Cifrado AES-GCM-256 en reposo
Las filas de output en analysis_outputs se cifran con AES-256-GCM con aislamiento de claves por organización. Las claves nunca abandonan la capa de aplicación.
ENTERPRISE TRUST
Lo que un CISO, DPO o IT counsel necesita en 60 segundos. Sin cuestionarios de proveedor de ida y vuelta. Sin NDAs para lo básico.
Si eres el contraparte técnica o jurídica del despacho que evalúa Nexus, esta página es la fuente única de verdad. Los puntos siguientes bastan para arrancar la revisión de seguridad; los contratos subyacentes (DPA, SLA, security review a medida para Enterprise) se entregan a la firma.
TRUST SIGNALS
Las filas de output en analysis_outputs se cifran con AES-256-GCM con aislamiento de claves por organización. Las claves nunca abandonan la capa de aplicación.
Los documentos del cliente jamás se persisten en disco o en base de datos. Cada análisis se ejecuta en RAM y se destruye al cerrar la sesión. No existe función "borrar datos del cliente" porque no hay datos del cliente que borrar.
Nombres, DNIs/NIFs/IBANs, direcciones y emails se sustituyen por tokens opacos antes de cualquier llamada a un LLM externo. El modelo audita la estructura a ciegas; la identidad real nunca cruza la frontera.
Data Protection Impact Assessment completa publicada en diez secciones. Revisable por tu DPO antes incluso de pedir una demo.
Abrir la DPIA →Ricardo González Álvaro, Calle Zorzaleño 15, La Raya del Palancar, Madrid, España — quantumnexusventures@proton.me. Publicado en /privacy en todos los idiomas y registrado en la DPIA.
Ver en /privacy →Cada usuario declara su colegio profesional y número de colegiado (ICAB, CGAE, NY Bar, Law Society England & Wales, OAB, etc.) en ajustes de cuenta. Prueba de fecha en el log de consentimientos. Verificación API con los principales colegios en roadmap.
Cada análisis completado se sella con un hash SHA-256 del output final, timestamp ISO 8601 y firma HMAC con clave por organización. Cualquier alteración posterior rompe la verificación. Sin redes externas, sin terceros.
Callbacks de jobs asíncronos firmados HMAC-SHA256 en la cabecera X-Nexus-Signature. Calendario de reintentos replay-safe: 1m → 5m → 30m → 2h → 12h. Verificables con tu clave secreta.
Tracking de errores en producción vía Sentry (región UE). SLA: 99,5% Standard / 99,9% Enterprise. El incumplimiento dispara credit-back automático — sin abrir ticket.
Base de datos en Supabase eu-west-2. Aplicación en Railway europe-west4 (Países Bajos). Toda la residencia de datos vive en la UE. Sin replicación cross-region fuera de la UE.
Sub-encargados en la DPA →RGPD + LOPDGDD (España) + CCPA (California) + EU AI Act (casos de uso jurídicos de alto riesgo mapeados) + UAE PDPL. Hooks de compliance integrados en la plataforma, no añadidos a posteriori.
Aviso CCPA →Se aceptan reportes de seguridad en security@nexusquantum.legal. Nos comprometemos a acuse en 72h y calendario de remediación en 7 días. Preferimos coordinated disclosure.
security@nexusquantum.legalCada cita normativa de un output lleva el sello [L4-N]. La Bandeja de Evidencia expone un botón click-to-verify: verde (coincidencia literal), ámbar (el LLM parafraseó), rojo (cita no presente en el corpus), aviso (artículo modificado). Las citas se verifican contra el corpus de tu jurisdicción contratada; cada jurisdicción se activa bajo contrato Premium.
Abrir el brief de legislación →Equivalente a KeyCite / Shepard's para cada jurisdicción que cubrimos. Cada cita lleva un badge de validity: verde (vigente), ámbar (distinguida), rojo (superada), negro (norma derogada), gris (desconocido — confianza bajo el umbral). Add-on Premium, activación por contrato por jurisdicción (5 o 10 días laborables).
Abrir el brief de Citator →La infraestructura de Single Sign-On está construida y lista para Enterprise. Compatible con Okta, Azure AD, Google Workspace, OneLogin, Ping Identity y cualquier IdP SAML 2.0 estándar. El admin del despacho pega el XML de metadatos del IdP en la pestaña de configuración SSO; el equipo Nexus habilita SSO para el dominio corporativo; todos los usuarios del dominio ven el botón "Acceder con SSO". Aislado por dominio corporativo.
Visión general Enterprise →Los controles de los Trust Service Criteria (Seguridad, Disponibilidad, Confidencialidad) están live desde mayo 2026: vendor register, risk register, log de incidentes append-only, log de cambios. Periodo de observación formal previsto Q3-Q4 2026; informe esperado Q1 2027. Clientes Enterprise pueden solicitar la evidence packet bajo NDA hoy.
Política de seguridad →La autenticación multifactor está impuesta en el acceso administrativo en producción. Las acciones privilegiadas exigen un segundo factor.
La seguridad a nivel de fila impone un aislamiento estricto entre tenants; los datos de un despacho nunca son accesibles desde otro. Este aislamiento se ha verificado limpio en múltiples auditorías independientes.
Operamos un programa coordinado de divulgación de vulnerabilidades con un security.txt publicado (RFC 9116). Los investigadores pueden reportar hallazgos por un canal documentado; los reportes dentro de alcance se triagean y se acusan.
security@nexusquantum.legalUn tercero independiente ha realizado un test de penetración dinámico (DAST) contra la aplicación en producción. Los hallazgos fueron remediados; hay un resumen disponible bajo NDA.
Cada análisis que produce Nexus Legal queda sellado. Una firma HMAC-SHA256 con clave hace que cada informe sea a prueba de manipulación evidente, de modo que cualquier cambio posterior a la generación es detectable, y el sello puede re-verificarse bajo demanda por el sistema emisor. Cada output lleva además un registro de gobernanza que recoge los modelos utilizados, la versión exacta del motor de verificación que lo comprobó y la decisión de aprobar / revisar / bloquear, con marcas de IA visibles y legibles por máquina en cada exportación.
Revisada y actualizada conforme evoluciona la plataforma. Última revisión alineada con la DPIA pública.
DESPLIEGUE SOBERANO
La plataforma entera corre dentro de tu perímetro. Ningún prompt, consulta ni documento sale de tu red.
La misma plataforma · 63 jurisdicciones · 150M+ jurisprudencia · 20M+ legislación
El DPA pre-firmado, el SLA y el paquete de security review se entregan a la firma. Para Enterprise ejecutamos un security review a medida con tu equipo.