La seguridad de tus datos, nuestra prioridad
Todas las aplicaciones de Vindica Legal Suite comparten una arquitectura de seguridad multicapa diseñada para cumplir con el RGPD, la LOPD-GDD y los estándares más exigentes del sector jurídico.
Vindica utiliza una arquitectura multi-capa con aislamiento completo entre inquilinos (multi-tenancy seguro), donde cada despacho opera en un entorno lógicamente separado con controles de acceso estrictos.
Transporte
TLS 1.3 / HTTPS obligatorio
HSTS con max-age de 1 año. Todo el tráfico cifrado entre navegador y servidor.
Aplicación
Content Security Policy (CSP)
Cabeceras de seguridad estrictas: CSP, X-Content-Type, X-Frame-Options, Referrer-Policy, Permissions-Policy.
Autenticación
JWT + bcrypt + 2FA
Tokens firmados con secreto HMAC, contraseñas con hash bcrypt (coste 10+), verificación por doble factor.
Autorización
RBAC + Multi-tenancy
Roles (admin, usuario, secretaría) con aislamiento completo entre despachos. Cada usuario solo ve sus datos.
Datos en reposo
AES-256-GCM + PostgreSQL cifrado
Tokens sensibles cifrados con AES-256-GCM a nivel de aplicación. Base de datos con cifrado en reposo y conexiones TLS.
Almacenamiento
AWS S3 cifrado (SSE-S3)
Documentos en buckets privados con Server-Side Encryption. URLs temporales firmadas (1h). Durabilidad 99,999999999%.
Auditoría
Log completo con retención diferenciada
Todas las acciones registradas con IP, usuario, timestamp y categoría. Retención hasta 10 años para expedientes.
Anti-abuso
Rate limiting por IP
Protección contra fuerza bruta en login (10 req/5min), registro (5 req/10min) e intake (3 req/5min).
Datos en tránsito
Todas las comunicaciones se realizan exclusivamente a través de HTTPS con TLS 1.3. La cabecera HSTS está configurada con max-age=31536000 (1 año) e includeSubDomains.
Datos en reposo
- Contraseñas: hash bcrypt con factor de coste 10, no reversible.
- Tokens OAuth: cifrados con AES-256-GCM a nivel de aplicación.
- Documentos: AWS S3 con Server-Side Encryption (SSE-S3) AES-256.
- Base de datos: PostgreSQL con cifrado de disco gestionado por Supabase.
Todos los datos de clientes y expedientes se procesan y almacenan exclusivamente en centros de datos ubicados dentro de la Unión Europea.
| Componente | Proveedor | Ubicación | Certificaciones |
|---|---|---|---|
| Servidor de aplicación | Infraestructura cloud | Unión Europea | SOC 2 |
| Base de datos | Supabase (PostgreSQL) | EU (Frankfurt, eu-central-1) | SOC 2 Type II, ISO 27001, HIPAA |
| Almacenamiento | AWS S3 | EU (eu-west-1 / eu-central-1) | SOC 1/2/3, ISO 27001, PCI DSS |
| CDN / DNS | Cloudflare / Route 53 | Red global (datos EU) | SOC 2, ISO 27001 |
Supabase: Base de datos PostgreSQL gestionada en AWS eu-central-1 (Frankfurt). Cifrado AES-256 en reposo, TLS en tránsito, backups diarios automáticos, Point-in-Time Recovery (PITR), connection pooling (Supavisor) y penetration testing regular.
Vindica incorpora herramientas específicas para facilitar el cumplimiento normativo en todas sus aplicaciones:
| Normativa | Artículo | Implementación en Vindica |
|---|---|---|
| RGPD Art. 5 | Principios del tratamiento | Minimización, exactitud, limitación de conservación. |
| RGPD Art. 6 | Licitud del tratamiento | Base jurídica configurable por actividad (RAT). |
| RGPD Art. 13-14 | Información al interesado | Intake con cláusulas RGPD. Política de privacidad pública. |
| RGPD Art. 15-22 | Derechos ARSULIPO | Módulo completo: acceso, rectificación, supresión, limitación, portabilidad, oposición. |
| RGPD Art. 25 | Privacidad por diseño | Multi-tenancy, minimización, cifrado por defecto. |
| RGPD Art. 28 | Encargado de tratamiento | Registro de subencargados con contratos y garantías. |
| RGPD Art. 30 | RAT | Módulo completo con base jurídica, categorías, plazos, medidas. |
| RGPD Art. 32 | Medidas de seguridad | Cifrado, seudonimización, control acceso, auditoría, backup. |
| RGPD Art. 33-34 | Brechas | Gestión integral: detección, clasificación, notificación AEPD 72h. |
| RGPD Art. 35 | EIPD | Módulo de Evaluación de Impacto integrado. |
| LOPD-GDD | LO 3/2018 | Cumplimiento íntegro de disposiciones nacionales. |
| LSSI-CE | Ley 34/2002 | Política de cookies, consentimiento granular, banner. |
Cada entrada registra: usuario (email, ID), acción (CREATE, UPDATE, DELETE), entidad afectada, dirección IP, despacho, timestamp UTC. Snapshot del estado anterior en operaciones de modificación y eliminación.
| Categoría | Retención | Ejemplos |
|---|---|---|
| Técnico | 12 meses | Sesión, cierre, visualización de documentos |
| Expediente | 10 años | Creación, modificación, eliminación de expedientes, clientes, documentos |
| PBC | 10 años | Operaciones de prevención de blanqueo de capitales |
| RGPD | 3 años | Solicitudes ARSULIPO, brechas de seguridad, consentimientos |
| Subencargado | Servicio | Ubicación | Certificaciones | Garantías TI |
|---|---|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL | EU (Frankfurt) | SOC 2 Type II, ISO 27001, HIPAA | SCC + AES-256 + TLS |
| Amazon Web Services | Almacenamiento S3 | EU (eu-west-1 / eu-central-1) | SOC 1/2/3, ISO 27001/17/18, PCI DSS | DPF |
| Cloudflare Inc. | CDN, DDoS, DNS | Red global (datos EU) | SOC 2, ISO 27001 | SCC + DPF |
| Meta Platforms | WhatsApp Business | Cifrado E2E | Cifrado extremo a extremo | SCC + E2E |
| Abacus.AI Inc. | Servidor, IA/LLM | Unión Europea | SOC 2 | SCC |
Nota sobre jurisdicción: Supabase es empresa estadounidense (Delaware C-Corp). Vindica mitiga el riesgo CLOUD Act mediante cifrado adicional AES-256-GCM a nivel de aplicación, minimización de datos y cláusulas contractuales tipo (SCC).
| Certificación | Alcance | Proveedor |
|---|---|---|
| SOC 2 Type II | Seguridad, disponibilidad, confidencialidad | Supabase + AWS |
| ISO 27001 | SGSI | Supabase + AWS S3 |
| ISO 27017 | Seguridad servicios cloud | AWS S3 |
| ISO 27018 | Datos personales en cloud | AWS S3 |
| HIPAA | Protección información salud | Supabase (BAA) + AWS |
| PCI DSS Level 1 | Procesamiento de pagos | AWS + Stripe |
| ENS (nivel medio) | Esquema Nacional de Seguridad | Medidas técnicas propias |
- Backup de datos: Backups automáticos diarios gestionados por Supabase con Point-in-Time Recovery (PITR).
- Almacenamiento redundante: Documentos en AWS S3 con replicación y durabilidad del 99,999999999% (11 nueves).
- Recuperación: Soft delete con snapshot del estado anterior. Restauración sin pérdida de datos.
- Retención de logs: Registro de auditoría con retención diferenciada (hasta 10 años para expedientes).
- Alta disponibilidad: Sistema desplegable en múltiples dominios con actualización simultánea.
Para cualquier cuestión relacionada con la seguridad de Vindica Legal Suite o el ejercicio de derechos de protección de datos:
Delegado de Protección de Datos
El despacho que contrate Vindica podrá designar a su propio DPO dentro del sistema, con acceso específico a los módulos de cumplimiento normativo.