Acuerdo de nivel de servicios

Última actualización: 6 de mayo del 2020                         

Disponibilidad

Este acuerdo es válido por el tiempo que dure la relación de Firmamex con el Cliente. Durante este tiempo, Firmamex se compromete a un porcentaje de tiempo en línea mensual en sus servicios del 99.9%, excluyendo ventanas de mantenimiento. En los casos en los que el acuerdo autorice la reventa del servicio, Cliente se referirá a este Socio o Revendedor

Los servicios incluyen:

  • Acceso al portal
  • Registro de usuarios
  • Firma de documentos
  • Flujos de firma
  • Consulta de documentos
  • API de desarrolladores

Las ventanas de mantenimiento para realizar actualizaciones o mejorar la infraestructura serán planeadas y se notificará al Cliente por lo menos con 7 días naturales de anticipación.

Si Firmamex no cumple con este nivel de servicio, el Cliente será elegible para recibir créditos según se describe en la siguiente tabla:

Porcentaje de tiempo en línea mensualPorcentaje de la factura mensual
99.00% – < 99.9%10%
95.00% – < 99.00%25%
< 95%50%

* Si el Cliente tiene su propia instancia de Firmamex, estos créditos sólo aplican si la instancia cuenta con toda la arquitectura necesaria para garantizar el tiempo en línea.   

Atención

El tiempo de respuesta para las solicitudes del Cliente dependerá de la categoría a la que corresponda la solicitud

PrioridadDescripciónTiempo de respuestaContacto
BajaDudas y errores que no impidan el funcionamiento de los servicios24 horasCorreo a contacto@firmamex.com
MediaErrores que impidan el funcionamiento de alguno de los servicios o que generen una respuesta no esperada4 horasCorreo a fernando@firmamex.com   Teléfono o mensaje a 662-2417-2835 de las 9:00 a las 17:00 horas (CDMX) excluyendo días festivos
AltaErrores críticos que comprometan totalmente la operación por fallos en el servicio2 horasTeléfono a 662-2417-2835 en cualquier horario

Para poder atender cualquiera de las solicitudes será necesario que el cliente proporcione información suficiente para poder ubicar o reproducir el problema. Esto incluye:

  • Descripción del error
  • Captura de pantalla
  • URL en la que se encontraba
  • Tipo de certificado con el que se encuentra registrado y Common Name en el certificado
  • Secuencia de pasos que llevaron al error

Definiciones

Tiempo de respuesta: Tiempo en el cual se comienza a atender la solicitud. El tiempo en el que se solucione la incidencia dependerá directamente de la complejidad y priodidad de la misma. 

Porcentaje de tiempo en línea mensual: Número total de minutos en el mes menos minutos de baja del sistema, divido entre número total de minutos en el mes menos minutos de ventanas de mantenimiento

Ventana de mantenimiento: Tiempos de baja planeados en el servicio para realizar actualizaciones o cambios de infraestructura

 Arquitectura

Firmamex aloja su plataforma en Google Cloud. Componentes importantes como la seguridad, la base de datos y el almacenamiento de archivos son administrados por Google Cloud.

Únicamente personal designado como “Oficial de Seguridad” puede acceder a nuestra plataforma. Los oficiales de seguridad solo pueden acceder previa autorización del director general, o en su ausencia, previa autorización del director técnico.

Los oficiales de seguridad acceden a la plataforma mediante autenticación de dos factores. contraseña segura y token físico con Google Authenticator. Todos los accesos son sujetos a reporte firmados y la configuración, después de los accesos, es revisada por el oficial de seguridad para cerciorarse que la configuración permanece inalterada. El director técnico vuelve a revisar que la configuración no se haya modificado.

Oficiales de seguridad              Google Cloud Administrator Console Autenticación 2 factores

La arquitectura incluye redundancia. Varias instancias de máquinas virtuales se ejecutan concurrentemente y el tráfico entrante es controlado por un balanceador de cargas. Esto nos permite alta escalabilidad, disponibilidad, y actualizaciones en caliente. Claro, todo el tráfico entrante y saliente se trasporta, de manera segura, mediante HTTPS.

La consola de administración de Google Cloud nos ofrece funcionalidades de firewall en donde solo quedan activos los puertos estrictamente necesarios y suficientes para cada una de nuestras instancias. Cada instancia tiene su IP fija, de forma que el balanceador de carga y las instancias siempre se ejecutan protegiéndose de cualquier trafico entrante espurio.

Nuestro almacenamiento de datos no incluye al file system. No manejamos datos en el file system de nuestras instancias, todo el almacenamiento lo hacemos en Google Cloud SQL y Google Cloud Storage.

Google Cloud Storage es utilizado para el almacenamiento de los archivos, de forma que mantenemos el tamaño de la base de datos sin la carga del almacenamiento de los archivos, que son el activo que mayor espacio ocupa.

Tanto Google Cloud SQL como Google Cloud Storage nos ofrecen servicios seguros y administrados. Nuestros datos siempre se almacenan en forma segura y replicada. El acceso a Google Cloud SQL y Google Cloud Storage se realiza mediante conexiones directas entre direcciones IP fijas. Estas plataformas de almacenamiento no reciben tráfico entrante excepto directamente de nuestras instancias.

No se conocen vulnerabilidades de Google Cloud que nos alerten a considerar vulnerabilidades en nuestra plataforma. Consideramos que el acceso espurio a nuestros datos es inviable.

Adicionalmente los documentos PDF que almacenamos son inherentemente seguros por estar siempre firmados digitalmente con el algoritmo criptográfico asimétrico RSA. Las firmas siempre son de 2048 o 4096 bits. El algoritmo de hash que utilizamos es SHA-2. Por las características del algoritmo criptográfico no es viable la modificación de la información o la falsificación de firmas digitales.

Una vez que el documento ha sido procesado y descargado de nuestra plataforma no es viable su alteración o falsificación sin poder ser detectado al visualizar el documento en una herramienta PDF que realice autenticación criptográfica como Firmamex o Adobe Acrobat Reader.

Estos algoritmos criptográficos no son materia de ataque por hackers o crackers.

small_c_popup.png

Regístrate para obtener acceso