Tu dato es tuyo.
KONTORE no lo puede tocar sin que vos lo veas.
Operamos tu ERP. Eso quiere decir que técnicamente podemos leer tus datos para soporte cuando lo pedís. Lo que cambia con KONTORE es: cada acceso queda registrado en un log que vos controlás, y requiere aprobación de dos personas distintas de nuestro equipo.
Es el mismo modelo que Stripe (audit log visible al merchant), Notion (workspace audit log Enterprise), Linear (workspace security), Vercel (audit trail por workspace) y 1Password (Secrets Automation con M-of-N). Lo que ellos cobran en tier Enterprise, nosotros lo incluimos desde Pro.
Cómo funciona técnicamente
Cuatro capas que protegen tus datos
No nos pedimos confianza ciega. Te damos los mecanismos para verificarla. Cada paso es auditable por vos, sin nuestra cooperación.
Operativo en julio 2026.
El diseño y el código están listos. Estamos completando la integración con Vault Cloud y el mirror externo a BetterStack antes de declararlo público activo. Mientras tanto, los accesos KONTORE quedan registrados en nuestro audit log interno y disponibles a pedido.
Tu BD vive separada
Cada cliente tiene su propio proyecto Supabase aislado físicamente. No compartís servidor con otros clientes. Tu RLS (row-level security) está activado por defecto.
Las llaves de escalación viven en Vault
La llave que permite a KONTORE staff leer tus datos NO está en nuestro servidor web. Está en HashiCorp Vault con TTL de 5 minutos. Una llave que cae no sirve para nada.
Hace falta firma de 2 humanos
Ningún empleado de KONTORE puede entrar a tus datos solo. Quien lo pide y quien lo aprueba tienen que ser personas distintas. Ambas firmas quedan en el log. Sin la segunda firma, el sistema rechaza con 403.
Vos ves cada acceso en tu panel
Dentro de tu ERP, sección "Seguridad de mis datos", ves cuántas veces KONTORE entró a tu BD en los últimos 90 días. Por cada acceso: fecha, quién pidió, quién aprobó, qué tabla, cuántas filas, link al ticket. Sin nuestra cooperación.
Flujo completo end-to-end
Cliente abre ticket
"Necesito ayuda con la factura X"
KONTORE staff A pide acceso
Con link al ticket + razón
KONTORE staff B aprueba
Persona distinta de A
Worker fetcha llave en Vault
TTL 5 minutos
Ejecuta la query exacta
Validada por hash pre-aprobado
Vos ves el acceso en tu panel
+ mirror externo WORM
Esto no es invento KONTORE
Es el mismo modelo que usan los líderes del SaaS B2B
Cada empresa abajo cobra estas garantías en tier Enterprise. KONTORE las incluye desde Pro.
Stripe
Audit log visible a merchants
Notion
Workspace audit log (Enterprise)
Linear
Workspace security log
Vercel
Audit trail por workspace
1Password
Secrets Automation con M-of-N
Marcas referenciadas solo como ejemplo de patrón industrial. KONTORE no afirma asociación, partnership ni endorsement de ninguna de las marcas mencionadas.
Verificable sin nuestra cooperación
Auditá tu propia BD
No te pedimos que confíes. Te damos el panel para que verifiques.
Panel "Seguridad de mis datos"
Dentro de tu ERP, sección Configuración. Vos lo abrís cuando quieras, sin pedirnos nada. Mostrás cuántas veces KONTORE entró a tu BD en últimos 90 / 30 / 7 días. Por cada acceso: fecha, iniciador, segundo aprobador, razón, tabla, cuántas filas, link al ticket de soporte que lo originó.
El panel también te permite:
- Verificar el hash chain del log (detecta tampering retroactivo aún de nuestra parte)
- Exportar el log a CSV/JSON para tu propio compliance interno
- Desactivar break-glass por completo (Enterprise) — KONTORE no entra ni con tu permiso retroactivo
El proceso detallado
Break-glass: cuando KONTORE entra a tu BD
Lo que pasa, paso a paso, cuando pedís soporte que requiere que miremos tu BD.
Vos abrís un ticket de soporte.
Email a support@kontore.app, WhatsApp, o desde el ERP. Describís el problema. Nada técnico: "no me cuadran las facturas de mayo" alcanza.
Un técnico nuestro evalúa si puede resolverlo SIN tocar tu BD.
Tu propio ERP tiene paneles de auditoría que el cliente y soporte pueden mirar sin escalación. La mayoría de tickets se resuelven acá.
Si necesita entrar, el técnico abre una "solicitud de break-glass".
Describe en el sistema qué tabla quiere leer, qué query exacta, y por qué (link al ticket tuyo). Eso queda registrado en nuestro audit log antes de cualquier acceso.
Una segunda persona de KONTORE revisa y aprueba.
Si la solicitud no tiene un ticket válido o la query no se justifica, rechaza. La segunda persona tiene que ser distinta de la primera. Sin esa segunda firma, el sistema rechaza con 403.
Solo entonces se fetcha la llave de escalación en Vault.
La llave dura 5 minutos. Pasados los 5 minutos, no sirve. No se cachea, no se guarda en ningún lado, no se reusa.
Vos ves el acceso en tu panel + recibís email opcional.
El acceso aparece en tu "Seguridad de mis datos" inmediatamente. Si activaste notificaciones, también recibís email con el detalle. El mismo log se replica a un sistema externo WORM (BetterStack/S3 con Object Lock) que ni nosotros podemos modificar.
Preguntas frecuentes
Lo que querés saber antes de firmar
¿Quién es el segundo aprobador?
Hoy: Mario Nieva (operador VE) y Eduardo Turbay (officer DE) — uno pide, el otro aprueba, nunca la misma persona. A medida que el equipo crece, ampliamos el set de aprobadores manteniendo la regla M-of-N (cualquier escalación necesita dos firmas de personas distintas).
¿Qué pasa si yo (cliente) niego el acceso?
En el plan Enterprise, podés desactivar break-glass por completo desde tu panel "Seguridad de mis datos". Si lo hacés, KONTORE no puede entrar a tu BD ni siquiera con las dos firmas internas. El trade-off es que tampoco podemos darte soporte que requiera mirar tu BD — vas a tener que exportar lo que necesites vos mismo. En Pro, el feature está activado por default; podés escribirnos a support@kontore.app para desactivarlo.
¿Qué TTL tiene la sesión de acceso?
La llave fetcheada en Vault tiene TTL de 5 minutos. El access_token entregado al técnico es one-shot — vence en la ejecución o a los 5 minutos, lo que pase primero. No hay sesión larga. Si la operación toma más de 5 minutos, hay que re-pedir el acceso (con nuevo ticket o referencia al mismo, y nueva segunda firma).
¿Puedo desactivar break-glass completamente?
Sí, en Enterprise. Toggle directo desde tu panel. Una vez desactivado, KONTORE no puede entrar a tu BD aunque vos lo pidas después — para reactivarlo hay un cool-down de 24h para evitar phishing. Si tenés un incidente productivo que necesita recovery y break-glass está apagado, tenemos que coordinar exportar/importar a un workspace temporal — más lento, pero el modelo lo soporta.
¿Cómo verifico que el log no fue modificado?
Cada entrada del log lleva un hash HMAC encadenado al row anterior (similar a una blockchain liviana). El secreto del HMAC vive en Vault, no en la BD que contiene el log — por lo que ni un atacante que controle la BD puede falsificar entradas hacia atrás. Vos podés pedir el HMAC del último row y verificarlo offline con tu propio script. Adicionalmente, el mismo log se replica a un sistema externo WORM (write-once, read-many) que ni nosotros podemos modificar.
¿Esto me protege de una subpoena gubernamental?
No técnicamente. Si una autoridad de jurisdicción aplicable (Delaware US o donde KONTORE tenga presencia legal) emite un subpoena válido, KONTORE LABS LLC tiene que cumplir. Lo que sí: el acceso queda en tu audit log de la misma manera que cualquier otro acceso — vos lo ves. Salvo que la orden incluya un gag order que nos obligue a no informarte, en cuyo caso el límite es legal, no técnico. Esto es universal: ningún SaaS resuelve esto, ni Stripe ni Notion ni nosotros.
¿Por qué confiar en este modelo y no en otro?
No te pedimos que confíes en KONTORE. Te pedimos que confíes en que el log que vos ves matchea con lo que pasó, lo cual es verificable con el hash chain y el mirror externo. Esa verificación no depende de nuestra cooperación. Si en algún momento el log y la realidad divergen, la verificación falla — y nosotros perdemos al cliente, no al revés.
Operá con la trazabilidad de los grandes — sin pagar precio Enterprise.
Audit log público, M-of-N approval y secret-keys efímeras incluidos desde Pro. 14 días gratis, sin tarjeta.