LEGALAUDIT

Confianza

Resumen de seguridad

Medidas técnicas y organizativas que protegen la infraestructura de LegalAudit y las pruebas de los clientes.

Cifrado

  • TLS 1.3 en tránsito, HSTS preload, solo suites de cifrado modernas.
  • AWS KMS SSE-KMS en reposo para dossiers de pago y pruebas subidas.
  • Prefijos S3 segregados por cliente; nunca una clave de bucket compartida.

Cadena de auditoría

  • Registro de auditoría WORM encadenado por hash SHA-256 para cada acción relevante.
  • Verificación automatizada en /api/ready; alertas de manipulación al equipo de guardia.
  • Los operadores admin firman las acciones mediante sesiones autenticadas.

Seguridad de la aplicación

  • Content-Security-Policy estricta con scripts con nonce, aplicada en producción.
  • Preescaneo con ClamAV de cada subida; los archivos comprimidos se extraen en un sandbox bwrap.
  • Protección SSRF en cada petición de URL saliente (DNS pinning, listas de IP permitidas).
  • Limitación de tasa del lado del servidor por tenant/usuario y por IP.

Identidad y acceso

  • MFA obligatorio para todo el personal con acceso a producción.
  • Control de acceso basado en roles, revisiones de acceso trimestrales.
  • Secretos almacenados en un gestor de secretos administrado; rotados ante incidentes.

Resiliencia

  • Copias de seguridad cifradas diarias de la base de datos, recuperación a un punto en el tiempo habilitada.
  • Cola respaldada por Redis con semántica de ack/visibilidad y cola de mensajes fallidos.
  • Sondas de salud y readiness para BD, Redis, S3, LLM y cadena de auditoría.

Pruebas

  • Test de penetración externo encargado para el Q4 2026 (informe a petición una vez emitido).
  • Escaneo continuo de dependencias y monitorización de reportes CSP.
  • Ejercicios internos de red-team centrados en inyección de prompts y exfiltración de datos.

Divulgación coordinada

Reporta vulnerabilidades a security@legalaudit.ch. Acusamos recibo en 24 horas y hacemos triaje en 72 horas. Huella de la clave PGP: clave PGP a petición — marcador de posición hasta la publicación del bloque oficial de la clave.

Documento informativo publicado por LegalAudit SA. Las declaraciones reflejan el estado actual de los controles y se revisan trimestralmente. No constituyen una garantía contractual salvo que se incorporen a un acuerdo firmado. Para condiciones vinculantes, solicita el DPA firmado en privacy@legalaudit.ch.

Trust Center