Nuestros Principios Operativos
La IA legal se sitúa en la intersección de tres exigentes regímenes de privacidad: el privilegio abogado-cliente, las reglas de responsabilidad profesional y la legislación moderna de protección de datos. Diseñamos cada parte de nuestra plataforma — el sitio público, la AI Suite, la Sovereign Suite y nuestros compromisos de consultoría — para honrar los tres. Publicamos lo que hacemos, certificamos lo que afirmamos y le comunicamos cuándo estamos trabajando hacia un objetivo en lugar de ya haberlo alcanzado.
Cómo Protegemos sus Datos
Cifrado
En tránsito: TLS 1.3 para todo el tráfico cliente/servidor.
En reposo: AES-256 para todos los datos almacenados, incluyendo historial de conversaciones, envíos y documentos cargados.
A nivel de campo: Los campos sensibles (tokens de autenticación, claves API) se cifran en la capa de aplicación más allá del cifrado de almacenamiento.
Residencia de Datos
El SaaS alojado de Lawra funciona en Google Cloud (Firebase) con capacidad multi-región para clientes que requieren residencia específica. Los despliegues de Sovereign Suite se ejecutan dentro de su infraestructura — su residencia, su perímetro.
Controles de Acceso
Acceso basado en roles con registro de auditoría en cada acción administrativa. Identidades gestionadas por el cliente compatibles. Sovereign Suite se integra con los sistemas SSO y barreras de información existentes del despacho.
Trazas de Auditoría
Cada prompt, cada resultado de IA, cada documento citado — registrado con usuario, asunto y marca de tiempo. Los procesos de descubrimiento, investigaciones del colegio de abogados e investigaciones internas no deberían requerir visibilidad retroactiva. Los registros se retienen según la política del cliente y son exportables bajo demanda.
Preservación del Privilegio
Aislamiento de datos por asunto: los documentos y conversaciones de un asunto nunca ingresan en prompts de otro. El trabajo protegido por privilegio se marca y segrega. Las divulgaciones de uso de IA son configurables por jurisdicción.
Respuesta a Incidentes
Procedimientos de respuesta a incidentes definidos con roles nominados, plantillas de comunicación y compromisos de notificación al cliente. Ejercicios de simulación trimestrales. Pruebas de penetración en ciclo anual con resúmenes disponibles bajo NDA.
Certificaciones y Cumplimiento
Dónde estamos hoy, hacia dónde vamos y un cronograma transparente. No reclamamos certificaciones que no poseemos.
| Estándar | Estado | Notas |
|---|---|---|
| SOC 2 Type II | 🟡 En progreso (objetivo Q4 2026) | Auditoría de controles internos en curso con una firma Big Four. Se espera informe Tipo I a mediados de 2026; Tipo II a continuación. |
| ISO 27001 | 🟡 Hoja de ruta (objetivo 2027) | Documentación del sistema de gestión de seguridad de la información en desarrollo. Fase de implementación planificada junto al SOC 2. |
| ISO 42001 | 🟡 Hoja de ruta (objetivo 2027) | Estándar de Sistema de Gestión de IA (AIMS). Lawra se encuentra entre los primeros en adoptar y rastrear esta certificación emergente. |
| GDPR | 🟢 Cumple | Acuerdos de procesamiento de datos disponibles. Los sujetos de datos de la UE pueden ejercer sus derechos a través de privacy@lawra.io. Se mantienen registros de procesamiento. |
| LGPD | 🟢 Cumple | Crítico para clientes brasileños y latinoamericanos en general. DPO designado. Flujo de trabajo de solicitudes de titulares de datos operativo. |
| HIPAA | 🟡 Disponible bajo solicitud (solo Sovereign Suite) | BAA disponible para clientes de salud que despliegan Sovereign Suite en entornos alineados con HIPAA. |
Proveedores de Modelos de IA — Nuestra Postura
La AI Suite alojada de Lawra usa Google Firebase AI (Gemini 2.5 Flash) para las herramientas públicas. Seleccionamos esta configuración específicamente porque los términos de Firebase AI de Google incluyen un compromiso contractual de que los datos del cliente no se utilizan para entrenar los modelos fundacionales de Google.
Para despliegues de Sovereign Suite, usted aporta sus propias claves API al proveedor de modelos de su confianza — Anthropic Claude (nivel empresarial con compromisos de no entrenamiento), OpenAI (empresarial con ZDR), Google Gemini, o modelos de peso abierto ejecutándose completamente dentro de su red (Llama, Mistral, Qwen, DeepSeek, Gemma) en su propia infraestructura GPU.
No vendemos, alquilamos ni reutilizamos ningún dato que pase por Lawra. No contamos con una canalización interna de entrenamiento de modelos que use datos de clientes. Todos los modelos utilizados son de terceros o de peso abierto, con términos contractuales específicos del proveedor disponibles para revisión bajo solicitud.
Preguntas, Solicitudes de Auditoría o Divulgaciones
Para cuestionarios de seguridad, solicitudes de auditoría, términos específicos del cliente o divulgaciones de vulnerabilidades, contáctenos en security@lawra.io. Los compromisos de Sovereign Suite incluyen revisión de seguridad como parte del alcance estándar. Respondemos a todos los cuestionarios de seguridad empresarial en un plazo de cinco días hábiles.
Comentarios
Cargando comentarios...