Seguridad y Cumplimiento

Última actualización: 15 de mayo de 2026

Compromiso con la seguridad

En VindicAI, la seguridad de tus datos jurídicos es nuestra prioridad absoluta. Sabemos que manejas información sensible de tus clientes, y por eso implementamos medidas de protección en cada capa de la plataforma: desde el cifrado de las comunicaciones hasta el almacenamiento seguro de archivos.

Medidas de seguridad implementadas

Cifrado en tránsito (TLS 1.2/1.3)

HTTPS

Todas las comunicaciones entre tu navegador y nuestros servidores están cifradas mediante TLS 1.2+ con certificados SSL válidos. Esto incluye:

  • Mensajes enviados al asistente IA
  • Archivos subidos y descargados
  • Credenciales de acceso y tokens de sesión
  • Comunicaciones con integraciones (CRM, JurisFind)

Cifrado en reposo (AES-256)

AES-256

Los datos almacenados en nuestros servidores están protegidos con cifrado AES-256:

  • Base de datos: conexiones cifradas con SSL, datos sensibles hasheados (bcrypt para contraseñas)
  • Almacenamiento de archivos: Amazon S3 con cifrado del lado del servidor (SSE-S3)
  • Documentos generados: cifrados en reposo y accesibles solo mediante URLs firmadas temporales (1h de vigencia)
  • Backups: cifrados y almacenados en ubicaciones geográficamente separadas

Autenticación y control de acceso

JWT + bcrypt

Mecanismos robustos para proteger el acceso a tu cuenta:

  • Contraseñas hasheadas con bcrypt (factor de coste 12), nunca almacenadas en texto plano
  • Tokens JWT firmados con secreto rotado, expiración automática a 30 días
  • Protección CSRF en todos los formularios
  • Verificación de email obligatoria para activar la cuenta
  • Separación de roles (usuario / administrador) con validación en servidor

Seguridad de archivos

S3 + Presigned

Los archivos que subes a VindicAI están protegidos en todo su ciclo de vida:

  • Subida directa a almacenamiento cloud mediante URLs presigned (el archivo no pasa por nuestro servidor de aplicaciones)
  • Archivos almacenados como privados por defecto — no son accesibles públicamente
  • Descarga mediante URLs firmadas con expiración temporal (1 hora)
  • Límite de tamaño: 50 MB por archivo
  • Aislamiento por usuario: cada usuario solo puede acceder a sus propios archivos
  • Documentos generados (Word/PDF) siguen el mismo estándar de seguridad

Privacidad de las conversaciones

Aislamiento

Tus conversaciones con la IA son confidenciales:

  • Cada conversación está vinculada exclusivamente a tu cuenta de usuario
  • Los mensajes no se utilizan para entrenar modelos de IA
  • Puedes eliminar cualquier conversación o proyecto en cualquier momento
  • Las integraciones (CRM, JurisFind) solo se activan si tú las configuras
  • El campo "Sobre mí" (memoria personal) se almacena cifrado y solo es accesible por tu cuenta

Infraestructura y red

SOC 2 / ISO 27001

Medidas de protección a nivel de infraestructura:

  • Alojamiento en centros de datos con certificaciones SOC 2 e ISO 27001
  • Protección DDoS y firewall de aplicaciones web (WAF)
  • Separación de entornos (desarrollo / producción)
  • Monitorización continua de la disponibilidad del servicio
  • Actualizaciones de seguridad aplicadas de forma regular

Flujo de datos seguro

Tu navegador

Interfaz cifrada TLS 1.2+

HTTPS / TLS 1.3

Servidor VindicAI

Procesamiento con acceso mínimo

AES-256 / SSL

Almacenamiento

Cifrado en reposo AES-256

URLs firmadas temporales

Marco normativo de cumplimiento

RGPD (UE) 2016/679

Reglamento General de Protección de Datos

LOPDGDD 3/2018

Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales

LSSI-CE 34/2002

Ley de Servicios de la Sociedad de la Información

RIA (UE) 2024/1689

Reglamento de Inteligencia Artificial — VindicAI como herramienta de apoyo (no alto riesgo)

Clasificación bajo el Reglamento de IA

Riesgo limitado / mínimo

VindicAI es una herramienta de apoyo al profesional jurídico, no un sistema autónomo de toma de decisiones. Conforme al art. 6 del Reglamento (UE) 2024/1689 de Inteligencia Artificial, nuestra herramienta se clasifica como de riesgo limitado, ya que:

  • No toma decisiones jurídicas autónomas
  • Requiere siempre la supervisión y validación del letrado
  • Informa al usuario de que interactúa con un sistema de IA
  • No realiza perfilado de personas físicas ni evaluación de riesgos

Gestión de incidentes

En caso de detectar una vulnerabilidad o incidente de seguridad, disponemos de un protocolo de respuesta conforme al art. 33 del RGPD, que incluye notificación a la autoridad de control en un máximo de 72 horas y comunicación a los usuarios afectados cuando sea necesario.

Para reportar cualquier incidencia de seguridad, contacta con [email protected].

Última revisión de seguridad: Mayo 2026