Información legal
Política de seguridad
Resumen público de medidas de seguridad alineadas con la arquitectura TRACEA. Sin detalle operativo sensible.
- Versión
- 1.1.0
- Entrada en vigor
- 2026-06-22
- Actualización
- 2026-06-22
Control de acceso
Cada solicitud a la API está autenticada y autorizada por caso y rol (`AuthorizationService`, `PermissionGuard`).
Soporte técnico opera con acceso mínimo documentado: no puede leer conversaciones privadas ni descargar evidencias.
Roles
Los permisos efectivos dependen del rol en el expediente (USER, LAWYER, MEDIATOR, AUTHORIZED_ADULT, COURT_VIEWER/EXPERT).
Los abogados actúan como observadores profesionales: lectura y exportación, sin mutación de mensajes, gastos o evidencias (DECISION-011-A).
Trazabilidad y auditoría
Las consultas profesionales relevantes generan registros de auditoría con usuario, caso, recurso, acción, IP y marca temporal UTC.
Los eventos probatorios se registran de forma append-only en la cadena documental del expediente.
Integridad documental
Los hashes SHA-256 se calculan en servidor; el cliente no puede imponer un hash previo en la bóveda probatoria.
Los documentos probatorios se crean como inmutables; alterar contenido o hash registrado dispara incoherencias detectables.
Exportaciones y evidencias
Las exportaciones reutilizan el dataset legal unificado del expediente profesional; incluyen manifest y datos de verificación según el tipo de export.
Los archivos binarios se almacenan en el filesystem del despliegue bajo rutas controladas; el acceso directo sin autorización está bloqueado.
Limitaciones públicas
Este documento no describe topologías internas, credenciales, reglas de firewall ni procedimientos de respuesta a incidentes.
PENDIENTE DE POLÍTICA DEFINITIVA: programa formal de divulgación coordinada de vulnerabilidades y contacto de seguridad dedicado.