Seguridad

En mIAbogado.ai, la seguridad de tu información legal es nuestra máxima prioridad. Diseñamos cada capa de nuestra plataforma con controles de seguridad robustos para proteger la confidencialidad, integridad y disponibilidad de tus datos. A continuación detallamos nuestras prácticas de seguridad.

• Cifrado en tránsito: toda la comunicación entre tu navegador y nuestros servidores está protegida con TLS 1.3, el estándar más reciente de la industria.
• Cifrado en reposo: los documentos, contratos y mensajes almacenados están protegidos con cifrado a nivel de campo con soporte para rotación periódica de claves.
• Aislamiento de datos por usuario: cada cuenta opera en un entorno completamente aislado mediante políticas de Row Level Security (RLS) a nivel de base de datos, garantizando que ningún usuario pueda acceder a datos de otro.

• Autenticación basada en JWT con verificación criptográfica, proporcionada por un proveedor de identidad de clase empresarial (Clerk).
• Autenticación multifactor (MFA) disponible para todas las cuentas, proporcionando una capa adicional de protección.
• Control de acceso basado en roles que asegura que cada usuario solo pueda acceder a los recursos y funcionalidades que le corresponden.
• Limitación de tasa (rate limiting) por IP y por usuario para prevenir ataques de fuerza bruta y abuso del servicio.

• Los proveedores de inteligencia artificial que utilizamos (Anthropic) no utilizan datos enviados a través de su API para entrenar modelos, según sus términos de servicio vigentes. Tu información no alimenta la mejora de modelos de terceros.
• Procesamiento transitorio: cuando envías una consulta o documento, el proveedor de IA lo procesa en tiempo real y devuelve el resultado. Los datos de entrada no se almacenan de forma permanente en los servidores del proveedor.
• Los prompts enviados a los modelos de IA no contienen datos de identificación de tu empresa ni información que permita vincular la consulta a un usuario específico.

• Nuestros proveedores de infraestructura (Vercel, Railway, Supabase) cuentan con certificación SOC 2 Tipo II, lo que garantiza que los centros de datos donde opera la plataforma cumplen con controles auditados de seguridad, disponibilidad y confidencialidad.
• Arquitectura cloud-native con redundancia automática, lo que asegura alta disponibilidad y recuperación rápida ante cualquier incidente.
• Separación estricta de entornos de desarrollo y producción. Los datos de clientes nunca se utilizan en entornos de prueba.
• Despliegues inmutables basados en contenedores, lo que elimina configuraciones manuales y reduce la superficie de ataque.

• Nuestros controles de seguridad están alineados con ISO 27001, el estándar internacional más exigente para la protección de datos empresariales.
• Cumplimos con las principales leyes de protección de datos de Latinoamérica, incluyendo la Ley 1581 de Colombia, la LFPDPPP de México y la Ley 19.628 de Chile.
• Adoptamos como referencia las mejores prácticas del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el estándar global más exigente en materia de privacidad.
• Empresa constituida en la República de Panamá, con un marco jurídico estable y favorable para operaciones internacionales de tecnología.

• Contamos con un plan documentado de respuesta a incidentes que define procedimientos claros para la detección, contención, erradicación y recuperación ante cualquier evento de seguridad.
• En caso de un incidente que afecte datos de usuarios, nos comprometemos a notificar a los usuarios afectados dentro de las 72 horas siguientes a la confirmación del incidente.
• Monitoreo continuo de la plataforma con herramientas especializadas (Sentry) que permiten detectar anomalías, errores y potenciales amenazas en tiempo real.
• Mantenemos registros de auditoría (logs) de todas las operaciones críticas para facilitar la investigación forense en caso de incidentes.

• Repositorio de código privado con control de acceso estricto y revisiones de código obligatorias antes de cada despliegue.
• Validación de entrada en todas las capas de la aplicación (frontend, API y base de datos) para prevenir inyecciones, XSS y otros vectores de ataque comunes.
• Cabeceras de seguridad HTTP configuradas según las mejores prácticas: Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, X-Content-Type-Options y Referrer-Policy.
• Revisión de seguridad integrada como parte del ciclo de desarrollo (SDLC), con análisis de dependencias y actualizaciones periódicas.