Los datos de esta demo no se guardan en servidor. Plazos basados en RD 316/2026.Ver BOE
CopilotoExtranjería ES
Volver
Seguridad

Cómo protegemos los datos de tu despacho.

Lo importante no es que tengamos un sello de cumplimiento. Es que la arquitectura del producto haga muy difícil que las cosas salgan mal, y que nuestro modelo de negocio NO te ponga en una posición de conflicto con nosotros.

Cifrado en tránsito y en reposo

Todo el tráfico entre el navegador, los servidores de aplicación y la base de datos viaja cifrado vía TLS 1.3. Los datos en disco están cifrados en la infraestructura gestionada de Supabase (PostgreSQL con cifrado a nivel de bloque). Los documentos se almacenan en Supabase Storage privado con URLs firmadas y caducidad de 5 minutos.

Datos en la Unión Europea

Las funciones serverless corren en Vercel Frankfurt (fra1) y la base de datos vive en Supabase Irlanda (eu-west-1). Ningún dato del expediente sale de la UE. Cumple RGPD por diseño.

Multi-tenant con aislamiento estricto

Cada despacho tiene un workspace propio y todas las tablas tienen Row Level Security a nivel de PostgreSQL. Un abogado de un despacho NUNCA puede leer el expediente de otro despacho — incluso si la lógica de aplicación tuviera un bug, la base de datos lo bloquea. Auditable: las migraciones SQL están en el repo público.

No competimos por tu cliente final

Es nuestra promesa contractual. Copiloto Extranjería NO vende servicios directamente a inmigrantes. No tenemos abogados internos compitiendo con tu despacho. Tu base de clientes es tuya. El portal del cliente lleva la marca de TU despacho, no la nuestra.

Tus datos son portables

Si decides irte, exportamos todos tus expedientes, clientes, mensajes y documentos en JSON o CSV — sin lock-in. La invitación al cliente final puede revocarse en cualquier momento desde el panel.

IA verificable, no inventada

Cada cita legal que el modelo produce viene de un chunk indexado en nuestro corpus, marcado como Legislación, Jurisprudencia o Doctrina, con enlace al BOE o CENDOJ. Si el modelo no encuentra fuente, lo dice — preferimos un "sin contexto" a una cita falsa. Las sentencias del Tribunal Supremo se han curado leyendo el PDF original.

Detalles técnicos para los curiosos

Stack
Next.js 16 + React 19 sobre Vercel (fra1, Frankfurt). Supabase PostgreSQL 17 con extensión pgvector en eu-west-1 (Irlanda). Auth por magic link con cookies httpOnly. Rate limiting en endpoints públicos.
Embeddings y RAG
Voyage AI voyage-3.5 (1024 dims), recomendado por Anthropic. Cache LRU local de queries (5 min) + reintentos con backoff. Si Voyage falla por infra, el endpoint devuelve 503 explícito en vez de fingir éxito sin contexto.
Modelos LLM
Claude Haiku 4.5 para extracción de datos de documentos. Claude Sonnet 4.6 para redacción de escritos y recursos. Ambos con prompts que prohíben inventar normas o citas y obligan a usar el bloque de contexto recuperado.
Auditabilidad
El código del producto, las migraciones SQL y la curación manual de jurisprudencia son auditables — pídeme acceso al repositorio si lo necesitas para tu due diligence.
Subencargados de tratamiento
Vercel Inc. (hosting fra1), Supabase Inc. (DB eu-west-1), Anthropic PBC (LLM), Voyage AI (embeddings). Acuerdo de Procesamiento de Datos disponible bajo petición. Aviso: parte de estos servicios son estadounidenses con cláusulas tipo de la Comisión Europea (SCC); ningún dato del expediente del cliente final se les envía con identificadores personales — solo metadatos derivados sin PII para los embeddings.

¿Tienes una pregunta concreta?

Escríbeme directamente a hola@copiloto-extranjeria.es. Si necesitas un DPA firmado para tu despacho, lo gestionamos.