En esta página
Un resumen honesto del estado de cumplimiento de WELLFLEX ERP: qué normas nos aplican, qué prácticas ya están implementadas y qué está en la hoja de ruta — sin vender como actual lo que todavía no lo es.
1. Cómo entendemos el cumplimiento
Esta página resume, en un solo lugar, cómo WELLFLEX ERP aborda sus obligaciones legales y las buenas prácticas de la industria SaaS. Preferimos afirmaciones verificables a sellos decorativos: cada punto enlaza al documento donde está el detalle, y lo que aún es hoja de ruta está señalado como tal.
2. Protección de datos personales en Colombia
El tratamiento de datos personales se rige por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Decreto Único 1074 de 2015) y las demás normas aplicables, bajo la vigilancia de la Superintendencia de Industria y Comercio (SIC).
- Política de privacidad: finalidades, autorización, derechos de los titulares y canales para ejercerlos.
- DPA: nuestro rol de encargado frente a los datos que las empresas clientes registran.
- Transferencias internacionales amparadas en compromisos contractuales con los subencargados.
WELLFLEX está comprometida con el cumplimiento de las obligaciones colombianas de protección de datos personales que le resulten aplicables, incluidas las relativas al tratamiento, la seguridad, la actualización y la documentación de las bases de datos personales.
3. Prácticas de seguridad SaaS
Las prácticas de seguridad están documentadas en la página de Seguridad. Los pilares:
- Aislamiento multi-tenant aplicado en la base de datos (Row Level Security).
- Permisos granulares por rol, verificados en múltiples capas.
- Cifrado en tránsito, cifrado en reposo en la infraestructura y respaldos automáticos.
- Bitácoras de auditoría y registro de acciones de IA.
- Infraestructura sobre proveedores de nube con certificaciones reconocidas.
4. Protección de los datos del cliente
- Propiedad: los datos de negocio pertenecen a la empresa cliente, siempre (Términos).
- Portabilidad: exportación en formatos estándar en cualquier momento.
- Supresión: eliminación definitiva al terminar el servicio, a solicitud.
- No comercialización: no vendemos datos ni los usamos para publicidad.
5. Transparencia en el uso de IA
Las funciones de inteligencia artificial operan bajo la Política de IA: datos enviados al proveedor solo cuando el usuario usa una función de IA, catálogo cerrado de herramientas que respeta los permisos del usuario, aprobación humana para acciones con efecto real y bitácora auditable de cada acción.
6. Hoja de ruta de cumplimiento
Los siguientes elementos no son capacidades actuales: son objetivos de cumplimiento que publicamos para que puedas seguir su evolución.
- Autenticación multifactor (MFA) para las cuentas de usuario — prevista para evaluación futura; no se ha establecido una fecha pública de compromiso.
- Plantilla firmable del DPA para clientes empresariales — sujeta a revisión legal antes de su publicación o adopción formal.
- Formalización del plan de respuesta a incidentes con plazos de notificación comprometidos — prevista para evaluación futura; no se ha establecido una fecha pública de compromiso.
- Certificaciones formales (por ejemplo, SOC 2 o ISO 27001) — objetivo futuro de cumplimiento, sujeto a la escala del negocio, los requisitos de los clientes y una evaluación formal.
- Inscripción en el Registro Nacional de Bases de Datos (RNBD), en caso de resultar obligatoria — sujeta a revisión legal antes de su adopción formal.
7. Preguntas de cumplimiento
Si tu equipo de compras, seguridad o legal necesita más información —cuestionarios de seguridad, detalle de subencargados, DPA firmado—, escríbenos por los canales de la Política de privacidad y coordinamos la respuesta.