Cumplimiento y Seguridad
Cómo protegemos los datos de tu firma — diseñado con paranoia bancaria.
Marco normativo aplicable
Ley 172-13 RD
Cumplimiento total con la Ley sobre Protección de Datos Personales de República Dominicana.
GDPR-Ready
Diseñado para futura expansión a Europa: data export, right to be forgotten, DPO disponible.
Secreto Profesional
Reconocemos el privilegio cliente-abogado en toda la arquitectura.
Infraestructura de proveedores certificados
Solo trabajamos con proveedores con certificaciones internacionales:
| Google Cloud (Vertex AI) | SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, HIPAA |
| Supabase (PostgreSQL) | SOC 2 Type II, GDPR, HIPAA-compliant |
| Stripe (pagos) | PCI DSS Level 1, SOC 1, SOC 2 |
| Vercel (hosting) | SOC 2 Type II, GDPR, ISO 27001 |
| Resend (email) | SOC 2 Type II, GDPR |
Cifrado de extremo a extremo
En tránsito
TLS 1.3 en TODAS las conexiones. HSTS preload activo. Sin downgrade posible.
En reposo
AES-256 sobre PostgreSQL + Storage. Las claves rotan trimestralmente.
Aislamiento de datos por organización
Cada firma legal tiene aislamiento estricto vía Row Level Security (RLS) en PostgreSQL. Esto significa que aunque hubiera un bug en nuestro código de aplicación, la base de datos misma rechaza cualquier query que intente leer datos de otra organización. Es aislamiento en la capa más profunda del stack.
- RLS activo en TODAS las tablas con datos de cliente.
- Cada query incluye automáticamente WHERE organization_id = TU_ORG.
- Los administradores internos solo acceden con auditoría forense de cada acción.
- NO compartimos datos entre organizaciones, ni siquiera para análisis agregado.
Inteligencia Artificial — Contrato de no-entrenamiento
Tu IA NO va a tu competencia. Toda consulta se procesa en Google Vertex AI bajo el compromiso contractual de que tus datos NO se usan para entrenar modelos públicos. Esto está garantizado por el acuerdo enterprise de Google Cloud, no es una promesa nuestra solamente.
- Tus expedientes nunca alimentan ChatGPT, Claude, Gemini público, ni ningún modelo de terceros.
- Los prompts son ephemeral: se procesan y descartan, no quedan en logs externos.
- Vos decidís qué documentos cargás — nada se ingiere automáticamente.
Autenticación robusta
- 2FA obligatorio para administradores y disponible para todos los usuarios.
- Step-up authentication: el panel master pide código TOTP cada 5 minutos.
- Rate limiting anti brute-force en login + 2FA (5 intentos / 15 min).
- Cookies httpOnly + sameSite strict + secure (impide robo via XSS).
- Logs forenses de cada login, cambio de password, y acceso administrativo.
Disponibilidad y backups
- Objetivo de SLA: 99.5% uptime mensual.
- Backups automáticos diarios de la base de datos (retención 7 días).
- Circuit breakers automáticos: si Gemini falla, degrada a alternativa sin caer.
- Multi-región AI: Google Studio + Vertex como fallback automático.
- Status page público (próximamente): status.drvictorlegal.com
Tu derecho a tus datos
Tenés control completo sobre tu información:
- Exportá toda tu data en formato JSON estándar en cualquier momento.
- Borrá tu cuenta y todos tus datos en máximo 30 días desde la solicitud.
- Auditá quién accedió a tu información desde el panel de organización.
- Definí permisos granulares por miembro de tu firma.
Reportar una vulnerabilidad
Si descubriste un problema de seguridad en Dr. Víctor, escribinos a security@drvictorlegal.com. Practicamos responsible disclosure:
- Confirmamos recibo en menos de 24 horas hábiles.
- Te mantenemos informado del progreso del fix.
- Reconocemos públicamente a investigadores de seguridad (con tu permiso).
- Para vulnerabilidades críticas validadas: bug bounty discrecional.
Documentación adicional
Para clientes Enterprise o Compliance Officers:
- DPA (Data Processing Agreement) — disponible bajo NDA.
- Reportes de penetration testing — disponible bajo NDA.
- SOC 2 readiness assessment — Q3 2026.
- ISO 27001 certification — roadmap 2027.
Solicitalos a enterprise@drvictorlegal.com.