Seguridad y privacidad
Cómo protegemos la información de tu organización
Legal Map procesa expedientes judiciales y contratos que pueden contener información sensible. Documentamos aquí nuestra arquitectura técnica, subprocesadores, cumplimiento regulatorio y prácticas de desarrollo seguro.
Arquitectura técnica
- Base de datos y auth: Supabase (PostgreSQL) con Row Level Security (RLS) habilitado en todas las tablas con datos de usuario. Múltiples políticas RLS por operación (SELECT / INSERT / UPDATE / DELETE).
- Almacenamiento de documentos: Supabase Storage con buckets privados segmentados por cuenta. Signed URLs con TTL corto para acceso a documentos.
- Hosting de aplicación: Vercel. Preview Deployments automáticos por rama; producción protegida desde
main. - Pipeline IA: Edge Functions de Supabase (Deno) que invocan modelos Anthropic (Claude). Ninguna clave de API sale del backend.
- Cifrado: En reposo (AES-256) y en tránsito (TLS 1.3) en todos los componentes del stack.
- Residencia de datos: Los datos productivos de Legal Map se alojan en la región sa-east-1 (São Paulo, Brasil) de Supabase. Bajo la Ley 25.326 (artículo 12) y la disposición AAIP 60/2016, Brasil está reconocido como país con nivel adecuado de protección de datos personales. Si tu organización requiere residencia argentina obligatoria por sector regulado, contactanos para evaluar opciones.
Subprocesadores
Legal Map utiliza los siguientes subprocesadores. Cada uno recibe únicamente los datos estrictamente necesarios para cumplir su función.
| Subprocesador | Rol | Dato que ve |
|---|---|---|
| Supabase | Base de datos, auth y storage | Todos los datos productivos del usuario (expedientes, análisis, reclamos, contratos, sesiones). |
| Anthropic | Modelos de lenguaje IA (Claude) | Texto de los documentos del expediente durante el análisis. Sin retención para entrenamiento (cláusula contractual con Anthropic). |
| Vercel | Hosting de aplicación web | Logs de request (IP anonimizada, ruta, código HTTP). Sin acceso a contenido de expedientes. |
| GitHub | Hosting de repositorio de código fuente y CI/CD | Código de aplicación. Sin acceso a datos productivos del cliente. |
| Resend | Proveedor de email transaccional | Email del destinatario y cuerpo del email de notificación. Sin acceso a contenido de expedientes. |
| Mercado Pago | Pasarela de pago para clientes con CUIT argentino (factura A o B en ARS) | Datos de facturación y método de pago. Sin acceso a contenido de expedientes. |
Cumplimiento regulatorio
- Ley 25.326 (Protección de Datos Personales): Registro ante la AAIP previsto antes de H6 (lanzamiento público). Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) automatizados. Residencia de datos en Brasil bajo reconocimiento de nivel adecuado (disposición AAIP 60/2016).
- Marco contractual:Los T&C de Legal Map contemplan limitación de responsabilidad acorde al derecho comercial argentino. El cliente de Legal Map es persona jurídica con área legal interna — no consumidor final — por lo que el marco aplicable es el derecho comercial argentino y la responsabilidad civil profesional del abogado usuario, no la Ley 24.240 de Defensa del Consumidor.
- Expedientes públicos: El portal del PJN expone los expedientes sin requerir credenciales del abogado litigante. La descarga automatizada se apoya en esa publicidad (información pública).
- Confidencialidad profesional: El contenido de los expedientes de cada cuenta está aislado por Row Level Security. Ningún usuario accede a expedientes de otra cuenta. El pipeline IA no reutiliza contenido entre cuentas ni para entrenamiento de modelos.
Prácticas de desarrollo seguro
- Control de acceso: Autenticación MFA obligatoria para todos los usuarios. Row Level Security en todas las tablas con datos de usuario, con tests automatizados (pgTAP) que verifican aislamiento entre cuentas en cada migración.
- Secretos y credenciales: Ninguna clave de API (Anthropic, Resend, Mercado Pago) se expone al browser. Todas las llamadas a servicios externos ocurren en Edge Functions o Route Handlers server-side. Las credenciales se gestionan en Supabase Vault y variables de entorno cifradas en Vercel.
- CI/CD: Lint, typecheck, tests pgTAP y SAST en cada PR. Branch protection estricta en
main. Preview Deployments automáticos para revisión antes del merge. - Logs y observabilidad: Los logs de producción no contienen contenido de expedientes ni datos personales. Solo se loggean identificadores (expediente_id, cuenta_id) y metadatos (timestamps, códigos HTTP). Redacción automática de datos sensibles en Sentry.
- QA jurídico del pipeline IA: Revisión del output del pipeline por el Equipo Legal en cada hito relevante. A partir de H5 (beta cerrada con volumen productivo), auditoría muestral semanal del 5% mínimo del output del pipeline IA.
- Retención de datos: Los datos del expediente se retienen mientras la suscripción está activa, más 90 días tras la baja, más archivo cifrado por 2 años con opt-out a borrado inmediato. Política completa disponible en los Términos y Condiciones.
Para áreas de IT corporativas
Evaluación de proveedor SaaS
Si tu área de sistemas está evaluando Legal Map como proveedor, estos son los cuatro puntos que más consultan los equipos de IT y Compliance.
Datos en Brasil
Los datos productivos se alojan en sa-east-1 (São Paulo, Brasil), reconocido por la AAIP como país con nivel adecuado de protección (Disp. 60/2016). Sin transferencia permanente a EE.UU.
Cifrado extremo a extremo
AES-256 en reposo (base de datos, documentos PDF, backups) y TLS 1.3 en tránsito. Los documentos PDF solo son accesibles mediante Signed URLs con expiración corta.
Aislamiento por organización
Row Level Security (RLS) en todas las tablas: los datos de tu organización son inaccesibles para otros clientes de Legal Map, incluso ante bugs en la capa de aplicación. Tests de aislamiento automatizados en cada deploy.
Ley 25.326
Legal Map actúa como encargado del tratamiento bajo Ley 25.326. Derechos ARCO disponibles. DPA (Acuerdo de Procesamiento de Datos) disponible a solicitud.
Documentación disponible para áreas de IT:
Contacto
- Seguridad e IT: seguridad@legalmap.com.ar
- DPA y contratos: legal@legalmap.com.ar
- Derechos ARCO y privacidad: privacidad@legalmap.com.ar
Respondemos en menos de 48 horas hábiles.