimientos Civiles (CFPC) y los Arts. 89-A et seq. del Código de Comercio (equivalencia funcional y efectos jurídicos de los mensajes de datos). a) Elementos del Audit Trail. Por cada evento de firma, AllSign registra y conserva los siguientes elementos: • Identidad del firmante: Correo electrónico verificado, número de teléfono (cuando aplique), nombre completo y método de autenticación utilizado (contraseña, OTP, biometría facial o e.firma SAT). • Huella digital del documento: Hash criptográfico SHA-256 del documento en su versión exacta al momento de la firma. Cualquier alteración posterior al documento generará un hash distinto, haciendo detectable cualquier manipulación. • Marca de tiempo calificada: Sello de tiempo emitido conforme al protocolo RFC 3161 por la Autoridad de Sellos Digitales de Tiempo (TSA) de SEGURIDATA PRIVADA, S.A. DE C.V., sincronizado con el Centro Nacional de Metrología (CENAM) y bajo la política RFC 3628. Esto establece con precisión el momento exacto en que el documento existía con ese contenido específico. • Geolocalización: Coordenadas geográficas aproximadas obtenidas del dispositivo del firmante, cuando el titular otorga permiso. • Dirección IP: Dirección IP pública desde la que se realizó cada evento de firma. • Metadatos del dispositivo: Tipo de dispositivo, sistema operativo, navegador y versión utilizados. • Registro de eventos: Secuencia cronológica completa de cada acción: apertura del documento, páginas visualizadas, campos completados, firma aplicada y descarga del comprobante. b) Constancia NOM-151. Para los planes que incluyen certificación NOM-151, adicionalmente se emite una Constancia de Conservación de Mensaje de Datos conforme a la NOM-151-SCFI-2016, emitida por SEGURIDATA PRIVADA, S.A. DE C.V. (PSC acreditado ante la Secretaría de Economía, DOF 14/12/2011). Esta constancia acredita que el documento existió con ese contenido en el momento indicado, siendo admisible como prueba en juicio conforme al Art. 210-A CFPC. c) Integridad criptográfica. El PDF final generado por AllSign incorpora: • Firma digital del servidor de AllSign sobre el documento completo. • Hash SHA-256 y firma digital embebidos en el PDF conforme al estándar PAdES (PDF Advanced Electronic Signatures, ETSI EN 319 122), que define los perfiles de firma con sello de tiempo para documentos PDF (perfil PAdES-T para firma con sello de tiempo embebido). • El sello de tiempo RFC 3161 embebido en la firma digital del PDF, de modo que cualquier validador de firmas PDF (Adobe Acrobat, etc.) puede verificar la integridad del documento de forma independiente. d) Conservación. AllSign conserva el audit trail y todos sus elementos por un mínimo de 10 años contados desde la fecha de firma, conforme al Art. 49 del Código de Comercio. El Cliente puede solicitar en cualquier momento la exportación del audit trail en formato PDF o JSON firmado digitalmente. e) Limitaciones probatorias. La cadena de evidencias de AllSign constituye prueba técnica sólida pero no reemplaza la valoración judicial. La admisibilidad y el peso probatorio de los documentos firmados electrónicamente quedan sujetos a la discrecionalidad del juez competente conforme a las reglas de valoración de prueba aplicables. AllSign recomienda al Cliente obtener asesoría legal especializada cuando la naturaleza del acto jurídico así lo requiera.

La e.firma SAT es la Firma Electrónica Avanzada emitida por el Servicio de Administración Tributaria (SAT) de México. Su uso en AllSign está sujeto a las siguientes condiciones técnicas y legales: a) Validación en tiempo real. Al momento de cada firma con e.firma SAT, AllSign valida el estado del certificado contra los servicios OCSP (Online Certificate Status Protocol) y las listas CRL (Certificate Revocation List) publicadas por el SAT. Si el certificado está vencido o revocado al momento de la firma, la operación será rechazada y se notificará al firmante. b) Certificado vencido. Si el certificado de e.firma SAT del firmante vence durante el proceso de firma (es decir, entre la apertura del documento y la aplicación de la firma), la firma será inválida. El sistema notificará al firmante para que renueve su certificado ante el SAT antes de continuar. AllSign no asume responsabilidad por retrasos o pérdidas derivadas del vencimiento del certificado del usuario. c) Revocación posterior a la firma. Si el SAT revoca el certificado de e.firma SAT de un firmante con posterioridad a la fecha en que se realizó la firma válida, esto NO invalida retroactivamente la firma realizada mientras el certificado estaba vigente, siempre que exista un sello de tiempo RFC 3161 que acredite la fecha exacta de la firma (anterior a la revocación). En este supuesto, la Constancia NOM-151 y el sello de tiempo constituyen la evidencia de la validez del certificado al momento de la firma. d) Custodia de llaves privadas. AllSign NUNCA almacena, accede ni manipula la llave privada (.key) del certificado de e.firma SAT del usuario. La operación criptográfica de firma se realiza exclusivamente en el dispositivo del usuario. AllSign únicamente recibe la firma digital resultante y el certificado público (.cer) para validación. e) Responsabilidad del titular. La e.firma SAT es de uso personal e intransferible conforme a la Ley de Firma Electrónica Avanzada (LFEA). El titular es el único responsable de la custodia de su llave privada y contraseña. Cualquier uso no autorizado del certificado de e.firma del usuario es responsabilidad exclusiva del titular. f) Alcance legal. Las firmas realizadas con e.firma SAT en AllSign tienen plena validez legal conforme a la LFEA, el Código de Comercio (Arts. 89-A y ss.) y la normatividad fiscal aplicable. Para efectos ante el SAT y autoridades fiscales, la e.firma SAT constituye Firma Electrónica Avanzada (FEA) conforme a los Arts. 17-D, 17-E y 17-F del Código Fiscal de la Federación.

AllSign es un proveedor de tecnología. La validez legal de un documento firmado electrónicamente depende del tipo de acto jurídico y la legislación aplicable. Los siguientes tipos de documentos pueden requerir formalidades adicionales que van más allá de la firma electrónica: ▸ Actos que requieren fe pública notarial Escrituras públicas, protocolizaciones, poderes notariales, testamentos y cualquier acto que la ley exija otorgar ante Notario Público. Nota: las actas de asamblea corporativa pueden celebrarse y firmarse electrónicamente en su parte interna; es el acto notarial de protocolización posterior el que requiere intervención de Notario Público cuando aplique. La firma electrónica no sustituye la fe pública notarial. ▸ Instrumentos registrales Contratos de compraventa de bienes inmuebles (requieren escritura pública ante Notario para que surtan efectos frente a terceros e inscripción en el Registro Público de la Propiedad, conforme al Art. 2317 CCF), hipotecas, fideicomisos que impliquen transmisión de derechos sobre bienes inmuebles o que por su naturaleza requieran escritura pública conforme a la LGTOC, y cualquier acto sujeto a registro formal que exija instrumento notarial. ▸ Títulos de crédito físicos Pagarés, cheques, letras de cambio y otros títulos de crédito que la Ley General de Títulos y Operaciones de Crédito (LGTOC) exige en soporte papel con firma autógrafa. Nota: la LGTOC fue reformada para permitir ciertos títulos electrónicos, pero el alcance varía según el tipo de título y las partes involucradas. ▸ Actos del estado civil Actas de nacimiento, matrimonio, divorcio y defunción, y cualquier acto ante el Registro Civil. ▸ Documentos con requisito de forma específica Contratos laborales individuales (la práctica probatoria ante los Tribunales Laborales del Poder Judicial de la Federación — para sector privado — y el TFCA — para trabajadores del Estado — favorece el documento físico con firma autógrafa; la LFT no prohíbe la firma electrónica expresamente, pero su admisibilidad en litigios laborales sigue siendo materia de desarrollo jurisprudencial), poderes amplísimos en materia laboral, contratos colectivos de trabajo y convenios sujetos a depósito ante el Centro Federal de Conciliación y Registro Laboral (CFCRL). ▸ Jurisdicciones con restricciones específicas Algunos tipos de documentos pueden tener restricciones específicas en jurisdicciones fuera de México. El Cliente es responsable de verificar la validez de la firma electrónica para el tipo de documento y jurisdicción correspondiente. IMPORTANTE: Esta lista es informativa y no es exhaustiva. AllSign recomienda obtener asesoría legal especializada antes de utilizar firma electrónica para actos jurídicos de alta complejidad o valor económico significativo.

Sujeto al cumplimiento de estos T&C y al pago de las tarifas correspondientes, AllSign otorga al Cliente y/o Usuario una licencia: • No exclusiva • No transferible • No sublicenciable • Revocable • Limitada en tiempo a la vigencia del Plan contratado ...para acceder y utilizar la Plataforma y los Servicios exclusivamente para los fines descritos en estos T&C. Queda expresamente prohibido: a) Realizar ingeniería inversa, descompilar o desensamblar cualquier componente de la Plataforma. b) Copiar, reproducir, distribuir o crear obras derivadas basadas en la Plataforma sin autorización expresa por escrito. c) Utilizar la Plataforma para fines ilegales o que violen derechos de terceros. d) Compartir credenciales de acceso o permitir el uso de la cuenta por personas no autorizadas. e) Utilizar bots, scrapers o sistemas automatizados para acceder a la Plataforma sin autorización previa. f) Sobrecargar deliberadamente la infraestructura de la Plataforma. El incumplimiento de estas restricciones puede resultar en la suspensión o terminación inmediata de la licencia sin responsabilidad para AllSign.

Al registrarse, el Usuario se compromete a: a) Proporcionar información veraz, completa y actualizada. b) Mantener la confidencialidad de sus credenciales de acceso (correo electrónico, contraseña, tokens de API). c) Habilitar autenticación multifactor (MFA) cuando esté disponible. d) Notificar inmediatamente a AllSign sobre cualquier uso no autorizado de su cuenta a servicios@allsign.io. e) Ser responsable de todas las acciones realizadas desde su cuenta, incluyendo las de usuarios invitados. El Cliente es responsable de gestionar los accesos de sus empleados y colaboradores dentro de su organización. AllSign no será responsable por accesos no autorizados derivados de la negligencia del Cliente en la protección de sus credenciales. AllSign se reserva el derecho de suspender temporalmente o cancelar cualquier cuenta que, a su razonable criterio, viole estos T&C o ponga en riesgo la seguridad de la Plataforma.

8.1 Planes y precios Los Planes, sus características, créditos incluidos y precios están publicados en allsign.io/pricing. AllSign puede modificar los precios con previo aviso de 30 días naturales; los cambios aplicarán al siguiente ciclo de facturación. 8.2 Facturación y método de pago La facturación puede ser mensual o anual según el Plan seleccionado. Los pagos se realizan de forma anticipada y no son reembolsables salvo lo expresamente indicado en estos T&C. AllSign acepta pagos mediante tarjeta de crédito/débito, transferencia bancaria y los demás métodos disponibles en la Plataforma. 8.3 Sistema de créditos Ciertos Servicios se consumen mediante créditos. Los créditos adquiridos tienen una vigencia de 12 meses desde su fecha de compra. Los créditos no utilizados no son transferibles ni reembolsables. 8.4 Renovación automática Las suscripciones se renuevan automáticamente al término de cada ciclo de facturación. El Cliente puede cancelar la renovación automática desde su panel de administración antes del inicio del siguiente ciclo. 8.5 Impuestos Todos los precios publicados no incluyen impuestos. Los impuestos aplicables (IVA, sales tax, GST u otros) serán calculados y agregados según la jurisdicción fiscal del Cliente. 8.6 Reembolsos Las solicitudes de reembolso deben realizarse dentro de los primeros 14 días naturales tras la contratación inicial, enviando un correo a servicios@allsign.io. Esta política es voluntaria de AllSign; la legislación mexicana no establece un período de desistimiento general para servicios SaaS. Los reembolsos se gestionan caso por caso y no aplican para créditos consumidos ni para renovaciones automáticas.

9.1 Propiedad de AllSign La Plataforma, incluyendo su código fuente, diseño, arquitectura, algoritmos, marcas, logotipos, documentación, API y todo contenido generado por AllSign, son propiedad exclusiva de Astro Digital S.A. de C.V. y están protegidos por las leyes de propiedad intelectual de México, tratados internacionales y las leyes aplicables de cada jurisdicción. 9.2 Contenido del Cliente/Usuario El Cliente/Usuario conserva la propiedad de los documentos, datos e información que carga en la Plataforma. Al utilizar los Servicios, el Cliente otorga a AllSign una licencia limitada, no exclusiva y revocable para procesar dicho contenido exclusivamente con el fin de prestar los Servicios contratados. 9.3 Retroalimentación Cualquier sugerencia, idea o retroalimentación proporcionada a AllSign puede ser utilizada libremente por AllSign para mejorar sus Servicios sin obligación de compensación. 9.4 Marcas de terceros Los nombres, logotipos y marcas de terceros mencionados en la Plataforma son propiedad de sus respectivos titulares y se utilizan únicamente con fines informativos.

Ambas partes se comprometen a mantener la confidencialidad de toda información marcada como confidencial o que razonablemente deba considerarse como tal. Las obligaciones de confidencialidad no aplican a información que: a) Sea de dominio público sin culpa de la parte receptora. b) Haya sido desarrollada independientemente por la parte receptora. c) Haya sido recibida legítimamente de un tercero sin restricciones de confidencialidad. d) Deba ser divulgada por disposición legal o requerimiento de autoridad competente. AllSign se compromete a no divulgar información sensible de sus Clientes a terceros, salvo en los casos permitidos por el DPA, por estos T&C o cuando sea requerido por autoridades competentes conforme a la ley aplicable. Para más información sobre el tratamiento de datos personales, consulte nuestro Aviso de Privacidad en https://allsign.io/aviso_privacidad.

11.1 Disponibilidad AllSign se compromete a mantener una disponibilidad de la Plataforma del 99.9% mensual, medida en periodos de 5 minutos. La disponibilidad se calcula excluyendo periodos de mantenimiento programado. 11.2 Mantenimiento programado AllSign realizará mantenimientos programados preferentemente en horarios de bajo tráfico (sábados y domingos de 02:00 a 06:00 hora del centro de México, UTC-6). Los mantenimientos se notificarán con al menos 48 horas de anticipación a través de correo electrónico y en el panel de la Plataforma. 11.3 Soporte técnico AllSign ofrece soporte técnico a través de los siguientes canales: • Correo electrónico: servicios@allsign.io • WhatsApp: +52 81 8209 2776 • Chat en la Plataforma Los tiempos de respuesta objetivo son: — Incidencia crítica (servicio no disponible): 1 hora (respuesta inicial — acuse de recibo y apertura de atención; el tiempo de resolución depende de la complejidad del incidente) — Incidencia alta (funcionalidad principal afectada): 4 horas — Incidencia media (funcionalidad secundaria afectada): 8 horas hábiles — Consulta general: 24 horas hábiles 11.4 Créditos de servicio Si la disponibilidad mensual es inferior al 99.9%, el Cliente puede solicitar créditos de servicio conforme a la siguiente tabla: • 99.0% – 99.9%: crédito del 10% de la tarifa mensual • 95.0% – 98.9%: crédito del 25% de la tarifa mensual • Inferior a 95.0%: crédito del 50% de la tarifa mensual Los créditos de servicio deben solicitarse dentro de los 30 días posteriores al mes en que se produjo la indisponibilidad y constituyen el único y exclusivo remedio del Cliente por incumplimiento del SLA. 11.5 SLA de API Pública Para Clientes con acceso a la API pública de AllSign, aplican adicionalmente los siguientes compromisos: • Disponibilidad: 99.9% mensual, medida de forma independiente a la disponibilidad del dashboard web. • Latencia objetivo (p95): < 800 ms para operaciones de firma; < 300 ms para consultas de estado. • Rate limits por defecto: 60 solicitudes/minuto por API Key. Límites superiores disponibles bajo solicitud para planes Enterprise. • Status page público: AllSign mantiene una página de estatus operativo en tiempo real accesible desde allsign.io/status o el enlace publicado en el panel de la Plataforma. Los Clientes pueden suscribirse a notificaciones de incidentes. • Cambios con ruptura (breaking changes): AllSign se compromete a notificar con mínimo 60 días de anticipación cualquier cambio que rompa la compatibilidad en la API, y a mantener la versión anterior activa durante ese período. • Mantenimiento programado de API: Cuando el mantenimiento requiera indisponibilidad de la API, se notificará con mínimo 72 horas de anticipación. Los mantenimientos de emergencia se notificarán lo antes posible. 11.6 Continuidad del Negocio y Recuperación ante Desastres AllSign mantiene un plan de continuidad de negocio (BCP) y recuperación ante desastres (DRP) con los siguientes compromisos mínimos: • RPO (Recovery Point Objective): máximo 4 horas — los datos serán recuperados a un estado no anterior a las 4 horas previas al incidente. • RTO (Recovery Time Objective): máximo 8 horas — los servicios serán restaurados dentro de las 8 horas posteriores a la declaración de desastre. • Backups operacionales: Respaldos automáticos diarios con retención de 30 días para fines de recuperación ante desastres. Los backups se almacenan en una región geográfica distinta a los servidores primarios (geo-redundancia). Nota: la retención legal de documentos firmados (10 años, Art. 49 Código de Comercio) se gestiona mediante almacenamiento de largo plazo independiente, no a través de estos backups operacionales — ver sección 14.4. • Notificación de desastre: En caso de incidente que active el DRP, AllSign notificará a los Clientes dentro de las 2 horas posteriores a su declaración, con actualizaciones cada 4 horas hasta la restauración del servicio.

12.1 Exclusión de garantías LA PLATAFORMA SE PROPORCIONA "TAL CUAL" ("AS IS") Y "SEGÚN DISPONIBILIDAD" ("AS AVAILABLE"). EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY, ALLSIGN NO OTORGA GARANTÍAS EXPRESAS O IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN PARTICULAR, NO INFRACCIÓN O DISPONIBILIDAD ININTERRUMPIDA. 12.2 Límite de responsabilidad EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY APLICABLE, LA RESPONSABILIDAD TOTAL ACUMULADA DE ALLSIGN POR CUALQUIER RECLAMACIÓN DERIVADA O RELACIONADA CON ESTOS T&C O LOS SERVICIOS NO EXCEDERÁ EL MONTO TOTAL PAGADO POR EL CLIENTE A ALLSIGN DURANTE LOS DOCE (12) MESES INMEDIATAMENTE ANTERIORES AL EVENTO QUE DIO ORIGEN A LA RECLAMACIÓN. ESTA LIMITACIÓN NO APLICA A DAÑOS CAUSADOS POR DOLO O CULPA GRAVE DE ALLSIGN, conforme a los artículos 2106 y 2107 del Código Civil Federal. 12.3 Exclusiones EN NINGÚN CASO ALLSIGN SERÁ RESPONSABLE POR: a) Daños indirectos, incidentales, especiales, consecuenciales o punitivos. b) Pérdida de beneficios, ingresos, datos, fondo de comercio o ahorros esperados. c) Interrupciones causadas por factores fuera del control razonable de AllSign (fuerza mayor), incluyendo desastres naturales, pandemias, conflictos bélicos, interrupciones de telecomunicaciones, ciberataques masivos o actos de autoridades gubernamentales. d) Uso indebido de la Plataforma por parte del Cliente o sus Usuarios. e) Contenido de los documentos firmados a través de la Plataforma. 12.4 Excepción para derechos del consumidor Las limitaciones de esta sección no aplican en la medida en que estén prohibidas por la legislación de protección al consumidor aplicable en la jurisdicción del Cliente.

13.1 Indemnización por el Cliente El Cliente se compromete a defender, indemnizar y mantener indemne a AllSign, sus directivos, empleados y afiliados, frente a cualquier reclamación, demanda, daño, pérdida, costo o gasto (incluyendo honorarios legales razonables) que surjan de: a) El uso de los Servicios por parte del Cliente o sus Usuarios en violación de estos T&C. b) La infracción de derechos de propiedad intelectual de terceros por contenido cargado por el Cliente. c) El incumplimiento de las leyes de protección de datos aplicables por parte del Cliente como Responsable del tratamiento. 13.2 Indemnización por AllSign AllSign defenderá al Cliente frente a reclamaciones de terceros que aleguen que el uso autorizado de la Plataforma infringe derechos de propiedad intelectual de terceros en la jurisdicción aplicable, siempre que el Cliente notifique la reclamación oportunamente y coopere en la defensa.

14.1 Vigencia Estos T&C entran en vigor al momento de su aceptación y permanecen vigentes mientras el Cliente mantenga una cuenta activa o un Plan contratado. 14.2 Terminación por el Cliente El Cliente puede cancelar su suscripción en cualquier momento desde su panel de administración. La cancelación será efectiva al final del ciclo de facturación vigente. No se realizarán reembolsos proporcionales por cancelación anticipada. 14.3 Terminación por AllSign AllSign puede suspender o terminar la cuenta del Cliente de forma inmediata y sin previo aviso en caso de: a) Violación material de estos T&C. b) Actividad ilegal o fraudulenta. c) Falta de pago por más de 15 días naturales tras notificación. d) Riesgo para la seguridad o integridad de la Plataforma o sus usuarios. 14.4 Efectos de la terminación Tras la terminación, AllSign mantendrá disponibles los documentos y datos del Cliente de forma accesible (con acceso de solo lectura/descarga) por un periodo de 30 días naturales (el "Período de Exportación"), durante los cuales el Cliente podrá descargar toda su información desde el panel o solicitarla por correo a servicios@allsign.io. Nota importante sobre retención legal: Tras el vencimiento del Período de Exportación, los documentos firmados, audit trails y constancias NOM-151 NO serán eliminados inmediatamente. Permanecerán almacenados en modo restringido durante los períodos de retención obligatoria que se describen a continuación, conforme a la ley aplicable. El Cliente conserva el derecho de solicitar acceso a estos registros para fines probatorios durante dicho período. Retención obligatoria post-terminación: Independientemente de la solicitud de eliminación del Cliente, AllSign conservará los documentos firmados, audit trails y constancias NOM-151 por los siguientes períodos mínimos, conforme a las obligaciones legales aplicables: • Documentos con firma electrónica y su evidencia: 10 años desde la fecha de firma, conforme al Art. 49 del Código de Comercio. • Constancias NOM-151 y sellos de tiempo: 10 años, conforme al Art. 49 del Código de Comercio y la NOM-151-SCFI-2016. • Registros de facturación e IVA: mínimo 5 años conforme al Art. 30 del Código Fiscal de la Federación (regla general); hasta 10 años en los supuestos del Art. 30 CFF relativos a ejercicios con pérdidas fiscales (el plazo se extiende hasta que prescriba la facultad de comprobación del ejercicio en que se originaron). • Logs de acceso y seguridad: 12 meses. Durante el período de retención legal, AllSign almacenará estos datos en modo restringido (no accesibles operativamente) y solo los pondrá a disposición ante requerimiento judicial o de autoridad competente, o a solicitud expresa del ex-Cliente para efectos probatorios. Transcurridos los períodos de retención legal, los datos serán eliminados de forma segura conforme a NIST SP 800-88 Rev. 1 — mediante borrado criptográfico (crypto-erase) en entornos virtualizados y de almacenamiento en nube, donde la destrucción física de medios no aplica. El Cliente puede solicitar en cualquier momento, incluso post-terminación y dentro del período de retención, un paquete de evidencia firmado digitalmente que incluya los documentos firmados y su cadena de evidencias completa. Período de Exportación extendido: El Cliente puede solicitar una extensión del Período de Exportación de hasta 90 días adicionales contactando a servicios@allsign.io antes del vencimiento del período estándar de 30 días. Esta extensión es gratuita. 14.5 Supervivencia Las secciones sobre propiedad intelectual, confidencialidad, limitación de responsabilidad, indemnización, ley aplicable y cualquier obligación que por su naturaleza deba sobrevivir a la terminación, permanecerán vigentes después de la terminación de estos T&C.

15.1 Roles Cuando el Cliente utiliza AllSign para procesar datos personales de terceros (por ejemplo, datos de firmantes), el Cliente actúa como Responsable del tratamiento y AllSign actúa como Encargado del tratamiento conforme al GDPR, la LFPDPPP y demás leyes aplicables. 15.2 Obligaciones del Cliente como Responsable El Cliente se obliga a: a) Obtener el consentimiento previo, expreso e informado de los titulares de los datos antes de utilizar sus datos en la Plataforma. b) Proporcionar un aviso de privacidad conforme a la legislación aplicable que informe sobre: la naturaleza del servicio, los datos que serán tratados, las finalidades, los terceros con acceso y los derechos del titular. c) Cumplir con los principios de la LFPDPPP aplicables a su jurisdicción: licitud, consentimiento, información, calidad, finalidad, lealtad y proporcionalidad (Arts. 6-11 LFPDPPP), así como la obligación de responsabilidad del responsable del tratamiento (Art. 14 LFPDPPP) y equivalentes en otras legislaciones aplicables. 15.3 AllSign como Encargado AllSign se compromete a: a) Tratar los datos personales únicamente para las finalidades instruidas por el Cliente. b) Implementar medidas de seguridad técnicas y organizativas apropiadas (ver sección de seguridad del Aviso de Privacidad). c) No sub-contratar el tratamiento con nuevos encargados sin notificar al Cliente con al menos 30 días de anticipación, durante los cuales el Cliente podrá formular objeción fundada. La ausencia de objeción dentro del plazo se entenderá como aceptación tácita, conforme al Art. 50 del Reglamento de la LFPDPPP. d) Asistir al Cliente en el cumplimiento de sus obligaciones de protección de datos, incluyendo la atención de solicitudes de derechos de los titulares. e) Notificar al Cliente sin dilación indebida tras conocer cualquier violación de seguridad de datos, para que el Cliente pueda cumplir con su obligación de notificar a la autoridad supervisora dentro de las 72 horas que establece el Art. 33 GDPR (notificación a titulares bajo Art. 34 GDPR cuando aplique alto riesgo). 15.4 DPA Para Clientes que lo requieran, AllSign pone a disposición un Acuerdo de Tratamiento de Datos (DPA) que cumple con GDPR Art. 28, las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea, y las disposiciones de la LFPDPPP. Solicítelo en servicios@allsign.io.

16.1 Ley aplicable Estos T&C se regirán e interpretarán conforme a las leyes de los Estados Unidos Mexicanos, sin perjuicio de los derechos irrenunciables que las leyes de protección al consumidor y de protección de datos otorguen a los Usuarios en sus respectivas jurisdicciones. Para Usuarios dentro del Espacio Económico Europeo (EEE), las disposiciones del GDPR y de eIDAS prevalecerán en caso de conflicto con estos T&C en lo que respecta al tratamiento de datos personales y la validez de firmas electrónicas. Para residentes de California (EE. UU.), los derechos adicionales conferidos por la CCPA/CPRA se garantizan sin perjuicio de lo dispuesto en estos T&C. 16.2 Resolución de controversias Las partes se comprometen a resolver las controversias derivadas de estos T&C mediante el siguiente procedimiento escalonado: Paso 1 — Negociación directa: Las partes intentarán resolver la controversia de buena fe durante 30 días naturales a partir de la notificación escrita del conflicto. Paso 2 — Mediación: A falta de resolución, las partes someterán la controversia a mediación conforme al Reglamento de Mediación de la Cámara de Comercio Internacional (ICC) por un período de hasta 45 días. Paso 3 — Arbitraje: Si la mediación no resuelve la controversia, ésta será resuelta definitivamente por arbitraje conforme al Reglamento de Arbitraje de la ICC, por uno o tres árbitros. Sede del arbitraje: Monterrey, Nuevo León, México. Idioma: Español (o inglés si ambas partes así lo acuerdan). Derecho sustantivo: Leyes de México. 16.3 Ámbito del arbitraje — B2B exclusivamente El procedimiento de arbitraje ICC establecido en la sección 16.2 aplica EXCLUSIVAMENTE a controversias entre personas morales (empresas) o personas físicas con actividad empresarial que contraten AllSign para uso profesional o comercial. 16.4 Derechos de usuarios consumidores Las personas físicas que contraten AllSign para uso personal, no relacionado con actividad empresarial o profesional, NO están sujetas a la cláusula de arbitraje obligatorio. Dichos usuarios conservan plenamente sus derechos ante: • PROFECO (Procuraduría Federal del Consumidor): profeco.gob.mx — para reclamaciones como consumidores conforme a la Ley Federal de Protección al Consumidor (LFPC). • La autoridad competente en materia de protección de datos personales en México (actualmente la Secretaría de Anticorrupción y Buen Gobierno — SABG: gob.mx/buengobierno —, sucesora del INAI por decreto DOF de marzo 2025, o el organismo que la sustituya) — para reclamaciones relativas al tratamiento de datos personales. • Tribunales ordinarios de su domicilio, en caso de que prefieran no someterse al procedimiento arbitral. 16.5 Excepciones generales Nada en esta cláusula impedirá a cualquiera de las partes solicitar medidas cautelares o de protección urgente ante los tribunales competentes de cualquier jurisdicción, independientemente del procedimiento de resolución de controversias aplicable.

AllSign se reserva el derecho de modificar estos T&C en cualquier momento. Las modificaciones se notificarán con al menos 30 días naturales de anticipación mediante: a) Publicación en allsign.io/terminos_condiciones con indicación de la fecha de vigencia. b) Correo electrónico al último correo registrado del Cliente. c) Aviso dentro de la Plataforma. El uso continuado de la Plataforma después de la fecha de vigencia de las modificaciones constituye aceptación de los T&C modificados. Si el Cliente no está de acuerdo con las modificaciones, deberá cancelar su cuenta antes de la fecha de vigencia. Versión: 2.1 Fecha de vigencia: 28 de febrero de 2026 Última actualización: 23 de abril de 2026 Versión anterior: 2.0 (enero de 2024)