Cada afirmación en esta página se corresponde con una funcionalidad en producción o con un compromiso contractual disponible antes de la firma. Si algo abajo aún no está certificado, lo decimos. Si está certificado, el artefacto está disponible bajo el MSA estándar.
Actualizado en mayo de 2026
Lo que necesita un revisor de procurement en 30 segundos.
Cumple RGPD. Flujo del Artículo 17 (derecho al olvido) desplegado en el portal del operador. DPA estándar disponible antes de la firma.
Auditoría independiente en curso; no hay certificado SOC 2 actual. Documento de postura de controles disponible bajo NDA a solicitud.
UE (Fráncfort) por defecto. Regiones sovereign-cloud (Reino Unido, EAU, KSA, Brasil, India) y on-premise disponibles bajo el tier talk-to-sales.
99,9% en el tier estándar con respuesta en horario laboral. 99,95% en el tier empresarial con respuesta 24/7.
TLS 1.2+ en tránsito, HSTS preload aplicado en la superficie de marketing. Cifrado at-rest en Postgres administrado. Derivación de claves por tenant para credenciales OCPP y secretos del tenant.
Contrato mes a mes. Exportación completa a la salida (CDR, usuarios con consentimiento, tarifas, audit log, historial de roaming) sin costo. Sin tarifa de terminación.
Presentada honestamente — qué está hecho, qué está en curso, qué no está en la hoja de ruta.
| Regime | Status | Evidence |
|---|---|---|
| RGPD (UE 2016/679) | Cumple | Flujo del Artículo 17 (derecho al olvido) desplegado en el portal del operador — rutas iniciadas por conductor y por operador. Registro de bases legales mantenido por tenant. Acuerdo de procesamiento de datos estándar disponible antes de la firma. |
| SOC 2 Type II | En curso | Compromiso de auditoría independiente en marcha. Sin certificado actual. Declaración intermedia de postura de controles (gestión de accesos, gestión de cambios, monitoreo, respuesta a incidentes) disponible bajo NDA a solicitud. |
| ISO 27001 | No certificado | No reclamamos certificación ISO 27001. Si su proceso de procurement la exige específicamente, podemos mapear nuestro conjunto de controles contra el Anexo A de ISO 27001 para comparación. |
| NEVI (FHWA, Estados Unidos) | Configurable | El reporte de uptime conforme NEVI y la línea de atención al cliente se pueden configurar en el portal del operador. Hoy no somos socio de despliegue NEVI-tier financiado federalmente en EE. UU.; si NEVI es su driver principal de procurement, ChargeLab está mejor alineado para el shortlist. |
| PCI DSS | Fuera de alcance | Los datos de tarjeta se tokenizan en nuestro procesador de pagos (PCI DSS Level 1) antes de tocar la plataforma. Connect no almacena PAN. Nuestro alcance se limita a controles SAQ-A. |
| Ley de Armenia sobre Protección de Datos Personales | Cumple | ENERGO CHARGERS LLC está registrada en Armenia y opera bajo la Ley RA de Datos Personales junto al RGPD para sujetos de datos de la UE. |
Dónde viven físicamente sus datos, y cómo cambiarlo.
| Region | Tier | Notes |
|---|---|---|
| UE — Fráncfort | Estándar | Por defecto. Usado por cada tenant estándar salvo solicitud contraria. |
| Reino Unido | Sovereign | Hosting en la región UK disponible bajo el tier talk-to-sales (requisitos de residencia de datos post-Brexit). |
| Emiratos Árabes Unidos | Sovereign | Hosting en la región EAU disponible a solicitud para tenants sujetos a reglas de residencia de datos de los EAU. |
| Arabia Saudita | Sovereign | Hosting en la región KSA disponible a solicitud para cumplimiento PDPL. |
| Brasil | Sovereign | Hosting en la región Brasil disponible a solicitud para despliegues alineados con LGPD. |
| India | Sovereign | Hosting en la región India disponible a solicitud para despliegues alineados con DPDP Act. |
| On-premise | Empresarial | Despliegue on-premise del stack completo disponible bajo el tier empresarial. |
La lista de sub-procesadores está disponible bajo MSA. No transferimos datos personales fuera de la región de residencia elegida sin instrucción explícita.
A qué nos comprometemos, cómo respondemos cuando algo se rompe y cómo lo verifica después.
| Tier | SLA | Response | Credits |
|---|---|---|---|
| Estándar | 99,9% mensual | Email + chat en horario laboral (UTC+04, su horario laboral a solicitud) | Crédito de servicio según el MSA estándar |
| Empresarial | 99,95% mensual | Pager de incidentes 24/7, acuse en 1 hora | Créditos de servicio reforzados según el MSA empresarial |
Los controles que operamos hoy, en lenguaje claro.
El vendor lock-in es la peor parte de los contratos CPMS empresariales. Hemos diseñado en contra desde el día uno.
No listamos públicamente cada sub-procesador porque la lista es conservadora y los nombres específicos no son lo que su revisión de seguridad realmente necesita. La lista exhaustiva se entrega bajo MSA, se refresca trimestralmente, con notificación de cambio a 30 días.
Hosting de aplicación, Postgres administrado, almacenamiento de objetos, CDN edge
Redes de tarjeta, Apple Pay, Google Pay, rails locales por mercado, proveedores de comprobantes fiscales por jurisdicción
Email transaccional, SMS para OTP, despacho de notificaciones push
Monitoreo de aplicación, logging estructurado, agregación de excepciones
Enriquecimiento Geo-IP (MaxMind), anclaje de cadena de audit log
Escriba a [email protected] con una descripción breve del contexto de procurement y enviaremos el conjunto relevante.
No. La auditoría SOC 2 Type II está en curso; esperamos certificado en los próximos 12 meses. No nos comercializamos como certificados antes de que la auditoría termine. La documentación intermedia de controles está disponible bajo NDA.
Sí, en el tier empresarial. Desplegamos el stack completo sobre infraestructura controlada por el cliente bajo un modelo operativo separado. El tier estándar se hostea con nosotros en UE-Fráncfort.
Tier estándar: notificación a administradores del tenant en 1 hora hábil desde el impacto confirmado. Tier empresarial: 15 minutos, vía pager.
El acceso a producción está restringido a una guardia on-call nominada con credenciales de corta duración. Solo personal nominado y responsable; cada acción en producción se registra en la misma infraestructura de audit log que los tenants ven para sus propias acciones.
Sí, con la misma jerarquía de claves por tenant que la base de datos en vivo. El procedimiento de restauración está documentado y se prueba antes de cualquier cambio que impacte producción.
Ventana estándar de 30 días durante la cual proporcionamos una exportación completa a solicitud, luego el tenant de producción se purga. Los backups que contienen sus datos salen de rotación según la política estándar de retención de backups de 35 días.
[email protected] o vía /.well-known/security.txt. Acuse en 2 días hábiles; ventana de divulgación coordinada de 90 días desde el reporte confirmado.
Sí, con aviso previo. Coordinamos alcance y tiempo para no interpretarlo como un incidente real. Los reportes se comparten con nuestro líder de seguridad.
Traiga el cuestionario que usa su equipo de procurement. Lo completamos contra los controles en vigencia hoy, marcamos lo que está planificado pero no enviado aún, y lo devolvemos con los documentos de soporte.
