Condiciones Generales de Contratación

Aviso: Este documento es una traducción informativa. La versión alemana es jurídicamente vinculante. En caso de discrepancias, prevalece la versión alemana. → Deutsche Fassung (versión alemana)

Gosign GmbH - Infraestructura de IA, desarrollo de agentes y desarrollo de software
Versión 3.1 - Estado: marzo 2026

↓ Descargar como PDF

§ 1 Ámbito de aplicación y objeto del contrato

Las presentes Condiciones Generales de Contratación (CGC) se aplican a todos los contratos celebrados entre Gosign GmbH (en adelante, «Gosign») y sus clientes en las siguientes áreas de servicio:

Infraestructura AI empresarial y desarrollo de agentes: Servicios relacionados con la inteligencia artificial en el entorno empresarial, incluyendo planificación e implementación de infraestructura de IA, desarrollo de agentes de IA, integración de modelos de IA, soluciones de self-hosting, estrategias FinOps para la optimización de costes de cargas de trabajo de IA, así como servicios de consultoría y desarrollo asociados.

Decision Layer y arquitectura de Governance: Desarrollo e implementación de una capa de gobernanza y control (Decision Layer) entre los agentes de IA y los sistemas objetivo de la empresa, incluyendo control de decisiones basado en reglas, documentación de Audit Trail, arquitectura Human-in-the-Loop y generación automatizada de evidencias de cumplimiento (Cert-Ready).

Desarrollo de software: Desarrollo de soluciones de software individuales, aplicaciones web e integraciones, también mediante el uso de frameworks y bibliotecas de código abierto. Comprende concepción, diseño, desarrollo, adaptación, integración y documentación.

Hosting y servicios operativos (opcional): Servicios de hosting opcionales y soporte operativo ofrecidos por Gosign. La operación regular de las soluciones desarrolladas por Gosign se realiza, como norma, en la infraestructura del cliente. El hosting por Gosign es un servicio adicional que se acuerda por separado.

Enablement y transferencia de conocimiento: El objetivo de Gosign es capacitar al cliente para operar y desarrollar de forma autónoma las soluciones entregadas. En la medida en que se acuerde, el alcance de los servicios incluye formación, documentación y una transferencia de conocimiento estructurada, orientada a reducir sistemáticamente la dependencia del cliente respecto a Gosign.

Delimitación: Gosign presta servicios técnicos. Las soluciones desarrolladas por Gosign no sustituyen el asesoramiento jurídico, fiscal ni de recursos humanos. Las decisiones profesionales finales corresponden al cliente. Los sistemas del cliente (p. ej., SAP, Workday, SuccessFactors, DATEV) siguen siendo el sistema maestro (System of Record); las soluciones de Gosign se integran con estos sistemas, pero no los sustituyen.

Base de clientes: Las presentes CGC se dirigen exclusivamente a empresarios en el sentido del § 14 del Código Civil alemán (BGB). Se aplican directamente a clientes con sede en la UE/EEE. Para clientes fuera de la UE/EEE, se aplican cuando se haya acordado la aplicación del derecho alemán. Gosign no celebra contratos con consumidores.

Los acuerdos individuales y los SLA prevalecen sobre estas CGC. Las condiciones divergentes del cliente no se aplican salvo que Gosign haya consentido expresamente por escrito.

§ 2 Definiciones

Los siguientes términos se utilizan en estas CGC con el significado que se indica a continuación:

«Agent» designa un componente de software que, basándose en modelos de IA y conjuntos de reglas, ejecuta o prepara automáticamente tareas por cuenta del cliente (p. ej., Document Agent, Workflow Agent, Knowledge Agent).

«Audit Trail» designa el registro completo y cronológico de todos los Decision Records y eventos del sistema.

«Auditor Portal» designa una interfaz web a través de la cual auditores autorizados (internos o externos) pueden consultar el estado en tiempo real de todos los Controls y Evidence.

«Cert-Ready» designa la propiedad de una arquitectura de sistema que cumple los requisitos técnicos previos para certificaciones estándar del sector (p. ej., ISO 27001, SOC 2, IDW PS 951) - sin que ello implique la obligación de obtener la certificación en sí ni su garantía.

«Component Manifest» designa el documento adjunto a la oferta como anexo que clasifica cada componente de software esencial como resultado de trabajo específico del cliente (§ 7.1) o como componente de plataforma (§ 7.2). Los detalles se regulan en el § 7.2, apartado 4.

«Control» designa una regla de verificación implementada técnicamente que garantiza el cumplimiento de un determinado estándar de conformidad o gobernanza (p. ej., «Ninguna decisión salarial sin el principio de cuatro ojos»).

«Decision Layer» designa la capa de gobernanza y control desarrollada por Gosign que descompone los procesos empresariales en decisiones individuales y determina para cada paso si decide un ser humano, se aplica un conjunto de reglas o la IA actúa de forma autónoma.

«Decision Record» designa la documentación automática e inmutable de una decisión individual dentro del Decision Layer, compuesta por datos de entrada, regla/versión del modelo aplicada, grado de confianza, ruta de decisión y resultado.

«Evidence» designa una prueba generada automáticamente de que un Control se cumplió en un momento determinado.

«Human-in-the-Loop» designa un principio arquitectónico según el cual determinadas decisiones requieren aprobación humana antes de su ejecución. La clasificación de las decisiones que requieren aprobación humana se determina conjuntamente con el cliente durante el proyecto.

«Maintenance» designa el contrato de mantenimiento anual opcional para componentes de plataforma, que comprende mantenimiento continuo, actualizaciones de seguridad y desarrollo evolutivo. Los detalles se regulan en el § 7.7.

«Perpetual License» designa el derecho de uso permanente del cliente sobre la versión respectiva entregada de los componentes de plataforma conforme al § 7.2, apartado 2. El derecho de uso subsiste con independencia de la existencia de un contrato de mantenimiento.

«Componentes de plataforma» (Plattform-Komponenten) designa el núcleo técnico reutilizable de las soluciones de Gosign, en particular la Decision Engine, el framework de motor de reglas, la arquitectura de Audit Trail y los módulos de orquestación. Los detalles se regulan en el § 7.2, apartado 1.

«Transferencia de código fuente» (Quellcode-Transfer) designa la cesión del derecho de uso exclusivo de los componentes de software desarrollados individualmente para el cliente, incluyendo código fuente, prompts, conjuntos de reglas (Rule Sets), configuraciones y documentación.

«Software Bill of Materials (SBOM)» designa la relación de todos los componentes de código abierto utilizados en la solución y sus licencias conforme al § 7.4.

«System of Record» designa el sistema maestro del cliente para datos maestros y transaccionales (p. ej., SAP, Workday, SuccessFactors, DATEV). Las soluciones de Gosign se integran con el System of Record, pero no lo sustituyen.

«Terceros autorizados» (Zulässige Dritte) designa los destinatarios enumerados de forma exhaustiva en el § 7.1, apartado 3, a los que el cliente puede transmitir resultados de trabajo y componentes de plataforma sin necesidad de consentimiento adicional de Gosign.

§ 3 Celebración del contrato

Oferta y pedido: La presentación de servicios por parte de Gosign no constituye, por regla general, una oferta contractual vinculante. El contrato se perfecciona mediante el encargo del cliente y la aceptación por parte de Gosign en un plazo de 14 días naturales.

El contrato se perfecciona únicamente cuando Gosign confirma el pedido en forma textual o inicia la ejecución.

Contrato marco y fases del proyecto: El contrato puede celebrarse como contrato marco con fases encargadas individualmente. Cada fase puede encargarse por separado, sin obligación de encargar fases posteriores.

Tipos de contrato por fase: Las fases de Discovery (análisis, consultoría, mapeo de procesos) se ejecutan como contratos de servicios (Dienstvertrag en derecho alemán); la obligación es la prestación del servicio de consultoría, no un resultado determinado. Las fases de Build (desarrollo, implementación, Proof of Concept) se ejecutan como contratos de obra (Werkvertrag) con recepción, salvo acuerdo en contrario. Las fases de Scale y Support se ejecutan como contratos de servicios; se aplican adicionalmente los SLA opcionales.

Los contratos pueden celebrarse por escrito, electrónicamente o en forma textual. Gosign conserva el texto del contrato y estas CGC.

§ 4 Servicios de Gosign

Gosign presta los servicios convenidos contractualmente de forma profesional y con la diligencia de un comerciante ordenado (Sorgfalt eines ordentlichen Kaufmanns). Gosign está autorizada a emplear personal cualificado, auxiliares o subcontratistas.

Lugar de prestación: Los servicios se prestan, como norma, de forma remota. Gosign despliega personal en diversas ubicaciones y garantiza el cumplimiento de los estándares de seguridad y protección de datos acordados con independencia de la ubicación. Las intervenciones presenciales se acuerdan por separado.

Coordinación del proyecto: Ambas partes designan personas de contacto. Gosign informa regularmente sobre el avance del proyecto.

Plazos: Los plazos solo son vinculantes cuando se hayan acordado expresamente como tales. Los retrasos no atribuibles a Gosign amplían los plazos de forma proporcional.

Solicitudes de cambio (Change Requests): Los cambios en el alcance de los servicios requieren un acuerdo escrito sobre costes adicionales y plazos.

Proof of Concept (PoC): Cuando se acuerde un PoC, se aplican los criterios de éxito definidos en la oferta. Un PoC sirve para validar la viabilidad técnica. Los resultados del trabajo del PoC se transfieren al cliente tras el pago íntegro, salvo acuerdo en contrario.

Entregas parciales: Gosign está autorizada a realizar entregas parciales razonables.

4.1 Recepción de la obra (Abnahme)

El cliente revisa las entregas de obra en un plazo de 14 días naturales y declara la recepción o comunica defectos. La falta de respuesta implica la recepción, siempre que se haya informado al cliente de esta consecuencia. Los defectos menores no autorizan al cliente a rechazar la recepción.

§ 5 Obligaciones de cooperación del cliente

El cliente proporciona de forma oportuna todos los documentos, información, datos y accesos necesarios.

El cliente designa una persona de contacto cualificada con capacidad de decisión.

Infraestructura técnica: Cuando los servicios se presten en los sistemas del cliente, este proporciona la infraestructura. Gosign informa sobre los requisitos del sistema.

Pruebas y recepciones: El cliente colabora activamente, documenta errores y no retrasa injustificadamente las aprobaciones.

Mantenimiento y copias de seguridad: El cliente instala de forma autónoma y oportuna las actualizaciones de seguridad, salvo que exista un contrato de mantenimiento con Gosign. Las copias de seguridad regulares son responsabilidad del cliente.

Legalidad: El cliente es responsable de la legalidad de todos los contenidos y datos proporcionados e indemniza a Gosign frente a reclamaciones de terceros.

Los retrasos y costes adicionales derivados del incumplimiento de las obligaciones de cooperación corren a cargo del cliente.

§ 6 Disposiciones especiales para infraestructura de IA y desarrollo de agentes

6.1 Alcance de los servicios

El alcance de los servicios se define en la oferta y puede comprender: integración y adaptación de modelos de IA, desarrollo de agentes de IA, implementación del Decision Layer, consultoría en infraestructura de IA, FinOps, conceptos de seguridad y cumplimiento, formación.

La oferta indica qué componentes de plataforma (§ 7.2) se utilizan e incluye un Component Manifest como anexo.

6.2 Arquitectura de tres niveles y responsabilidades

Las soluciones de IA desarrolladas por Gosign distinguen tres niveles de procesamiento con diferentes responsabilidades:

(a) Análisis (modelo de IA): El modelo lingüístico analiza datos y genera propuestas. Los modelos de IA producen resultados probabilísticos; Gosign es responsable de la integración y configuración adecuadas del modelo, no de la exactitud del contenido de cada resultado individual.

(b) Decisión (Decision Layer): El Decision Layer aplica conjuntos de reglas, umbrales y procesos de aprobación definidos a los resultados del análisis. Gosign es responsable de la correcta implementación de la lógica de decisión acordada. Los errores en la implementación de reglas son defectos de software sujetos a garantía.

(c) Ejecución (integración/herramienta): Los resultados se transmiten a los sistemas objetivo del cliente (p. ej., SAP, DATEV, Workday). Gosign es responsable de la correcta integración técnica. Los errores en el sistema objetivo del cliente son responsabilidad de este.

6.3 Human-in-the-Loop

Para las decisiones clasificadas como de alto riesgo (en particular, decisiones de personal, decisiones salariales, decisiones sujetas a codecisión del comité de empresa), Human-in-the-Loop es el estándar salvo acuerdo expreso en contrario. La clasificación de las decisiones que requieren aprobación humana se determina conjuntamente y se configura en el Decision Layer. El cliente sigue siendo responsable de las decisiones profesionales finales.

6.4 Enfoque model-agnostic

Gosign utiliza modelos de IA de distintos proveedores (enfoque model-agnostic). La selección se realiza en consulta con el cliente. Gosign informa sobre los cambios de modelo previstos. En caso de que un proveedor suspenda su servicio, Gosign propondrá oportunamente un modelo alternativo equivalente. Gosign no se responsabiliza de la disponibilidad o suspensión de servicios de terceros.

6.5 Bias Monitoring

En la medida en que se acuerde, Gosign implementa mecanismos para la detección y documentación de sesgos sistemáticos (Bias Monitoring). La verificación continua durante la operación corresponde al cliente, salvo que exista un contrato de mantenimiento.

6.6 Uso de datos para IA

El cliente sigue siendo propietario y responsable de todos los datos proporcionados a Gosign. Gosign los utiliza exclusivamente para la ejecución del contrato. El cliente garantiza que posee los derechos necesarios. Cuando se utilicen modelos o APIs de IA externos, esto se hará exclusivamente bajo condiciones que excluyan el uso de los datos del cliente para el entrenamiento de los modelos, salvo que el cliente haya autorizado expresamente lo contrario.

6.7 FinOps y costes dependientes del consumo

Los costes de terceros dependientes del consumo (tarifas de API, tiempo de cómputo de GPU) los asume el cliente, salvo acuerdo en contrario. Gosign informa previamente sobre la estructura de costes y proporciona informes de consumo transparentes.

6.8 Requisitos regulatorios

Gosign aborda los requisitos del Reglamento (UE) 2024/1689 (Ley de IA de la UE) como principios arquitectónicos técnicos (Readiness). La evaluación jurídica del cumplimiento para el contexto de despliegue concreto corresponde al cliente y sus asesores jurídicos. Gosign apoya al cliente en la implementación de requisitos regulatorios cuando así se encargue.

6.9 Indemnización

El uso de los sistemas de IA es responsabilidad exclusiva del cliente. El cliente indemniza a Gosign frente a reclamaciones de terceros derivadas del uso indebido o ilícito.

§ 7 Derechos de uso, propiedad intelectual y acceso al código fuente

7.1 Derechos de uso sobre resultados de trabajo específicos del cliente

El cliente recibe, tras el pago íntegro, un derecho de uso permanente, territorialmente ilimitado y no exclusivo sobre los siguientes resultados de trabajo específicos del cliente:

(a) Configuraciones específicas del cliente (conjuntos de reglas, Decision Tables, políticas, reglas de enrutamiento, modelos de datos específicos del cliente, tablas de decisión)

(b) Prompts y plantillas de prompts desarrollados para el cliente y designados como específicos del cliente en el Component Manifest

(c) Integraciones y adaptadores específicos del cliente conforme al Component Manifest (p. ej., conexiones SAP específicas del cliente, conectores de API, textos de interfaz de usuario)

(d) Documentación técnica de la solución específica del cliente

(e) Datos y configuraciones del cliente en todos los formatos

La asignación al § 7.1 o al § 7.2 resulta del Component Manifest conforme al § 7.2, apartado 4.

El derecho de uso incluye el derecho a modificar y desarrollar la solución para el propio negocio del cliente.

La transmisión a terceros o la sublicencia requiere el consentimiento previo por escrito de Gosign. No se requiere consentimiento para la transmisión a terceros autorizados. Los terceros autorizados son:

(i) Empresas vinculadas al cliente en el sentido de los §§ 15 y siguientes de la Ley alemana de Sociedades Anónimas (AktG) o conforme a legislación extranjera comparable sobre grupos de empresas (sociedades del grupo, filiales, unidades de servicios compartidos)

(ii) Proveedores de servicios informáticos y encargados del tratamiento del cliente, sujetos a obligaciones de confidencialidad y limitación de finalidad

(iii) Auditores, auditoría interna y autoridades reguladoras en el marco de obligaciones legales o contractuales de auditoría

(iv) Sucesores legales del cliente en caso de reestructuración, fusión o cesión de activos, siempre que la transmisión se realice en el marco de una transferencia del negocio en el que se utiliza la solución y el sucesor legal asuma las obligaciones del § 7; queda excluida la transmisión a competidores directos de Gosign

El cliente garantiza que los terceros autorizados cumplen obligaciones de protección y confidencialidad al menos equivalentes.

El § 7.1 prevalece sobre la disposición general de cesión del § 19 en lo que respecta a la transmisión a terceros autorizados o sucesores legales.

El cliente tiene, a más tardar desde el despliegue de la solución en su infraestructura, o en caso contrario a más tardar con la recepción o el pago íntegro, acceso completo al código fuente de todos los componentes operados en su entorno - incluidos los componentes de plataforma conforme al § 7.2. Acceso significa código fuente legible, no deliberadamente ofuscado, en un repositorio gestionado en el entorno del cliente o como exportación de código (al menos tras cada lanzamiento productivo y, previa solicitud, en un plazo de 10 días hábiles), incluyendo instrucciones de compilación (build) y registro de dependencias (Dependency Lockfiles). Las exportaciones de código adicionales fuera de los lanzamientos regulares se proporcionan de forma gratuita hasta dos veces por trimestre; las exportaciones que excedan este número se facturan por tiempo empleado.

7.2 Componentes de plataforma de Gosign

Gosign utiliza en el desarrollo sus propios componentes de plataforma. Los componentes de plataforma son el núcleo técnico reutilizable, en particular la Decision Engine, el framework de motor de reglas, la arquitectura de Audit Trail y los módulos de orquestación (en adelante, «componentes de plataforma»). La propiedad intelectual exclusiva y los derechos de uso sobre estos componentes de plataforma permanecen en Gosign.

El cliente recibe un derecho de uso permanente sobre la versión respectiva entregada de los componentes de plataforma (Perpetual License). Este derecho de uso es no exclusivo y comprende la operación, la configuración y la integración en los sistemas del cliente para su propio negocio. El derecho de uso subsiste con independencia de la existencia de un contrato de mantenimiento. Las reglas de transmisión del § 7.1 (incluidos los terceros autorizados y la obligación de transmisión de condiciones - flow-down) se aplican por analogía.

El cliente tiene, desde el despliegue (o con la recepción/pago conforme al § 7.1), acceso completo al código fuente de todos los componentes de plataforma operados en su infraestructura. Gosign proporciona documentación técnica completa, incluyendo instrucciones de compilación. El código fuente no se ofusca deliberadamente (sin obfuscation, sin dificultad deliberada de lectura). El cifrado del código fuente en reposo y en tránsito para la protección de la integridad no se ve afectado por esta disposición.

Los componentes de plataforma se identifican en la oferta mediante un Component Manifest. El Component Manifest enumera al menos todos los componentes de plataforma esenciales y asigna cada componente al § 7.1 (específico del cliente) o al § 7.2 (plataforma). El Component Manifest es determinante para la asignación. Las modificaciones del Component Manifest requieren forma textual y se acuerdan como adenda a la oferta o mediante Change Request. Los componentes no incluidos en el Manifest se consideran específicos del cliente en el sentido del § 7.1, salvo que sean componentes de código abierto o de terceros o que ya se utilicen como componentes de plataforma en otros proyectos de clientes; una aclaración mediante adenda sigue siendo posible.

El código fuente de los componentes de plataforma es información confidencial y secreto comercial de Gosign en el sentido del § 14. El cliente puede consultar el código fuente, utilizarlo para la finalidad contractual y transmitirlo a terceros autorizados conforme al § 7.1 con cumplimiento de la obligación de transmisión de condiciones. Cualquier uso, transmisión o explotación que exceda de lo anterior es inadmisible. El cliente protege el código fuente de los componentes de plataforma al menos con la misma diligencia que sus propios secretos comerciales.

El cliente no puede utilizar los componentes de plataforma, incluyendo el código fuente y el know-how obtenido de ellos, para el desarrollo, la comercialización o la prestación de un producto o servicio que compita con Gosign ni para la productización para terceros.

7.3 Source Code Escrow

A solicitud del cliente, Gosign deposita el código fuente completo de todos los componentes de plataforma, incluyendo instrucciones de compilación, Dependency Lockfiles y documentación de despliegue, ante un proveedor independiente de servicios de escrow. Los costes del depósito los asume el cliente, salvo acuerdo diferente en la oferta.

Gosign concede al cliente ya en el momento de la celebración del contrato, bajo condición suspensiva del respectivo evento de liberación, todos los derechos de uso sobre los componentes de plataforma, incluyendo el derecho a modificar, desarrollar y operar de forma autónoma. La condición suspensiva se cumple en los siguientes casos:

(a) Solicitud de insolvencia de Gosign (apertura o desestimación por insuficiencia de masa)

(b) Cese del soporte del producto: Gosign deja de proporcionar actualizaciones de seguridad para los componentes de plataforma utilizados en un plazo de 90 días naturales desde el conocimiento de una vulnerabilidad crítica, sin ofrecer dentro de dicho plazo una solución sucesora equivalente, o declara oficialmente el fin de vida (End-of-Life) del componente. Se entiende por vulnerabilidad crítica en el sentido de esta cláusula una brecha de seguridad clasificada como alta o crítica según estándares internacionalmente reconocidos (en particular, CVSS). Pueden acordarse criterios más detallados en el convenio de escrow. Una solución sucesora equivalente cubre al menos las funciones esenciales del componente sustituido y garantiza un nivel de seguridad comparable. Pueden acordarse requisitos más detallados en el convenio de escrow.

(c) Incumplimiento contractual esencial por parte de Gosign que no se subsane a pesar de un requerimiento por escrito con un plazo de 60 días naturales.

Los detalles técnicos del depósito, la actualización y la entrega se regulan en un convenio de escrow independiente entre Gosign, el cliente y el proveedor de servicios de escrow. Este comprende, en particular: alcance del depósito (repositorio, claves, cadena de compilación, documentación, dependencias), frecuencia de actualización, condiciones de liberación (Release Conditions), derecho de verificación del cliente y mecánica de entrega.

7.4 Componentes de código abierto

Gosign utiliza software de código abierto siempre que sea posible. Los derechos del cliente sobre componentes de código abierto se rigen por las condiciones de licencia correspondientes (p. ej., MIT, Apache, GPL). Gosign proporciona al cliente una relación de los componentes de código abierto utilizados y sus licencias (Software Bill of Materials). El cliente se compromete a cumplir estas condiciones de licencia. Cuando el código individual se base en componentes de código abierto y pueda, por tanto, quedar sujeto a sus condiciones de licencia, Gosign informará al cliente.

Gosign no utiliza componentes bajo licencias copyleft (en particular, GPL, AGPL), salvo que estén expresamente identificados en la oferta y hayan sido consentidos por el cliente.

7.5 Componentes reutilizables y aislamiento de mandantes

Gosign desarrolla los componentes de plataforma de forma continua y los utiliza en proyectos para diversos clientes. Las configuraciones específicas, los secretos comerciales y los datos de cada cliente no se incorporan a otros proyectos.

La arquitectura técnica garantiza, conforme al estado de la técnica, mediante el aislamiento de mandantes (Mandantenisolation), que los datos de los clientes permanecen estrictamente separados. Esto comprende, en particular, la separación a nivel de datos, logs, historiales de prompts, almacenamiento y claves específicas del mandante. Gosign documenta la arquitectura de aislamiento previa solicitud.

7.6 Derecho de uso restringido (alternativa para proyectos de software puros)

Cuando en la oferta no se utilicen componentes de plataforma ni se acuerde un Component Manifest (en particular, en proyectos de desarrollo de software puros sin uso del Decision Layer), el cliente recibe un derecho de uso permanente, territorialmente ilimitado y no exclusivo sobre los desarrollos individuales. El derecho de uso incluye el derecho a modificar y desarrollar la solución para el propio negocio del cliente. Las reglas de transmisión conforme al § 7.1, apartado 3 (incluidos los terceros autorizados y la obligación de transmisión de condiciones) se aplican por analogía.

7.7 Tasas de licencia y mantenimiento

Los resultados de trabajo específicos del cliente (§ 7.1) no generan tasas de licencia periódicas.

Para los componentes de plataforma de Gosign (§ 7.2) se aplica lo siguiente: el derecho de uso sobre la versión entregada (Perpetual License) está incluido en la remuneración acordada en la oferta. Solo se devengan tasas periódicas adicionales cuando estén expresamente indicadas en la oferta.

Para el mantenimiento continuo, las actualizaciones de seguridad y el desarrollo evolutivo de los componentes de plataforma puede acordarse un contrato de mantenimiento anual (Maintenance). El tipo, alcance, tiempos de respuesta y cuantía de las tasas de mantenimiento se indican de forma transparente en la oferta respectiva.

Si el cliente resuelve el contrato de mantenimiento, el derecho de uso sobre la última versión entregada subsiste íntegramente. El cliente no recibirá entonces más actualizaciones, parches de seguridad ni soporte técnico para los componentes de plataforma. Gosign recomienda en este caso la celebración de un convenio de Source Code Escrow conforme al § 7.3.

Sin acuerdo expreso en la oferta, no se devengan tasas periódicas.

7.8 Modificaciones del cliente en componentes de plataforma

El cliente tiene derecho a modificar los componentes de plataforma para su propio negocio. Gosign proporciona, en la medida de lo posible, puntos de extensión documentados (Extension Points) que permiten cambios sin intervención en el núcleo de la plataforma.

Si el cliente realiza cambios en los componentes de plataforma fuera de los Extension Points documentados, la garantía y el derecho a soporte para las partes afectadas quedan suspendidos hasta que (a) los cambios se reviertan o (b) Gosign realice un análisis remunerado y confirme la compatibilidad.

El cliente coopera razonablemente para que las actualizaciones de seguridad de Gosign puedan instalarse incluso en presencia de modificaciones del cliente. Si el cliente deniega la cooperación necesaria o si sus modificaciones bloquean la instalación de una actualización de seguridad, Gosign tiene derecho a suspender el soporte para los componentes afectados hasta que se resuelva el bloqueo. Existe un bloqueo cuando la actualización no puede instalarse con un esfuerzo razonable porque las modificaciones del cliente fuera de los Extension Points afectan a la compatibilidad.

Las obligaciones de seguridad del cliente conforme al § 9 no se ven afectadas por las modificaciones.

7.9 Contribuciones del cliente a componentes de plataforma

Cuando esté previsto en la oferta o en un acuerdo independiente, el cliente puede presentar correcciones de errores, propuestas de mejora o extensiones para los componentes de plataforma («contribuciones»).

El cliente concede a Gosign sobre dichas contribuciones un derecho de uso simple, no exclusivo, temporal y territorialmente ilimitado, en la medida en que las contribuciones se refieran a componentes de plataforma y no contengan secretos comerciales ni configuraciones específicas del cliente. Gosign puede incorporar estas contribuciones a los componentes de plataforma y ponerlas a disposición de todos los clientes.

Esta cláusula no establece ninguna obligación del cliente de presentar contribuciones.

7.10 Momento de la entrega

La entrega de los resultados de trabajo (incluyendo repositorio de código fuente, documentación, Component Manifest, configuraciones y Software Bill of Materials) se realiza a más tardar con la recepción de la última fase del proyecto y el pago íntegro. Gosign apoyará activamente la entrega y concederá al cliente acceso completo.

§ 8 Hosting y servicios operativos

La operación regular de las soluciones desarrolladas por Gosign se realiza en la infraestructura del cliente. El hosting por Gosign es un servicio adicional opcional. Cuando el cliente utilice hosting, se aplican las siguientes condiciones:

Managed Services en infraestructura del cliente: Cuando Gosign opere la solución en el entorno cloud del cliente, las disposiciones de hosting se aplican por analogía. La responsabilidad de la infraestructura base corresponde al cliente. Gosign es responsable de la capa de aplicación.

Centro de datos: El hosting se realiza en Alemania o la UE, salvo acuerdo en contrario. Las preferencias del cliente deben comunicarse en el momento de la celebración del contrato.

Disponibilidad: Sin SLA, no se garantiza una disponibilidad mínima. Gosign aspira a una alta disponibilidad.

Ventanas de mantenimiento: Mantenimiento planificado fuera del horario laboral con aviso previo.

Copias de seguridad: Copia de seguridad diaria con retención rotativa de 7 días, salvo acuerdo en contrario.

Transition y exit: Tras la finalización de los servicios de hosting, Gosign apoya al cliente durante hasta 90 días en la migración (Transition). La Transition se factura por tiempo y materiales. Todos los datos del cliente son completamente exportables en formatos estándar.

§ 9 Seguridad, mantenimiento y actualizaciones

Actualizaciones de seguridad obligatorias: Gosign puede instalar actualizaciones de seguridad sin consentimiento previo del cliente cuando la demora comprometa la seguridad. El cliente es informado con posterioridad.

Deber de tolerancia: El cliente no puede rechazar actualizaciones de seguridad. La seguridad e integridad del sistema tienen prioridad.

Rechazo: En caso de rechazo de una medida de seguridad, Gosign puede suspender los servicios. Se excluyen las reclamaciones del cliente por daños resultantes.

Actualizaciones opcionales: Las actualizaciones no relacionadas con la seguridad requieren acuerdo previo.

Pruebas de penetración: El cliente puede realizar auditorías de seguridad o pruebas de penetración con un preaviso mínimo de 14 días naturales, siempre que se garantice la confidencialidad. Los detalles pueden regularse en un SLA.

Respuesta a incidentes: En caso de un incidente de seguridad que afecte a la disponibilidad, integridad o confidencialidad de los datos o sistemas del cliente, Gosign informa al cliente sin demora indebida, a más tardar en 24 horas desde su conocimiento, y adopta medidas inmediatas de contención. La notificación inicial y las medidas inmediatas forman parte del servicio contractual. Los servicios adicionales (en particular, análisis forense, determinación de la causa raíz y elaboración de un informe de incidentes detallado) se facturan por tiempo y materiales, salvo que el incidente sea atribuible a Gosign. Cuando Gosign sea responsable del incidente, todas las medidas de análisis y subsanación se proporcionan al cliente sin coste.

§ 10 Remuneración y condiciones de pago

Los precios resultan de la oferta, más el IVA aplicable.

Facturación por tiempo y materiales o precio fijo según lo acordado.

Gastos accesorios y de viaje solo previa aprobación.

Plazo de pago: 14 días naturales, salvo acuerdo en contrario. Pueden acordarse plazos de pago individuales. Intereses de demora: 9 puntos porcentuales sobre el tipo de interés base (§ 288, apartado 2, BGB).

Pagos a cuenta en proyectos de mayor duración según el plan de hitos.

Compensación solo con contracréditos no disputados o legalmente establecidos.

§ 11 Responsabilidad

Ilimitada: Por dolo, negligencia grave, lesión de vida/cuerpo/salud, garantía, responsabilidad por producto.

Obligaciones cardinales (Kardinalpflichten): Por negligencia leve, limitada al daño típicamente previsible del contrato.

Límite máximo de responsabilidad: La responsabilidad de Gosign por daños derivados del incumplimiento de obligaciones cardinales se limita por incidente a la remuneración neta acordada en el contrato individual afectado. La responsabilidad total de Gosign en una relación contractual se limita al doble de la remuneración neta anual. Pueden acordarse límites máximos de responsabilidad diferentes en los contratos individuales.

Daños indirectos, consecuenciales y lucro cesante: Excluidos, salvo dolo, negligencia grave o incumplimiento de obligaciones cardinales.

Pérdida de datos: Responsabilidad solo por el coste de restauración a partir de las copias de seguridad adecuadas del cliente.

Resultados de IA: Sin responsabilidad por decisiones basadas en resultados de IA, siempre que Gosign no haya incumplido obligaciones cardinales (véase § 6.2).

Seguro: Gosign mantiene un seguro de responsabilidad civil profesional y empresarial conforme al mercado. Acreditación disponible previa solicitud.

Prescripción: Dos años; no aplicable en caso de dolo, negligencia grave o daños personales.

§ 12 Reclamaciones por defectos (garantía)

Plazo de garantía: 12 meses desde la recepción por defectos de calidad y de título (Sach- und Rechtsmängel).

Los defectos deben comunicarse sin demora en forma textual. Subsanación mediante reparación o sustitución.

Fracaso tras dos intentos: Reducción del precio o resolución del contrato.

Sin garantía por desviaciones insignificantes o perturbaciones causadas por el cliente.

Los errores en software de código abierto o de terceros no constituyen un defecto de los servicios de Gosign, siempre que estén correctamente integrados.

La garantía de los componentes de plataforma está sujeta a las restricciones del § 7.8 (modificaciones del cliente).

En relaciones contractuales de tracto sucesivo: Se aplican las disposiciones legales para contratos de servicios/arrendamiento.

§ 13 Protección de datos y tratamiento por encargo

Ambas partes cumplen el RGPD, la Ley Federal alemana de Protección de Datos (BDSG) y demás legislación de protección de datos aplicable.

Cuando el cliente trate datos sujetos a la LGPD brasileña u otras leyes internacionales de protección de datos, Gosign apoya en el cumplimiento.

Gosign actúa como encargado del tratamiento (Art. 28 RGPD). Las partes celebrarán un contrato de encargo de tratamiento de datos (Auftragsverarbeitungsvertrag, AVV).

Gosign acepta también contratos de tratamiento de datos proporcionados por el cliente, siempre que sean conformes con el RGPD.

Gosign implementa medidas técnicas y organizativas adecuadas (Art. 32 RGPD).

Subencargados con consentimiento general, siempre que estén contractualmente obligados a un nivel de protección de datos equivalente.

Data Residency: Previa solicitud, garantía contractual de que el tratamiento de datos se realiza exclusivamente en Alemania o un Estado miembro determinado de la UE/EEE. En caso de llamadas API de IA a terceros países, información previa y - cuando sea técnicamente viable - endpoints europeos.

En caso de violaciones de datos: Notificación inmediata y cooperación en las obligaciones de comunicación.

§ 14 Confidencialidad

Ambas partes tratan la información confidencial con estricta confidencialidad.

Excepciones: Públicamente conocida, previamente conocida, desarrollada independientemente, obligación legal.

Divulgación: Solo con criterio de necesidad de conocimiento (need-to-know), a empleados sujetos a obligaciones de confidencialidad.

Estándar de protección: Ambas partes protegen la información confidencial al menos con la misma diligencia que sus propios secretos comerciales, y en todo caso mediante medidas técnicas y organizativas adecuadas conforme al estado de la técnica.

Duración: 5 años tras la finalización del contrato. Para la información identificada como secreto comercial (en particular conforme al § 7.2, apartado 5), la obligación de confidencialidad se mantiene más allá de la duración del contrato.

Devolución y destrucción: A solicitud, a más tardar al finalizar el contrato.

Uso como referencia: Gosign solo podrá utilizar el nombre y logotipo del cliente como referencia con el consentimiento previo por escrito del cliente.

§ 15 Duración del contrato y resolución

15.1 Los contratos de proyecto finalizan con la recepción de la última entrega y el pago íntegro.

15.2 Relaciones contractuales de tracto sucesivo: Duración mínima de 12 meses. A partir de entonces, renovación automática por períodos de 12 meses, con posibilidad de resolución con un preaviso de 3 meses al final del período en curso.

15.2a Para los contratos de mantenimiento conforme al § 7.7 (Maintenance) se aplican las disposiciones para relaciones contractuales de tracto sucesivo del apartado 2 por analogía, salvo que en el contrato de mantenimiento se acuerden plazos y períodos de preaviso diferentes.

15.3 Resolución extraordinaria en caso de: (a) incumplimiento sustancial de obligaciones tras un plazo de subsanación de 30 días; (b) insolvencia; (c) rechazo persistente de actualizaciones (§ 9); (d) uso ilícito del sistema.

15.4 Consecuencias de la finalización: Devolución/eliminación de todos los datos del cliente. Transition conforme al § 8. Los derechos de uso adquiridos subsisten tras el pago íntegro.

§ 16 Cumplimiento, certificaciones y codecisión

16.1 Cert-Ready: Gosign diseña sus soluciones para cumplir los requisitos técnicos previos de las certificaciones estándar del sector (Cert-Ready by Design). Concretamente: los Controls están implementados como objetos de datos de primera clase en el sistema, la Evidence se genera automáticamente, el Audit Trail es completo y exportable, y se prevé el acceso a través de un Auditor Portal. La obtención de un certificado concreto no es un resultado contractual obligado y requiere un acuerdo separado entre cliente, auditor y Gosign.

16.2 Comité de empresa y codecisión (Mitbestimmung): Cuando las soluciones de IA se desplieguen en áreas sujetas a codecisión del comité de empresa (Betriebsrat) conforme al § 87, apartado 1, número 6, BetrVG (Ley alemana de Constitución de Empresas), Gosign apoya en la preparación de documentación y materiales informativos para el comité de empresa. En España, derechos de información y consulta comparables corresponden al comité de empresa conforme al Art. 64 del Estatuto de los Trabajadores (ET). La implicación formal del comité de empresa y la celebración de acuerdos de empresa (Betriebsvereinbarungen) son responsabilidad del cliente. La arquitectura del Decision Layer está diseñada para implementar los acuerdos de empresa como reglas configurables y técnicamente ejecutables.

16.3 Cumplimiento de sanciones: Gosign confirma que no mantiene relaciones comerciales con personas, entidades o estados sancionados.

16.4 Sostenibilidad: Gosign considera aspectos de eficiencia energética en la selección de infraestructura. Información disponible previa solicitud.

§ 17 Control de exportaciones

El cliente cumple las normas de exportación y sanciones. Gosign señala los componentes sujetos a control de exportación. La ejecución se supedita a la inexistencia de impedimentos legales.

§ 18 Fuerza mayor

Sin responsabilidad por incumplimiento debido a fuerza mayor (catástrofes naturales, guerra, pandemias, conflictos laborales, medidas gubernamentales, fallos de infraestructura a gran escala). Notificación inmediata. Los plazos se amplían proporcionalmente. Derecho de resolución tras 3 meses.

§ 19 Disposiciones finales

Derecho aplicable: Derecho alemán con exclusión de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías (CISG).

Jurisdicción: Hamburgo, Alemania (para comerciantes y personas jurídicas).

Idioma del contrato: Alemán. Las versiones en otros idiomas sirven a la cooperación internacional; en caso de duda, prevalece la versión alemana.

Versionado: Estas CGC llevan número de versión y fecha. La versión vigente está disponible en gosign.de/de/agb/.

Modificaciones en forma textual. Modificaciones de las CGC con 6 semanas de antelación; plazo de oposición de 4 semanas.

Cesión: Cesión solo con consentimiento por escrito. La transmisión a terceros autorizados y sucesores legales conforme al § 7.1, apartado 3, no se ve afectada por esta disposición.

Cláusula de salvaguardia. Prevalencia de los acuerdos individuales.