I Nostri Principi Operativi
L'AI legale si colloca all'intersezione di tre regimi di privacy particolarmente esigenti: il privilegio avvocato-cliente, le norme di responsabilità professionale e il moderno diritto della protezione dei dati. Progettiamo ogni parte della nostra piattaforma — il sito pubblico, l'AI Suite, Sovereign Suite e i nostri incarichi di consulenza — nel rispetto di tutti e tre. Pubblichiamo ciò che facciamo, certifichiamo ciò che affermiamo e ti diciamo quando stiamo lavorando verso un obiettivo piuttosto che averlo già raggiunto.
Come Proteggiamo i Tuoi Dati
Crittografia
In transito: TLS 1.3 per tutto il traffico client/server.
A riposo: AES-256 per tutti i dati memorizzati, inclusa la cronologia delle conversazioni, le comunicazioni e i documenti caricati.
A livello di campo: I campi sensibili (token di autenticazione, chiavi API) sono crittografati a livello applicativo oltre alla crittografia dello storage.
Residenza dei Dati
Il SaaS hosted di Lawra gira su Google Cloud (Firebase) con capacità multi-regione per i clienti che richiedono una residenza specifica. Le distribuzioni Sovereign Suite girano all'interno della tua infrastruttura — la tua residenza, il tuo perimetro.
Controlli degli Accessi
Accesso basato sui ruoli con audit logging su ogni azione amministrativa. Identità gestite dal cliente supportate. Sovereign Suite si integra con i sistemi SSO e le barriere informative esistenti del tuo studio.
Audit Trail
Ogni prompt, ogni output AI, ogni documento citato — registrato con utente, pratica, timestamp. Le discovery, le indagini dell'ordine forense e le indagini interne non dovrebbero richiedere un adattamento retroattivo della visibilità. I log sono conservati secondo la policy del cliente ed esportabili su richiesta.
Tutela del Privilegio
Isolamento dei dati per pratica: i documenti e le conversazioni di una pratica non entrano mai nei prompt di un'altra. Il prodotto del lavoro privilegiato è contrassegnato e segregato. Le dichiarazioni di utilizzo dell'AI sono configurabili per giurisdizione.
Risposta agli Incidenti
Procedure di risposta agli incidenti definite con ruoli nominati, modelli di comunicazione e impegni di notifica al cliente. Esercitazioni tabletop trimestrali. Test di penetrazione con cadenza annuale con riepiloghi disponibili sotto NDA.
Certificazioni e Conformità
Dove siamo oggi, dove stiamo andando e una timeline trasparente. Non rivendichiamo certificazioni che non possediamo.
| Standard | Stato | Note |
|---|---|---|
| SOC 2 Type II | 🟡 In corso (obiettivo Q4 2026) | Audit dei controlli interni in corso con una società Big Four. Rapporto Type I previsto per metà 2026; Type II a seguire. |
| ISO 27001 | 🟡 In roadmap (obiettivo 2027) | Documentazione del sistema di gestione della sicurezza delle informazioni in sviluppo. Fase di implementazione pianificata in parallelo con SOC 2. |
| ISO 42001 | 🟡 In roadmap (obiettivo 2027) | Standard AI Management System (AIMS). Lawra è tra i primi ad adottare questa certificazione emergente. |
| GDPR | 🟢 Conforme | Data Processing Agreement disponibili. I soggetti interessati UE possono esercitare i propri diritti tramite privacy@lawra.io. Registri del trattamento mantenuti. |
| LGPD | 🟢 Conforme | Fondamentale per i clienti brasiliani e dell'America Latina in senso più ampio. DPO designato. Flusso di gestione delle richieste degli interessati operativo. |
| HIPAA | 🟡 Disponibile su richiesta (solo Sovereign Suite) | BAA disponibile per i clienti sanitari che distribuiscono Sovereign Suite in ambienti allineati a HIPAA. |
Provider di Modelli AI — La Nostra Posizione
L'AI Suite hosted di Lawra utilizza Google Firebase AI (Gemini 2.5 Flash) per gli strumenti pubblici. Abbiamo scelto questa configurazione specificamente perché i termini di Firebase AI di Google includono un impegno contrattuale che i dati dei clienti non vengono utilizzati per addestrare i modelli fondazionali di Google.
Per le distribuzioni Sovereign Suite, porti le tue chiavi API al provider di modelli di cui ti fidi — Anthropic Claude (livello enterprise con impegni di no-training), OpenAI (enterprise con ZDR), Google Gemini, oppure modelli open-weight in esecuzione interamente all'interno della tua rete (Llama, Mistral, Qwen, DeepSeek, Gemma) sulla tua infrastruttura GPU.
Non vendiamo, affitiamo o riutilizziamo nessun dato che transita attraverso Lawra. Non disponiamo di una pipeline interna di addestramento dei modelli che utilizzi dati dei clienti. Ogni modello utilizzato è di terze parti o open-weight, con termini contrattuali specifici del provider disponibili su richiesta.
Domande, Richieste di Audit o Segnalazioni
Per questionari di sicurezza, richieste di audit, termini specifici per il cliente o segnalazioni di vulnerabilità, contatta security@lawra.io. Gli incarichi Sovereign Suite includono una revisione della sicurezza come parte dello scoping standard. Rispondiamo a tutti i questionari di sicurezza enterprise entro cinque giorni lavorativi.
Commenti
Caricamento commenti...