Confianza y compras para empresas

Todo lo que compras y seguridad necesitan antes de firmar

Las respuestas comerciales, legales y de seguridad que pide la lista de due diligence de un comprador, reunidas en una sola página. Cuando un tema ya tiene un sitio detallado en esta web, enlazamos a él; cuando no lo tenía, esta es ahora la respuesta canónica. Sin barniz de ventas, sin afirmaciones que no podamos respaldar.

De un vistazo 1 páginapara toda la revisión del proveedor

En una frase

Wavect GmbH es una empresa de software austríaca con la que puedes contratar bajo derecho austríaco, en la que tú eres dueño de toda la PI desde el primer día, tus datos residen en la UE por defecto, y un equipo de dos fundadores más un banco de especialistas verificados hace que el trabajo sobreviva a la salida de cualquier persona.

Respuestas claras sobre

  • Entidad legal, jurisdicción de contratación y propiedad de la PI
  • Acuerdos de tratamiento de datos, residencia de datos en la UE y subencargados
  • Control de acceso, copias de seguridad, gestión de incidentes y traspaso
  • Continuidad ante la salida de personas clave, modelos de soporte y tiempos de respuesta

Lo que no vamos a fingir

  • Hoy no contamos con ISO 27001, SOC 2 ni una certificación formal de seguridad
  • No ofrecemos un centro de operaciones de red 24/7 ni un SLA de disponibilidad
  • Somos un equipo pequeño y sénior, no un gran proveedor de servicios gestionados
// 01

La lista de compras, respondida

Cada fila es la respuesta corta más un enlace a la página que la documenta por completo. Así mantenemos una única fuente de verdad por tema en lugar de dispersarla por toda la web.

TemaDónde nos situamosDocumentado en
Entidad legal y jurisdicciónWavect GmbH, FN 575337 i, Landesgericht Innsbruck, UID ATU77948526, con sede en Ampass, Tirol. Fundada en 2018 como Wavect e.U., GmbH desde 2022. Los contratos se rigen por defecto por el derecho austríaco; también hemos firmado bajo derecho alemán, suizo, estadounidense y de Singapur.Aviso legal y términos del servicio
Propiedad de la PITú eres dueño de todo lo que construimos. Transferencia completa de la PI, sin derechos retenidos por nosotros, el código en tu repositorio desde el primer día.Términos del servicio
TraspasoEl traspaso completo es el estándar, no un extra: código, credenciales, documentación y runbooks transferidos, con las claves rotadas a tu nombre.Lista de comprobación de traspaso
Continuidad ante personas claveDos fundadores en cada proyecto, más un banco de especialistas verificados. Hemos traspasado trabajo de forma limpia docenas de veces; el equipo es más grande que cualquier persona.Sobre el equipo
Uso de especialistas externosLos especialistas se incorporan bajo nuestro contrato de trabajo como subcontratistas, verificados antes de tocar tu proyecto. Un solo contrato con nosotros, una sola factura, confidencialidad en toda la cadena de encargados.Red de expertos
Alojamiento y residencia de datosAlojamiento en la UE por defecto. Tus datos se mantienen bajo las normas de la UE y de Austria salvo que tu proyecto requiera otra cosa, algo que confirmamos de antemano.Guía de residencia de datos en la UE
RGPD y privacidadCumplimos con el RGPD y la DSG austríaca. Nuestro responsable de protección de datos es Kevin Riedl. Las bases jurídicas, los plazos de conservación y los terceros están detallados por completo.Política de privacidad
Soporte y mantenimientoEl mantenimiento es opcional, nunca viene incluido de serie. Precio fijo con un Werkvertrag (contrato de obra) firmado, o una cuota mensual que puedes cancelar cada semana sin preaviso.Precio fijo vs. por tiempo y materiales
// 02

Subencargados

Los terceros que tratan datos para wavect.io en sí. Para los proyectos de clientes, la infraestructura y los subencargados se eligen por proyecto y residen en la UE por defecto; los enumeramos en el acuerdo de tratamiento de datos de ese proyecto.

SubencargadoFinalidadDatosUbicación
CloudflareAlojamiento del sitio estático y CDN para wavect.ioRegistros de peticiones, direcciones IPEdge global, centros de datos en la UE
UmamiAnalítica web sin cookiesSin datos personalesAlemania (UE)
PostHog EUAnalítica de producto, datos de sesión y de embudoEventos de usoAlemania (UE)
Zeeg (Zeeg GmbH)Programación de llamadas desde los enlaces de reservaNombre, correo, hora seleccionadaAlemania (UE)

Esta lista cambia cuando cambian nuestras herramientas. Si necesitas aviso previo de los cambios de subencargados para un proyecto firmado, podemos añadirlo al contrato.

// 03

Postura de seguridad y de entrega

Los temas que pregunta un cuestionario de seguridad y que no tenían un sitio dedicado en otra parte. Son declaraciones honestas de cómo opera de verdad un equipo pequeño y sénior, no una política aspiracional.

Acuerdo de tratamiento de datos

Firmamos tu acuerdo de tratamiento de datos, o aportamos uno propio conforme al Art. 28 RGPD que cubre toda la cadena de subencargados. Plantéalo en la primera llamada y estará en vigor antes de tratar cualquier dato personal. Para los proyectos de clientes, el DPA forma parte de la documentación del proyecto, no es algo secundario.

Prácticas de control de acceso

Trabajamos dentro de los repositorios y la infraestructura que nos concedes, con un acceso que puedes revocar en cualquier momento. Privilegio mínimo por defecto, credenciales por proyecto, autenticación multifactor en nuestras cuentas y sin inicios de sesión compartidos. En el traspaso, cada credencial se rota a tu nombre para que nada de lo que teníamos siga abriendo una puerta.

Copias de seguridad y recuperación

Para los proyectos de clientes, la copia de seguridad y la recuperación ante desastres se diseñan dentro del desarrollo: restauraciones probadas y runbooks documentados, de tu propiedad tras el traspaso para que la recuperación nunca dependa de que estemos localizables. Para nuestros propios sistemas, el código vive en control de versiones y la infraestructura es reproducible a partir del código.

Gestión de incidentes

Tienes un contacto con nombre y apellidos que permanece localizable, no una cola de tickets. Nuestro trabajo durante un incidente es hacer triaje, comunicar con claridad y resolver. Somos honestos sobre el límite: no operamos un centro de operaciones de red 24/7, y la respuesta continua de guardia es lo que compra una cuota de retención.

Estándares de documentación

Cada desarrollo se entrega con una visión general de la arquitectura, instrucciones de configuración, pasos de despliegue y rollback, y runbooks. La documentación vive en tu repositorio junto al código, así que se queda con el software en lugar de en una herramienta a la que pierdes acceso. La lista de comprobación de traspaso es el estándar completo.

Certificaciones

Seremos francos: Wavect no cuenta actualmente con certificación ISO 27001 ni SOC 2. Lo que ocupa su lugar es estructural, no una insignia: un equipo pequeño y sénior, tu código en tu repositorio desde el primer día, un traspaso completo que elimina la dependencia, y un contrato bajo derecho austríaco que nos obliga a lo acordado. Si una certificación concreta es un requisito ineludible de tu proceso de compras, dínoslo pronto y te diremos con claridad si podemos cumplirlo, en lugar de afirmar que ya lo tenemos.

Niveles de servicio

Respondemos en cuatro horas laborables, normalmente en una. El soporte continuo se presta con una cuota de retención con un compromiso semanal definido que puedes cancelar sin preaviso. No vendemos un SLA de disponibilidad: la disponibilidad y la fiabilidad del software entregado se definen por proyecto, en línea con nuestros términos del servicio , para no prometer nunca una cifra que no fuéramos a respaldar.

Preguntas de compras, respondidas sin rodeos

Wavect GmbH, una empresa austríaca registrada como FN 575337 i en el Landesgericht Innsbruck, UID ATU77948526, con sede en Ampass, Tirol. El derecho austríaco es el predeterminado, y podemos firmar bajo tu contrato marco estándar. También hemos contratado bajo derecho alemán, suizo, estadounidense y de Singapur.
Sí, por completo. Toda la PI de lo que construimos se te transfiere, no retenemos ningún derecho, y el código vive en tu repositorio desde el primer commit. Esto está escrito en los términos del servicio, no solo prometido.
Sí. Firmamos tu DPA o aportamos un acuerdo conforme al Art. 28 RGPD que cubre toda la cadena de subencargados. Está en vigor antes de tratar cualquier dato personal.
Para wavect.io en sí: Cloudflare para el alojamiento, Umami y PostHog EU para la analítica, y Zeeg para la programación, todos con residencia en la UE. Para los proyectos de clientes, los subencargados se eligen por proyecto, residen en la UE por defecto y se enumeran en el DPA de ese proyecto.
El trabajo no se detiene. Dos fundadores están en cada proyecto y un banco verificado los respalda, así que el conocimiento nunca queda en manos de una sola persona. Hemos traspasado proyectos de forma limpia docenas de veces, y la disciplina de traspaso que lo hace posible es la misma que usamos al final de cada desarrollo.
No, hoy no, y no vamos a afirmar lo contrario. Lo que te protege en su lugar es estructural: un equipo pequeño y sénior, tu código en tu repositorio desde el primer día, un traspaso completo que elimina la dependencia, y un contrato bajo derecho austríaco que nos obliga a la entrega. Si una certificación es un requisito ineludible de tu proceso de compras, dínoslo pronto y seremos honestos sobre si podemos cumplirlo.
Respondemos en cuatro horas laborables, normalmente en una. El soporte continuo es una cuota mensual de retención con un compromiso semanal definido, cancelable sin preaviso. No ofrecemos un SLA de disponibilidad; la disponibilidad del software entregado se define por proyecto, para no prometer nunca una cifra que no podamos respaldar.
Última revisión: porChristof Jori wiki ↗

¿Sigues teniendo una duda en la lista?

Envíanos la cláusula que está frenando la revisión. Recibirás una respuesta directa de un fundador, no una carta modelo.