Trust & Compliance
Cómo Growly protege tus datos, cumple con la legislación aplicable y se prepara para auditorías enterprise.
Encarregado / DPO
dpo@ingrowthsolutions.com Seguridad
security@ingrowthsolutions.com Vulnerabilidades
/legal/security Subprocesadores
/legal/subprocessors Privacidad
GDPR-aware (UE/UK)
✓ Implementado Geo-routing + opt-in obligatorio para leads UE
LGPD compliant (Brasil)
✓ Implementado Aviso público, encarregado designado, RIPD documentada
LFPDPPP (México)
✓ Implementado Aviso integral con derechos ARCO
CAN-SPAM (US)
✓ Implementado Footer con dirección + opt-out 1-click
CASL (Canadá)
✓ Implementado Identificación + opt-out
Seguridad
TLS 1.3 (transit)
✓ Implementado Cloudflare + Let's Encrypt
AES-256 (rest)
✓ Implementado Supabase encryption at rest
RLS por tenant
✓ Implementado Row-Level Security en Postgres + RBAC en app
MFA admin
✓ Implementado TOTP obligatorio para admins
Audit logs 12 meses
✓ Implementado admin_audit table + Sentry
Vulnerability disclosure
✓ Implementado /legal/security + security.txt
Backup diario rotación 30d
✓ Implementado Supabase auto-backup + drill semestral
Build watermarking
✓ Implementado buildId + commitSha en /api/build-info
Dependency scanning
✓ Implementado Dependabot + secret scanning + license audit
SOC 2 Type II
◯ Planeado Trigger: primer enterprise customer
ISO 27001
◯ Planeado Roadmap 2027
Compliance documentado
LIA (Living Identity Graph)
✓ Implementado Bajo NDA en due diligence
DPIA (Co-op Pool)
✓ Implementado Bajo NDA — controlled-beta gating
RIPD (LGPD)
✓ Implementado PT-BR, audit-ready
SOP DSR (Art. 18 LGPD)
✓ Implementado Templates EN/PT/ES, SLA 15d
SOP Incident Response
✓ Implementado 5 playbooks, GDPR 72h templates
SOP Audit Log Review
✓ Implementado Mensual cross-system
ROPA (Art. 30 GDPR)
✓ Implementado docs/legal/compliance/ROPA.md
Subprocesadores
Lista pública
✓ Implementado /legal/subprocessors — 15 operadores
30-day notice de cambios
✓ Implementado Notificación a clientes Enterprise
DPAs estándar
◐ Parcial Resend/Supabase/Sentry/Stripe — DPAs pendientes de firmar
SCCs / cláusulas tipo
◐ Parcial Bajo ToS estándar de cada provider
Derechos del titular
Acceso (export)
✓ Implementado /api/dsr/export desde cuenta o vía email DPO
Rectificación
✓ Implementado UI de perfil + manual via DPO
Eliminación con cascade
✓ Implementado /api/dsr/erase + cascade a CRMs/Sentry/backups
Portabilidad (JSON/CSV)
✓ Implementado Mismo /api/dsr/export
Oposición
✓ Implementado Suppression list global + email DPO
Revisión decisión automatizada
✓ Implementado Solicitud al DPO; revisión humana documentada
Endpoint público (no-account)
◯ Planeado /coop/data-subject-request — pending Co-op GA
Due diligence pack
Para clientes Enterprise interesados en cuestionarios de seguridad / DPA / SCCs:
- Lista pública de subprocesadores
- Auditoría OSS
- LIA / DPIA / RIPD / SOPs disponibles bajo NDA — solicitar a legal@ingrowthsolutions.com
- DPA enterprise + MSA — solicitar al mismo email
- Vendor questionnaire pre-fill (SOC 2 / SIG / etc.) — solicitar
Lo que aún no tenemos
Queremos ser transparentes sobre el roadmap:
- Entidad legal formal — en proceso; planeado tras primeros milestones de revenue.
- SOC 2 Type II — planeado para primer enterprise contract que lo requiera.
- Cyber insurance — planeado a partir de ~$10k MRR.
- EU representative (Art. 27 GDPR) — cuando superemos los 50 usuarios EU.
Última actualización: 2026-05-04 · Centro Legal · legal@ingrowthsolutions.com