01 — COMPROMISO
Nuestro Compromiso con la Seguridad
En RivoLegal entendemos que gestionamos información altamente sensible: expedientes judiciales, datos de clientes, credenciales del Poder Judicial de la Nación y documentos legales. La seguridad de esa información no es una característica más del producto — es nuestra responsabilidad más importante.
Implementamos estándares de seguridad de nivel bancario en todos los niveles de nuestra infraestructura y procesos. Cada decisión de diseño y arquitectura se toma considerando primero la protección de tus datos.
Auditorías independientes: Realizamos evaluaciones de seguridad periódicas y pruebas de penetración con proveedores independientes para identificar y corregir vulnerabilidades antes de que puedan ser explotadas.
02 — INFRAESTRUCTURA
Infraestructura y Servidores
Toda la infraestructura de RivoLegal está diseñada con seguridad y disponibilidad como prioridades principales:
- Servidores en Argentina: Toda la información se almacena en centros de datos dentro del territorio nacional, cumpliendo con la Ley 25.326 y las disposiciones de la AAIP.
- Redundancia geográfica: Múltiples ubicaciones de servidor para garantizar disponibilidad continua ante fallas de hardware o conectividad.
- Aislamiento de red: Separación estricta entre los entornos de producción, desarrollo y pruebas.
- Firewall de aplicaciones web (WAF): Protección contra ataques comunes como SQL injection, XSS y DDoS.
- Monitoreo 24/7: Sistemas automatizados de detección de anomalías con alertas en tiempo real para nuestro equipo técnico.
03 — CIFRADO DE DATOS
Cifrado de Datos
Aplicamos cifrado robusto en todos los niveles de la plataforma, tanto para datos en tránsito como en reposo:
- En tránsito: TLS 1.3 para todas las comunicaciones entre tu dispositivo y nuestros servidores. No aceptamos conexiones sin cifrar.
- En reposo: AES-256 para todos los datos almacenados en base de datos, incluyendo expedientes, documentos y datos de usuario.
- Credenciales PJN: Cifrado adicional de clave asimétrica (RSA-2048) para las credenciales del Poder Judicial. Nunca son accesibles en texto plano, ni siquiera para nuestro equipo técnico.
- Contraseñas de usuario: Hashing con bcrypt y salt único por usuario. Las contraseñas son irreversibles: en caso de olvido, solo podés restablecerla, nunca recuperarla.
- Comunicaciones internas: Todo el tráfico entre los servicios internos de la plataforma también está cifrado.
04 — CONTROL DE ACCESO
Control de Acceso
Implementamos controles de acceso estrictos tanto para usuarios como para nuestro equipo interno:
- Autenticación de doble factor (2FA): Disponible y recomendada para todos los usuarios. Usamos TOTP (Google Authenticator, Authy) y SMS como segundo factor.
- Sesiones con expiración automática: Las sesiones inactivas se cierran automáticamente tras 8 horas. Las sesiones activas se invalidan al cambiar la contraseña.
- Control de roles y permisos: Los administradores del estudio pueden definir qué funcionalidades y expedientes puede ver cada usuario del equipo.
- Log de accesos completo: Registro inmutable de todos los inicios de sesión: IP, dispositivo, fecha, hora y resultado (exitoso o fallido).
- Bloqueo por intentos fallidos: La cuenta se bloquea temporalmente tras 5 intentos fallidos consecutivos, con notificación por email al titular.
- Principio de mínimo privilegio: Nuestro equipo interno solo accede a los datos estrictamente necesarios para resolver incidencias técnicas, bajo autorización y con registro de cada acceso.
05 — COPIAS DE SEGURIDAD
Copias de Seguridad
Contamos con un sistema robusto de copias de seguridad para garantizar la disponibilidad de tus datos ante cualquier eventualidad:
- Backups automáticos diarios: Se realizan todos los días a las 3:00 AM (hora de Argentina).
- Retención de 30 días: Conservamos las copias de seguridad de los últimos 30 días, permitiendo restaurar datos ante errores o pérdidas.
- Cifrado de los backups: Todas las copias de seguridad están cifradas con AES-256 y almacenadas en ubicaciones separadas.
- Pruebas de restauración: Realizamos pruebas periódicas de restauración para verificar la integridad de los backups.
- RTO y RPO: Tiempo de recuperación objetivo (RTO) de 4 horas y punto de recuperación objetivo (RPO) de 24 horas para incidentes mayores.
06 — GESTIÓN DE INCIDENTES
Gestión de Incidentes
Contamos con un protocolo documentado de respuesta ante incidentes de seguridad:
- Detección y clasificación: Identificamos y clasificamos el incidente según su severidad en los primeros 30 minutos de su detección.
- Contención: Aislamos los sistemas afectados para evitar la propagación del incidente.
- Notificación a usuarios: Informamos a los usuarios afectados dentro de las 72 horas de la detección, conforme a la normativa de la AAIP.
- Notificación regulatoria: Reportamos a la Agencia de Acceso a la Información Pública cuando corresponda por ley.
- Erradicación y recuperación: Eliminamos la causa del incidente y restauramos los sistemas a su estado seguro.
- Análisis post-incidente: Documentamos lo ocurrido, las causas y las medidas correctivas implementadas para evitar recurrencias.
¿Sospechás de una brecha de seguridad? Si notás actividad sospechosa en tu cuenta, cambiá tu contraseña inmediatamente y contactanos en ventas@rivolegal.com con el asunto "Incidente de seguridad".
07 — RECOMENDACIONES
Recomendaciones para el Usuario
La seguridad es una responsabilidad compartida. Tu colaboración es fundamental para proteger la información de tu estudio:
- Usá una contraseña única, larga y robusta para RivoLegal (mínimo 12 caracteres, combinando letras, números y símbolos)
- Activá la autenticación de doble factor (2FA) desde Configuración → Seguridad
- No compartas tus credenciales con terceros, ni con el equipo de soporte de RivoLegal (nunca te las pediremos)
- Cerrá sesión siempre que uses dispositivos compartidos o públicos
- Revisá periódicamente el log de accesos desde Configuración → Sesiones activas
- Actualizá tu navegador y sistema operativo para recibir parches de seguridad
- Reportá inmediatamente cualquier actividad sospechosa
Programa de divulgación responsable: Si encontrás una vulnerabilidad de seguridad en nuestra plataforma, te pedimos que la reportes responsablemente a ventas@rivolegal.com antes de divulgarla públicamente. Reconocemos y agradecemos las divulgaciones responsables.
08 — CUMPLIMIENTO NORMATIVO
Cumplimiento Normativo
RivoLegal está diseñado para cumplir con las normativas de seguridad y privacidad aplicables en Argentina y los estándares internacionales de la industria:
- Ley 25.326 — Protección de Datos Personales de la República Argentina
- Resolución 47/2018 AAIP — Disposiciones sobre medidas de seguridad para el tratamiento de datos personales
- OWASP Top 10 — Mejores prácticas de seguridad en aplicaciones web
- PCI-DSS — Estándar de seguridad para el procesamiento de pagos con tarjeta
Nos comprometemos a mantener y mejorar continuamente nuestras prácticas de seguridad a medida que evolucionan las amenazas y las normativas aplicables. Actualizamos esta política al menos una vez por año o ante cambios significativos en nuestras prácticas.
Para consultas específicas sobre seguridad o cumplimiento normativo, podés contactarnos en ventas@rivolegal.com.