VindicAI

Dossier Comercial

Asistente Legal con Inteligencia Artificial

Documento completo de funcionalidades, arquitectura de seguridad y cumplimiento normativo de la plataforma VindicAI.

Desarrollado por

Vindica Legal Suite

Parte I

Funcionalidades de la Plataforma

1.Chat legal con IA

Motor de conversación con inteligencia artificial especializado en Derecho español. Respuestas fundamentadas en legislación vigente con citas específicas a artículos.

  • Streaming en tiempo real: Respuestas progresivas sin espera.
  • Contexto jurídico: System prompt especializado con conocimiento de todas las ramas del Derecho español.
  • Citas legislativas: Referencias a artículos concretos de leyes y reglamentos vigentes.
  • Tono profesional: Respuestas con estilo de letrado senior, sin lenguaje robótico.
  • Markdown enriquecido: Respuestas formateadas con encabezados, listas, tablas y citas.
  • Archivos adjuntos: Análisis de PDF, Word, imágenes y otros documentos directamente en el chat.

2.Modelos de agente especializados

Tres niveles de agente seleccionables según la complejidad de la consulta y el consumo de créditos.

AgenteModelo IATokens máx.CréditosUso recomendado
VindicAI BecarioGemini 2.0 Flash2.000×0.5Consultas rápidas y sencillas
VindicAI SeniorClaude Sonnet 44.000×1Análisis riguroso, equilibrado
VindicAI InvestigadorClaude Opus 48.000×3Máxima profundidad, casos complejos

3.Generación de documentos legales

Generación automática de documentos profesionales directamente desde el chat, listos para descargar.

  • Word (.docx): Documentos con formato legal profesional (fuente Georgia, márgenes A4).
  • PDF: Documentos finales generados vía API de renderizado con estilo corporativo.
  • Previsualización: Panel lateral para previsualizar PDFs sin salir del chat.
  • Descarga segura: URLs firmadas temporales con expiración de 1 hora.
  • Tipos: Demandas, contratos, recursos, escritos procesales, hojas de encargo, comunicaciones.

4.Sistema de proyectos

Organización del trabajo jurídico por expedientes o asuntos, con chats y archivos vinculados.

  • Estructura: Hasta 10 proyectos, cada uno con múltiples chats y archivos asociados.
  • Contexto: Los archivos del proyecto están disponibles para el análisis en cualquier chat del proyecto.
  • Gestión completa: CRUD de proyectos con nombre, descripción, contadores de actividad.
  • Chats rápidos: Consultas independientes sin necesidad de crear un proyecto.

5.Gestión de archivos

Almacenamiento seguro en la nube con subida directa y análisis por IA.

  • Subida directa: Presigned URLs — el archivo va directo a la nube sin pasar por el servidor.
  • Formatos: PDF, DOCX, imágenes (JPG, PNG), hojas de cálculo, texto plano.
  • Límite: 50 MB por archivo.
  • Análisis IA: La IA puede analizar el contenido de cualquier archivo adjunto.
  • Privacidad: Archivos privados por defecto, accesibles solo por el propietario.

6.Base de conocimiento (Skills)

Sistema de conocimiento personalizable que se inyecta en cada interacción con la IA.

  • Skills de texto: Reglas, plantillas, instrucciones específicas para la IA.
  • Skills de documento: Importación de .txt, .md, .csv, .doc con contenido formativo.
  • Inyección automática: Todas las skills se incluyen en el system prompt de cada chat.
  • Límites: 20 skills (gratuito) / 50 skills (pro/equipos), máx. 50.000 caracteres por skill.

7.Memoria personal («Sobre mí»)

Campo de texto libre donde el profesional almacena información sobre sí mismo, su despacho y su estilo.

  • Datos del letrado: Nombre, colegio, número de colegiado, especialidad.
  • Datos del despacho: Nombre, dirección, CIF, datos de contacto.
  • Estilo de redacción: Preferencias de tono, estructura, formato.
  • Plantillas: Encabezados, firmas, fórmulas habituales.
  • Prioridad máxima: Se inyecta ANTES que las skills en el prompt de la IA.

8.Integración con CRM (Protocolo MCP)

Conexión bidireccional con Vindica CRM mediante Model Context Protocol (JSON-RPC 2.0).

  • 36 herramientas MCP: Lectura y escritura de expedientes, clientes, plazos, documentos, eventos, etc.
  • Bucle agéntico: Hasta 8 rondas de herramientas por mensaje — la IA opera de forma autónoma.
  • Botón +: Búsqueda rápida de expedientes del CRM directamente desde el chat.
  • Configuración: El usuario conecta su propio CRM desde Ajustes con URL y token.

9.Búsqueda de jurisprudencia (JurisFind)

Búsqueda automática de sentencias relevantes en cada interacción.

  • Automática: Cada mensaje del usuario dispara una búsqueda en JurisFind.
  • Resultados reales: Hasta 5 sentencias con tribunal, ROJ, fecha y resumen.
  • Anti-invención: Si no hay resultados reales, la IA nunca inventa referencias.
  • No bloqueante: Si el servicio falla, el chat continúa normalmente.

10.Panel de administración

Panel de control para el superadmin con gestión completa de usuarios y estadísticas.

  • Estadísticas: Usuarios totales, proyectos, chats, mensajes por plan.
  • Gestión de usuarios: Cambio de plan, activación/desactivación, asignación de roles.
  • Búsqueda: Filtrado por email, plan, estado.
  • Roles: usuario / admin con validación en servidor.

11.Sistema de créditos

Cada plan incluye una asignación mensual de créditos. Los créditos se consumen por interacción según el agente utilizado.

  • Cálculo: Base (1 crédito) + documento adjunto (1-4) + longitud respuesta (1-2) × multiplicador del agente.
  • Transparencia: Estimación mostrada al final de cada respuesta del asistente.
  • Control: El usuario elige el agente según su presupuesto de créditos.
PlanCréditos/mesAgentes disponiblesPrecio
Gratuito100Becario0€/mes
Profesional1.500Becario, Senior, Investigador49€/mes
Equipos5.000Todos + Admin99€/mes

💡 Packs de créditos extra: 200 (9€) · 500 (19€) · 1.500 (49€). Se suman al saldo y no caducan.

12.Aplicación instalable (PWA)

VindicAI es una Progressive Web App instalable en cualquier dispositivo.

  • Android: Instalación directa desde Chrome como app nativa.
  • iOS: Añadir a pantalla de inicio desde Safari.
  • Offline: Página de sin conexión con reintento automático.
  • Standalone: Se abre sin barra de navegador, experiencia de app nativa.

Parte II

Anexo de Seguridad y Cumplimiento Normativo

A1.Residencia de datos en la Unión Europea

Todos los datos de VindicAI se almacenan y procesan íntegramente dentro de la Unión Europea, garantizando el pleno cumplimiento del RGPD y eliminando cualquier transferencia internacional de datos.

Base de datos — Supabase (Fráncfort, Alemania)

  • Proveedor: Supabase — plataforma de base de datos PostgreSQL gestionada, con sede en la UE (región eu-central-1, Fráncfort, Alemania).
  • Certificaciones: Supabase cumple con SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018 y HIPAA. Auditorías independientes verifican la seguridad de sus centros de datos.
  • Cifrado: Datos cifrados en reposo con AES-256 y en tránsito con TLS 1.2/1.3. Las conexiones utilizan SSL obligatorio.
  • Aislamiento: Cada instancia de base de datos opera en un entorno dedicado con esquema propio (schema vindicai), impidiendo el acceso cruzado entre aplicaciones.
  • Backups: Copias de seguridad automáticas diarias con retención de 7 días. Point-in-Time Recovery (PITR) disponible para restauración granular.
  • Sin transferencias fuera de la UE: Los datos nunca salen del territorio de la Unión Europea. No se realizan transferencias a terceros países ni a organizaciones internacionales.

Almacenamiento de archivos — Cloud Storage (UE)

  • Ubicación: Almacenamiento de objetos en la región europea (eu-central-1), con cifrado del lado del servidor (AES-256).
  • Acceso: Buckets privados por defecto. El acceso a archivos requiere autenticación y se realiza mediante URLs pre-firmadas con expiración temporal de 1 hora.
  • Sin acceso público: Ningún archivo del usuario es accesible públicamente. Todo acceso requiere autenticación previa.

Procesamiento de IA

  • Modelos: Las consultas de IA se procesan a través de APIs de modelos de lenguaje (Claude de Anthropic, Gemini de Google) mediante proveedores que operan con contratos de procesamiento de datos conformes al RGPD.
  • No entrenamiento: Los mensajes y documentos de los usuarios NO se utilizan para entrenar, mejorar ni ajustar modelos de IA. Los datos se procesan en tiempo real y no se retienen en los servidores del proveedor de IA una vez completada la respuesta.
  • Datos mínimos: Solo se envía al modelo de IA el contexto estrictamente necesario: el mensaje del usuario, los archivos del proyecto y un historial limitado de la conversación.

A2.Arquitectura de seguridad

VindicAI utiliza una arquitectura de seguridad multicapa con defensa en profundidad, donde cada componente opera con controles de acceso estrictos y el principio de mínimo privilegio.

CapaTecnologíaDescripción
RedCloudflare CDN + WAFProtección DDoS, filtrado de tráfico malicioso, rate limiting y firewall de aplicaciones web.
TransporteTLS 1.2/1.3 + HTTPSTodo el tráfico cifrado obligatoriamente. Certificados SSL gestionados automáticamente con renovación continua.
AutenticaciónJWT + bcrypt (coste 12)Tokens firmados con secreto del servidor. Contraseñas hasheadas con bcrypt (factor de coste 12), algoritmo irreversible.
AutorizaciónRBAC + MiddlewareControl de acceso basado en roles (usuario/admin). Validación de sesión en cada endpoint API sin excepción.
Datos en reposo (BD)Supabase PostgreSQL + AES-256Base de datos cifrada en reposo con AES-256 en servidores europeos (Fráncfort). Conexiones SSL obligatorias.
Datos en reposo (archivos)Cloud Storage + AES-256Archivos cifrados del lado del servidor con AES-256. Buckets privados con acceso autenticado.
URLs temporalesPre-firmadas (1h)Acceso a archivos mediante URLs con firma criptográfica y expiración temporal.
Anti-CSRFTokens CSRFProtección contra falsificación de solicitudes en todos los formularios y acciones de escritura.
Cabeceras HTTPStrict-Transport-SecurityHSTS, X-Content-Type-Options, X-Frame-Options para prevenir ataques XSS y clickjacking.

A3.Autenticación y control de acceso

Autenticación de usuarios

  • Email y contraseña: Credenciales protegidas con hash bcrypt (factor de coste 12). Las contraseñas nunca se almacenan ni transmiten en texto plano.
  • Verificación de email obligatoria: Token criptográfico único enviado al registrarse. La cuenta permanece inactiva hasta que el usuario verifica su dirección de correo electrónico.
  • Tokens de sesión JWT: Tokens firmados con secreto del servidor, con expiración a 30 días. Incluyen únicamente el ID, rol y plan del usuario — nunca datos sensibles.
  • Protección CSRF: Tokens anti-falsificación generados y validados en cada formulario y acción de escritura.
  • Sin almacenamiento de credenciales en el navegador: Las credenciales no se almacenan en localStorage ni en cookies accesibles por JavaScript (httpOnly).

Control de acceso y aislamiento

  • Roles diferenciados: Sistema RBAC con roles usuario/admin, cada uno con permisos específicos validados en el servidor.
  • Aislamiento total de datos: Cada usuario accede exclusivamente a sus propios datos (proyectos, chats, archivos, skills). Las consultas a base de datos incluyen siempre el filtro userId.
  • Middleware de autenticación: Todas las rutas protegidas (/dashboard/*, /admin/*) verifican la sesión activa antes de servir cualquier contenido.
  • API protegida: Cada endpoint API verifica la sesión del servidor (getServerSession) y devuelve HTTP 401 si no existe sesión válida. No hay endpoints públicos de datos.
  • Principio de mínimo privilegio: Los usuarios regulares no pueden acceder a funciones administrativas. Los administradores no pueden acceder a datos de otros usuarios.

A4.Cifrado de datos

VindicAI aplica cifrado en todas las capas del sistema, tanto en tránsito como en reposo, garantizando la confidencialidad de la información en todo momento.

Datos en tránsito

  • HTTPS obligatorio: Todas las comunicaciones entre el navegador del usuario y los servidores de VindicAI se realizan exclusivamente a través de HTTPS con TLS 1.2/1.3.
  • Cobertura total: Incluye: mensajes del chat, archivos subidos y descargados, credenciales de acceso, comunicaciones con el CRM, consultas a JurisFind y respuestas de la IA.
  • Conexiones a base de datos: Las conexiones a Supabase PostgreSQL utilizan SSL obligatorio, impidiendo la interceptación de consultas y datos.
  • Certificados automáticos: Certificados SSL gestionados y renovados automáticamente. No se permiten conexiones sin cifrar.

Datos en reposo

  • Contraseñas: Hash bcrypt con factor de coste 12 — algoritmo unidireccional e irreversible. Ni siquiera los administradores pueden recuperar contraseñas.
  • Base de datos: Supabase cifra todos los datos almacenados con AES-256 en sus servidores europeos (Fráncfort, Alemania). Los backups también están cifrados.
  • Archivos del usuario: Cifrado del lado del servidor con AES-256 (Server-Side Encryption). Cada archivo se cifra automáticamente al almacenarse.
  • Documentos generados: Los documentos Word y PDF generados por la IA reciben el mismo estándar de cifrado AES-256 que los archivos subidos por el usuario.
  • Tokens y secretos: Los tokens de API (CRM, JurisFind) se almacenan cifrados en la base de datos y nunca se exponen al cliente.

A5.Ciclo de vida seguro del archivo

Cada archivo sigue un ciclo de vida controlado desde la subida hasta la eliminación, con medidas de seguridad en cada fase.

FaseMedida de seguridad
1. Solicitud de subidaAutenticación JWT obligatoria. Sin sesión válida → rechazo (HTTP 401). Se verifica que el usuario es propietario del proyecto.
2. URL pre-firmadaURL temporal (1 hora de vigencia) con firma criptográfica. Solo permite operación PUT a una ruta específica del usuario.
3. Subida directaEl archivo se envía directamente al almacenamiento cloud (sin pasar por el servidor de aplicación). Cifrado TLS en tránsito. Content-Type verificado.
4. AlmacenamientoCifrado AES-256 del lado del servidor. Bucket privado sin acceso público. Ubicación: Unión Europea (Fráncfort).
5. Registro en BDSolo se almacena la ruta del archivo (cloud_storage_path) en Supabase. El binario nunca se almacena en la base de datos.
6. Acceso/DescargaURL pre-firmada temporal (1 hora). Requiere autenticación. Se verifica que el solicitante es el propietario del archivo.
7. EliminaciónEliminación definitiva tanto del almacenamiento cloud como del registro en base de datos. Sin periodo de retención tras eliminación por el usuario.

A6.Privacidad de las conversaciones y datos personales

VindicAI está diseñado con el principio de «privacidad por diseño y por defecto» (art. 25 RGPD). La protección de datos no es una capa adicional, sino parte integral de la arquitectura.

Conversaciones

  • Aislamiento total: Cada conversación está vinculada exclusivamente a la cuenta del usuario. Ningún otro usuario, incluidos los administradores, puede acceder a su contenido.
  • No entrenamiento: Los mensajes y documentos NO se utilizan para entrenar, ajustar ni mejorar modelos de IA. Los datos se procesan en tiempo real y se descartan del proveedor de IA tras generar la respuesta.
  • Eliminación inmediata: El usuario puede eliminar cualquier conversación o proyecto en cualquier momento. La eliminación es definitiva e irreversible.
  • Integraciones opcionales: Las conexiones con CRM y JurisFind solo se activan si el usuario las configura expresamente desde Ajustes. Por defecto, están desactivadas.
  • Memoria personal privada: El campo «Sobre mí» es accesible únicamente por la cuenta del propietario. No se comparte ni se expone a terceros.

Datos personales tratados

  • Datos de registro: Nombre, dirección de correo electrónico y contraseña (hasheada). No se solicitan datos adicionales.
  • Datos funcionales: Proyectos, chats, mensajes, archivos subidos, skills y configuración de integraciones.
  • Datos que NO se recopilan: VindicAI NO recopila: datos de navegación fuera de la plataforma, datos de geolocalización, datos biométricos, perfiles de redes sociales, ni datos de terceros.
  • Datos de uso: Se registra únicamente información técnica básica (timestamps de acceso, contadores de mensajes) necesaria para la facturación y el soporte.

Derechos del interesado (ARSULIPO)

  • Acceso (Art. 15): El usuario puede consultar todos sus datos desde la plataforma en cualquier momento.
  • Rectificación (Art. 16): El usuario puede modificar su nombre, contraseña y configuración desde Ajustes.
  • Supresión (Art. 17): El usuario puede eliminar conversaciones, proyectos y archivos. Para la supresión total de la cuenta, contactar con el DPO.
  • Limitación (Art. 18): El usuario puede solicitar la limitación del tratamiento de sus datos contactando con el DPO.
  • Portabilidad (Art. 20): Los datos del usuario pueden exportarse en formato estructurado previa solicitud al DPO.
  • Oposición (Art. 21): El usuario puede oponerse al tratamiento de sus datos para fines específicos contactando con el DPO.

A7.Cumplimiento normativo

VindicAI ha sido diseñado para cumplir íntegramente con la normativa europea y española de protección de datos, servicios digitales e inteligencia artificial.

NormativaArtículo / ReferenciaImplementación en VindicAI
RGPD Art. 5Principios del tratamientoMinimización de datos, exactitud, limitación de la finalidad y de la conservación. Solo se recopilan los datos estrictamente necesarios.
RGPD Art. 6Licitud del tratamientoBases jurídicas: ejecución del contrato (prestación del servicio), consentimiento explícito (cookies no esenciales) e interés legítimo (seguridad).
RGPD Art. 13-14Información al interesadoPolítica de privacidad pública y accesible. Banner de cookies con consentimiento granular (esenciales / analíticas / marketing). Información clara sobre el responsable del tratamiento.
RGPD Art. 15-22Derechos ARSULIPOAcceso, rectificación, supresión, limitación, portabilidad, oposición — ejercitables por el usuario directamente o mediante solicitud al DPO.
RGPD Art. 25Privacidad por diseñoArquitectura diseñada desde cero con privacidad integrada: aislamiento de datos, cifrado por defecto, minimización de datos.
RGPD Art. 28Encargado del tratamientoContratos de procesamiento de datos (DPA) vigentes con todos los proveedores de infraestructura: Supabase, proveedor de almacenamiento cloud, proveedor de IA.
RGPD Art. 32Medidas de seguridadCifrado AES-256, seudonimización, control de acceso RBAC, backups cifrados, logs de acceso, revisión periódica de medidas.
RGPD Art. 33-34Notificación de brechasProtocolo de notificación a la AEPD en un máximo de 72 horas desde la detección. Comunicación a los afectados sin dilación indebida si existe alto riesgo.
RGPD Art. 44-49Transferencias internacionalesNO se realizan transferencias de datos fuera del EEE. Todos los datos residen en la UE (Fráncfort, Alemania).
LOPDGDDLO 3/2018Cumplimiento íntegro de las disposiciones nacionales complementarias al RGPD, incluidos los derechos digitales del Título X.
LSSI-CELey 34/2002Aviso legal completo con datos del prestador, política de cookies con consentimiento previo, información sobre comunicaciones comerciales.
RIA (UE) 2024/1689Reglamento de IAClasificación: sistema de riesgo limitado (herramienta de apoyo, no autónoma). Cumplimiento de obligaciones de transparencia (art. 52).

A8.Clasificación bajo el Reglamento de Inteligencia Artificial

VindicAI es una herramienta de apoyo al profesional jurídico, clasificada como sistema de IA de riesgo limitado conforme al artículo 6 del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial:

  • No toma decisiones jurídicas autónomas — toda respuesta requiere la validación del letrado antes de cualquier acción.
  • Requiere siempre la supervisión profesional del usuario, que es el único responsable de las decisiones jurídicas.
  • Informa de forma clara y visible al usuario de que interactúa con un sistema de inteligencia artificial.
  • No realiza perfilado de personas físicas, scoring crediticio ni evaluación de riesgos.
  • No genera contenido que pueda confundirse con comunicaciones humanas sin la correspondiente advertencia.
  • Los resultados de la IA se presentan como propuestas o análisis preliminares, nunca como asesoramiento jurídico definitivo.

A9.Gestión de incidentes y brechas de seguridad

VindicAI cuenta con un protocolo de gestión de incidentes de seguridad conforme a los artículos 33 y 34 del RGPD.

Protocolo de respuesta

  • Detección: Monitorización continua de logs, alertas automáticas ante accesos anómalos, intentos de intrusión o comportamiento irregular.
  • Contención: Aislamiento inmediato del componente afectado. Revocación de tokens y credenciales comprometidos.
  • Notificación AEPD: Comunicación a la Agencia Española de Protección de Datos en un máximo de 72 horas desde la detección de la brecha, conforme al art. 33 RGPD.
  • Comunicación al interesado: Notificación sin dilación indebida a los usuarios afectados cuando la brecha suponga un alto riesgo para sus derechos y libertades (art. 34 RGPD).
  • Análisis post-incidente: Investigación de la causa raíz, implementación de medidas correctivas y documentación del incidente en el registro de brechas.

Medidas preventivas

  • Actualizaciones de seguridad: Aplicación periódica de parches de seguridad en todas las dependencias y componentes de la infraestructura.
  • Revisión de accesos: Auditoría periódica de permisos, tokens y credenciales de acceso a servicios de terceros.
  • Registro de actividad: Logs de acceso y operaciones críticas para trazabilidad y auditoría forense.

A10.Política de retención y eliminación de datos

VindicAI aplica el principio de limitación de la conservación (art. 5.1.e RGPD), manteniendo los datos solo durante el tiempo estrictamente necesario.

Tipo de datoRetenciónEliminación
Cuenta de usuarioMientras la cuenta esté activaSupresión total previa solicitud al DPO. Incluye todos los datos asociados.
Conversaciones y mensajesMientras la cuenta esté activaEl usuario puede eliminar conversaciones individualmente en cualquier momento. Eliminación definitiva e inmediata.
Archivos subidosMientras estén en un proyecto activoEl usuario puede eliminarlos individualmente. Se borran del almacenamiento cloud y de la base de datos.
Documentos generadosURLs de descarga válidas 1 horaLos documentos generados por la IA se almacenan cifrados. El usuario puede solicitar su eliminación.
ContraseñaMientras la cuenta esté activaAlmacenada como hash irreversible (bcrypt). No recuperable.
Logs técnicos30 díasEliminación automática. Solo contienen datos técnicos (timestamps, códigos de error), sin contenido de conversaciones.
Backups de base de datos7 días (rotación automática)Backups cifrados gestionados por Supabase en la UE. Rotación automática sin intervención manual.

A11.Contacto y Delegado de Protección de Datos

Email: legal@enriquearroyoabogados.es

Web: vindica.es | chat.vindica.es

Para cualquier cuestión relacionada con la seguridad o el tratamiento de datos personales.

¿Listo para transformar tu despacho?

Descarga el dossier completo en PDF para compartir con tu equipo o regístrate y empieza a usar VindicAI hoy.

Crear cuenta gratuita