Seguridad
Sus expedientes, documentos y datos de clientes son confidenciales por naturaleza. OKLegal los protege con las mismas medidas que utilizan las instituciones financieras.
TLS 1.3
Cifrado en tránsito
AES-256
Cifrado en reposo
2FA
Autenticación multifactor
99.9%
Disponibilidad objetivo
Protección en capas
Toda comunicación entre su navegador y OKLegal está cifrada con TLS 1.3, el estándar más moderno de seguridad en transporte. Cabeceras HSTS forzadas para prevenir ataques de degradación de protocolo.
Los datos sensibles almacenados en la base de datos — incluyendo tokens de firma electrónica, documentos confidenciales y credenciales de integraciones — están cifrados con AES-256. Las copias de seguridad también se almacenan cifradas.
Proteja su cuenta con autenticación TOTP (compatible con Google Authenticator, Authy y cualquier app autenticadora estándar). Los administradores de despacho pueden exigir 2FA obligatorio para todos los miembros de su organización.
Cada usuario tiene un rol (Administrador, Abogado, Asistente, Socio) con permisos granulares. Los datos de un expediente solo son accesibles para los miembros del equipo asignados explícitamente. La separación de privilegios previene exposición accidental de datos entre asuntos.
Cada acción sensible — inicio de sesión, acceso a documentos, cambios de permisos, eventos de firma, modificaciones de expedientes — queda registrada con marca de tiempo, usuario, dirección IP y descripción del evento. El registro de auditoría es inmutable e incluye exportación CSV para cumplimiento.
OKLegal implementa un conjunto completo de cabeceras de seguridad: Content Security Policy (CSP) estricta, X-Frame-Options (anti-clickjacking), X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Verificado y calificado A+ en securityheaders.com.
Los formularios de registro, inicio de sesión y recuperación de contraseña están protegidos con Cloudflare Turnstile — la alternativa de privacidad a reCAPTCHA. Esto previene ataques de fuerza bruta y creación masiva de cuentas fraudulentas sin friccionar a usuarios legítimos.
Cada token de enlace de firma electrónica es único, de uso único y está cifrado individualmente en la base de datos. Un token utilizado o expirado no puede ser reutilizado. Los enlaces de firma expiran automáticamente y los eventos de apertura y firma quedan registrados en el expediente.
Cumplimiento normativo
OKLegal cumple con la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales. Usted es el Responsable del Tratamiento de los datos de sus clientes; OKLegal actúa como Encargado conforme a las instrucciones de su despacho.
Aunque OKLegal opera principalmente en América Latina, hemos adoptado los principios del Reglamento General de Protección de Datos de la UE como estándar base: minimización de datos, limitación de finalidad, transparencia y derechos del titular.
La integración con la Firma Digital de Costa Rica (Gaudi) cumple con la Ley de Certificados, Firmas Digitales y Documentos Electrónicos. Los documentos firmados mediante Firma Digital tienen plena validez jurídica equivalente a la firma manuscrita.
OKLegal fue diseñado teniendo en cuenta las obligaciones de confidencialidad del abogado. El acceso a los datos de cada expediente está estrictamente segmentado: ni siquiera el equipo de OKLegal puede acceder a los documentos de sus clientes sin su autorización explícita.
Infraestructura
OKLegal está alojado en proveedores de nube líderes con centros de datos con certificaciones SOC 2 Type II e ISO 27001. Los datos se almacenan en regiones con alta disponibilidad y redundancia geográfica.
La base de datos y los archivos almacenados se respaldan automáticamente. Las copias de seguridad se retienen por un mínimo de 30 días y pueden restaurarse con resolución de punto en el tiempo (point-in-time recovery). Los backups están cifrados y almacenados en ubicación geográfica separada.
La infraestructura de OKLegal está monitorada continuamente. Las alertas automatizadas detectan anomalías de rendimiento, intentos de acceso sospechosos y eventos de disponibilidad en tiempo real.
Cada despacho opera en un espacio de datos completamente aislado mediante identificadores de compañía en todas las consultas de base de datos. Es arquitectónicamente imposible que los datos de un despacho sean accedidos desde la cuenta de otro.
El equipo de OKLegal aplica parches de seguridad de dependencias críticas dentro de las 72 horas siguientes a la divulgación pública. Las actualizaciones de la plataforma se despliegan con estrategia zero-downtime para no interrumpir su trabajo.
Divulgacion responsable
Si usted es un investigador de seguridad y descubre una vulnerabilidad en OKLegal, le pedimos que nos la reporte de forma responsable antes de hacerla pública. Nos comprometemos a responder dentro de las 48 horas hábiles y a trabajar con usted para resolver el problema.
Reporte vulnerabilidades a: [email protected]. Incluya una descripción del problema, los pasos para reproducirlo y el impacto potencial. No divulgue el problema públicamente hasta que hayamos tenido la oportunidad de abordarlo.
OKLegal no inicia acciones legales contra investigadores que sigan un proceso de divulgación responsable de buena fe.
Todas estas protecciones están activas desde el primer día, en todos los planes, sin costo adicional.