Información legal

Política de seguridad

Resumen público de medidas de seguridad alineadas con la arquitectura TRACEA. Sin detalle operativo sensible.

Versión
1.1.0
Entrada en vigor
2026-06-22
Actualización
2026-06-22

Control de acceso

Cada solicitud a la API está autenticada y autorizada por caso y rol (`AuthorizationService`, `PermissionGuard`).

Soporte técnico opera con acceso mínimo documentado: no puede leer conversaciones privadas ni descargar evidencias.

Roles

Los permisos efectivos dependen del rol en el expediente (USER, LAWYER, MEDIATOR, AUTHORIZED_ADULT, COURT_VIEWER/EXPERT).

Los abogados actúan como observadores profesionales: lectura y exportación, sin mutación de mensajes, gastos o evidencias (DECISION-011-A).

Trazabilidad y auditoría

Las consultas profesionales relevantes generan registros de auditoría con usuario, caso, recurso, acción, IP y marca temporal UTC.

Los eventos probatorios se registran de forma append-only en la cadena documental del expediente.

Integridad documental

Los hashes SHA-256 se calculan en servidor; el cliente no puede imponer un hash previo en la bóveda probatoria.

Los documentos probatorios se crean como inmutables; alterar contenido o hash registrado dispara incoherencias detectables.

Exportaciones y evidencias

Las exportaciones reutilizan el dataset legal unificado del expediente profesional; incluyen manifest y datos de verificación según el tipo de export.

Los archivos binarios se almacenan en el filesystem del despliegue bajo rutas controladas; el acceso directo sin autorización está bloqueado.

Limitaciones públicas

Este documento no describe topologías internas, credenciales, reglas de firewall ni procedimientos de respuesta a incidentes.

PENDIENTE DE POLÍTICA DEFINITIVA: programa formal de divulgación coordinada de vulnerabilidades y contacto de seguridad dedicado.