Empezar

Confianza y cumplimiento

Seguridad y protección de datos

La seguridad de sus documentos jurídicos y la protección de sus datos personales están en el centro del diseño de Avocachet. Aplicamos medidas técnicas y organizativas estrictas para garantizar la confidencialidad, la integridad y la disponibilidad de su información. Nuestro enfoque se basa en el principio de defensa en profundidad: cada capa de nuestra infraestructura, desde el alojamiento hasta el almacenamiento y la autenticación, está diseñada para resistir las amenazas actuales y anticipar los riesgos emergentes. Esta estrategia de seguridad multicapa se reevalúa continuamente a la luz de la evolución del panorama de ciberamenazas. Como plataforma dedicada a los profesionales del derecho, comprendemos la naturaleza sensible de los documentos que nos confía. Cada decisión arquitectónica se toma teniendo en cuenta los requisitos de confidencialidad propios del secreto profesional y las obligaciones deontológicas de los abogados. Mantenemos una vigilancia permanente sobre las evoluciones normativas y las mejores prácticas en materia de ciberseguridad para garantizar un nivel de protección adaptado a las exigencias de su profesión.

Alojamiento en Francia

Todos sus datos están alojados en la región Azure France Central (París) de Microsoft Azure. Esta elección garantiza que su información permanezca físicamente localizada en territorio francés, en centros de datos operados por Microsoft bajo jurisdicción europea. Las instalaciones de la región France Central se benefician de alimentación eléctrica redundante, climatización de precisión y sistemas contra incendios conformes a las normas más estrictas de la industria. Los centros de datos cuentan con las certificaciones ISO 27001 para la gestión de la seguridad de la información, ISO 27018 para la protección de datos personales en la nube y SOC 2 Tipo II para los controles de seguridad, disponibilidad y confidencialidad auditados de forma independiente. Estas certificaciones atestiguan que la infraestructura sobre la que se sustenta Avocachet es objeto de auditorías periódicas por organismos terceros acreditados, cubriendo la seguridad física, la gestión de accesos, la continuidad del negocio y la protección contra intrusiones.

Ningún dato se transfiere fuera de la Unión Europea. Los documentos, los metadatos y la información de la cuenta permanecen en suelo francés durante todo su ciclo de vida, en conformidad con las exigencias de soberanía digital reforzadas por la doctrina Cloud de confiance del Estado francés. Esta política de localización de datos se aplica también a las copias de seguridad y a las réplicas de alta disponibilidad, que se almacenan exclusivamente en regiones Azure situadas en Francia. No utilizamos ningún subcontratista técnico cuyos servidores estén ubicados fuera del Espacio Económico Europeo. Esta elección de alojamiento exclusivamente francés responde a las preocupaciones expresadas por el Conseil national des barreaux sobre el almacenamiento de datos cubiertos por el secreto profesional. Garantiza que las autoridades judiciales de un tercer país no puedan forzar el acceso a sus documentos en virtud de una legislación extraterritorial como el Cloud Act estadounidense.

Cifrado de datos

Todas las comunicaciones entre su navegador y nuestros servidores están cifradas mediante el protocolo TLS 1.3, con retrocompatibilidad TLS 1.2 para clientes más antiguos. Este protocolo asegura el cifrado de extremo a extremo de cada solicitud HTTP, impidiendo cualquier interceptación o modificación de los datos en tránsito. Nuestros certificados TLS son emitidos por una autoridad de certificación reconocida y se renuevan automáticamente antes de su vencimiento para garantizar una protección continua sin interrupción del servicio. Los documentos almacenados en Azure Blob Storage se cifran en reposo mediante el algoritmo AES-256, considerado la referencia mundial en cifrado simétrico. Este estándar es utilizado por gobiernos e instituciones financieras para proteger información clasificada. Las claves de cifrado son gestionadas por Azure Key Vault, un módulo de seguridad hardware certificado FIPS 140-2 Nivel 2, que garantiza que las claves nunca se exponen en texto claro.

Las contraseñas de los usuarios se procesan con el algoritmo bcrypt, que incorpora un factor de coste adaptativo que hace impracticables los ataques de fuerza bruta incluso con recursos de cálculo considerables. Ninguna contraseña se almacena jamás en texto claro ni como hash reversible. Los tokens de autenticación se firman con el algoritmo HMAC-SHA256 a través del estándar JWT (JSON Web Token), y las claves de firma se someten a rotación periódica planificada. Cada sesión tiene una duración limitada y se invalida automáticamente tras un período de inactividad configurable. En caso de intentos de conexión sospechosos, el sistema aplica un mecanismo de bloqueo progresivo que ralentiza los intentos consecutivos. El conjunto de estas medidas garantiza que el acceso a su cuenta permanezca protegido contra los vectores de ataque más comunes identificados por la OWASP, incluyendo el credential stuffing y el session hijacking.

Cumplimiento del RGPD

Avocachet cumple plenamente con el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679). De conformidad con el principio de minimización de datos enunciado en el artículo 5(1)(c), solo recopilamos los datos estrictamente necesarios para el funcionamiento del servicio: dirección de correo electrónico, nombre, documentos cargados y datos de facturación. No se recopilan datos superfluos, y no realizamos ningún perfilado ni toma de decisiones automatizada en el sentido del artículo 22 del RGPD. Los tratamientos de datos personales se basan en bases jurídicas claramente identificadas de conformidad con el artículo 6 del RGPD. El tratamiento principal se fundamenta en la ejecución del contrato para la prestación del servicio de gestión documental. El consentimiento explícito se recoge para las cookies analíticas a través de nuestro banner de consentimiento conforme a la Directiva ePrivacy. Los datos de facturación se conservan sobre la base de la obligación legal impuesta por el Código de Comercio francés.

De conformidad con los artículos 15 a 21 del RGPD, usted dispone del derecho de acceso a sus datos personales, del derecho de rectificación de la información inexacta, del derecho de supresión (derecho al olvido), del derecho a la limitación del tratamiento, del derecho de oposición y del derecho a la portabilidad de sus datos en un formato estructurado y legible por máquina. Estos derechos pueden ejercerse en cualquier momento ante nuestro delegado de protección de datos mediante simple envío de un correo electrónico, sin formalismo particular. Nos comprometemos a responder a toda solicitud en un plazo de 30 días de conformidad con el artículo 12(3) del RGPD. Si considera que el tratamiento de sus datos constituye una violación de sus derechos, puede presentar una reclamación ante la CNIL, la autoridad de control francesa competente en materia de protección de datos personales.

En caso de violación de datos personales, Avocachet se compromete a notificar a la autoridad de control competente (la CNIL) en un plazo de 72 horas de conformidad con el artículo 33 del RGPD. Si la violación pudiera generar un alto riesgo para sus derechos y libertades, será informado personalmente sin demora indebida de conformidad con el artículo 34. Mantenemos un registro de actividades de tratamiento conforme al artículo 30, documentando todas las operaciones realizadas sobre los datos personales, las categorías de datos afectados y las medidas de seguridad implementadas. Nuestro procedimiento interno de gestión de incidentes prevé un análisis de impacto sistemático, la identificación de las personas afectadas y la implementación de medidas correctivas inmediatas para limitar las consecuencias de cualquier violación detectada. Se realizan ejercicios de simulación de incidentes periódicamente para validar la eficacia de estos procedimientos de respuesta.

Acuerdo de tratamiento de datos (DPA)

Un acuerdo de tratamiento de datos (Data Processing Agreement) conforme al artículo 28 del RGPD está disponible a petición. Este documento contractual detalla los compromisos de Avocachet como encargado del tratamiento de sus datos personales, incluyendo las instrucciones de tratamiento, las medidas de seguridad técnicas y organizativas, las condiciones de recurso a subencargados y las modalidades de asistencia en caso de ejercicio de derechos por parte de los interesados. El DPA cubre el conjunto de operaciones de tratamiento realizadas por Avocachet por cuenta de sus clientes: almacenamiento de documentos, gestión de cuentas de usuario, envío de notificaciones por correo electrónico y tratamiento de datos de facturación. Incluye las cláusulas contractuales tipo de la Comisión Europea y garantiza un derecho de auditoría que permite al responsable del tratamiento verificar el cumplimiento de los compromisos asumidos. Para los despachos de abogados sujetos a obligaciones específicas de secreto profesional, pueden incorporarse cláusulas complementarias de confidencialidad reforzada al DPA previa solicitud.

Eliminación de datos

Puede eliminar su cuenta y todos sus datos en cualquier momento desde la configuración de su cuenta. La eliminación es definitiva e irreversible. Tras la confirmación, un proceso automatizado desencadena el borrado de todos sus datos personales, documentos cargados y metadatos asociados. Este proceso es conforme al derecho de supresión previsto en el artículo 17 del RGPD. El procedimiento de eliminación se registra y es objeto de verificación interna que garantiza el borrado completo en todos los sistemas de almacenamiento, incluidas las cachés y los índices de búsqueda.

Tras la eliminación, sus documentos e información personal se borran de nuestros servidores, incluidas las copias de seguridad, en un plazo máximo de 30 días. Los datos de facturación se conservan de acuerdo con las obligaciones legales contables previstas en el artículo L123-22 del Código de Comercio francés, durante un período de 10 años.

Control de acceso

El acceso a los datos de producción está restringido exclusivamente a los desarrolladores autorizados, mediante conexiones seguras autenticadas con autenticación multifactor (MFA). Cada acceso se registra con marca temporal, identificador del operador y naturaleza de la operación realizada. Estos registros de acceso se conservan durante 12 meses y son objeto de auditorías internas trimestrales para detectar cualquier actividad anormal o no autorizada. A nivel aplicativo, Avocachet implementa un modelo de control de acceso basado en roles (RBAC). A cada miembro de un equipo se le asigna un rol que determina con precisión las acciones permitidas sobre los documentos y la configuración del equipo. Los portales de documentos compartidos están protegidos por enlaces únicos no adivinables, y el acceso puede revocarse en cualquier momento por el administrador. Ningún dato de un equipo es accesible para los miembros de otro equipo, garantizando una compartimentación estricta de la información.

Contacto

Para cualquier pregunta sobre seguridad, protección de datos o ejercicio de sus derechos en materia de datos personales, puede contactar a nuestro delegado de protección de datos por correo electrónico. Nos comprometemos a acusar recibo de su solicitud en un plazo de 48 horas y a responder de forma completa en un plazo de 30 días conforme al RGPD. Si identifica una vulnerabilidad de seguridad o un comportamiento sospechoso en la plataforma, le invitamos igualmente a informarnos a través de la misma dirección. Cada informe es analizado por nuestro equipo técnico en las 24 horas siguientes a su recepción. La transparencia y la capacidad de respuesta son pilares de nuestro compromiso con los profesionales del derecho que utilizan Avocachet para gestionar sus documentos sensibles. También publicamos actualizaciones periódicas sobre nuestra política de seguridad para mantenerle informado de cualquier evolución significativa: