Auditoría y evidencia

Desde el detalle de una política (Políticas → click en el código) tenés dos salidas listas para entregar a un auditor externo.

1. Tabla de estado por usuario

Cada empleado del tenant aparece con su estado: Firmada / Pendiente / Vencida / Cancelada. Junto a cada firmada hay botón para descargar el certificado en PDF.

2. Export CSV

Botón Exportar CSV → descarga kompli-audit-CODIGO-timestamp.csv con las columnas:

document_code, document_title, version,
user_full_name, user_email, status,
assigned_at, due_at, acked_at_utc,
ip_address, user_agent,
content_hash_sha256, signature_hash_sha256,
acknowledgment_id

3. Certificado PDF por firma

Un PDF de 1 página, listo para adjuntar a un informe o entregar al empleado, con:

• Nombre del empleado y de la empresa
• Código, título y versión del documento firmado
• Fecha y hora UTC de la firma
• IP y User-Agent
• Hash SHA-256 del contenido al momento de firma
• Firma criptográfica del registro (SHA-256)
• ID único del acknowledgment
• Cita legal: art. 288 CCyC + Ley 25.506 de Firma Digital

Verificación independiente

Un auditor puede recalcular la firma con los datos del CSV para validar la integridad. El algoritmo es documentado y estándar (SHA-256):

expected = sha256(user_id || version_id || ip || acked_at_iso || content_hash)
assert expected == signature_hash

Backups e integridad de datos

• Dump diario de PostgreSQL a las 03:15 UTC.
• Retención de 14 días en disco del servidor.
• Replica offsite a R2 en roadmap.