Trust & Security Center

Seguridad, privacidad y transparencia en Clamo
Fundada en2026
SectorLegal Tech / AI
SedePerú

Clamo es una plataforma de inteligencia artificial diseñada para el mundo legal. Procesamos y analizamos información jurídica con altos estándares de calidad, seguridad y confiabilidad.

Sabemos que para nuestros clientes la protección de sus datos es esencial. La seguridad es un pilar central en cómo diseñamos, construimos y operamos nuestros servicios. La confidencialidad, integridad y disponibilidad de la información no son solo requisitos técnicos, sino condiciones indispensables para que abogados, equipos legales y organizaciones confíen en nosotros.

Compliance

SOC 2 Type II

Próximamente

ISO 27001

Próximamente

GDPR

En progreso

Cifrado AES-256

Activo

TLS 1.2+

Activo

Tenant Isolation

Activo
Monitoreo continuo
28
Controles de seguridad
6
Proveedores verificados
100%
Cifrado en tránsito
≤72h
Respuesta a incidentes
Certificaciones y frameworks
S2

SOC 2 Type II

Auditoría independiente de controles de seguridad, disponibilidad y confidencialidad.
Próximamente
27

ISO 27001 v2022

Estándar internacional de gestión de seguridad de la información.
Próximamente
EU

GDPR

Regulación europea de protección de datos personales. Incluye procesamiento lícito, derechos de acceso y portabilidad.
En progreso
AI

ISO 42001 v2023

Estándar de gestión de inteligencia artificial. Gobernanza responsable de sistemas AI.
Próximamente
Responsabilidad compartida
ÁreaResponsableDetalle
Infraestructura físicaProveedoresAWS / Vercel / Neon gestionan hardware, datacenters y red física
API GatewayCompartidaKong provee gateway; nosotros configuramos plugins, rutas y políticas
Cifrado en tránsitoProveedoresTLS 1.2+ enforced por Vercel, Kong, Northflank, Neon
Cifrado en reposoProveedoresAES-256 en Neon y Northflank/AWS
Gestión de identidadCompartidaWorkOS provee infraestructura; nosotros definimos roles y permisos
Aislamiento por tenantClamoUna base de datos por organización en Neon
SecretsClamoEnv vars y secrets en Vercel y Northflank; rotación periódica
Seguridad de códigoClamoCode review, dependency scanning, no secrets en repos
IncidentesClamoNotificación a clientes afectados en ≤72h
Controles de seguridad
28 controles totales 5 categorías Monitoreo continuo

Seguridad de datos 6

Aislamiento de datos por tenant
Cada organización tiene su propia instancia de base de datos en Neon PostgreSQL. No existe acceso cruzado entre tenants a nivel de infraestructura.
Cifrado en reposo
Datos cifrados con AES-256 en Neon y en la infraestructura de AWS/Northflank.
Cifrado en tránsito
TLS 1.2+ enforced en todas las comunicaciones. No se permite tráfico sin cifrar.
Backups automáticos
Backups automatizados con retención configurable. Point-in-time recovery disponible vía Neon.
Clasificación de datos PII
Datos personales clasificados y tratados con controles adicionales de acceso y retención.
Gestión de secretos
Credenciales en secrets management (Vercel Env, Northflank Secrets). Ningún secreto en código fuente.

Seguridad de red 5

Kong API Gateway
Todo el tráfico pasa por Kong como punto único de entrada con validación JWT, rate limiting e inyección de headers.
Rate limiting
Límites por usuario y organización en Kong para prevenir abuso y fuerza bruta.
Network isolation
Servicios en VPC aisladas en Northflank/AWS con reglas de acceso estrictas entre entornos.
TLS enforced
TLS 1.2+ requerido en todos los endpoints. Certificados gestionados automáticamente.
Logging de acceso
Requests registrados con timestamp, IP, usuario y resultado. Logs inmutables retenidos 90+ días.

Seguridad de aplicación 4

Autenticación WorkOS
Autenticación enterprise con SSO (SAML, OIDC), MFA y Directory Sync.
RBAC
Permisos granulares por organización y recurso. Roles propagados vía headers de Kong.
JWT con expiración corta
Tokens de acceso con vida limitada. Refresh tokens rotados automáticamente.
Política de privacidad
Política pública detallando datos recopilados, uso y derechos de usuarios.

Seguridad de endpoints 4

Cifrado de disco
Todos los dispositivos del equipo con cifrado completo (FileVault / LUKS).
Auto-lock
Bloqueo automático de pantalla en máximo 5 minutos de inactividad.
Antimalware
Software antimalware activo en todos los endpoints con actualizaciones automáticas.
Compliance checks
Verificaciones periódicas de compliance en dispositivos corporativos.

Seguridad corporativa 9

Security awareness training
Capacitación obligatoria incluyendo phishing awareness y manejo seguro de datos.
Respuesta a incidentes
Protocolo documentado con notificación a clientes afectados en máximo 72 horas.
Evaluación de riesgos
Evaluaciones periódicas para identificar y mitigar amenazas a la plataforma.
Revisión de proveedores
Proceso formal de evaluación de seguridad para todos los proveedores que procesan datos.
Code review obligatorio
Todo cambio requiere revisión por al menos un miembro del equipo antes de producción.
Política de acceso mínimo
Principio de menor privilegio. Permisos revisados periódicamente.
Dependency scanning
Análisis automático de dependencias para detectar vulnerabilidades antes de cada despliegue.
Governance de datos
Políticas de retención, eliminación y portabilidad de datos de clientes.
Business continuity
Plan de continuidad documentado con procedimientos de recuperación ante eventos adversos.
Diagrama de alto nivel
Browser HTTPS/TLS Vercel Frontend API calls Kong Gateway JWT + Rate limit Header injection x-workos-* headers Backend Services WorkOS JWT tokens Neon PostgreSQL Tinybird Analytics
Decisiones de arquitectura

Aislamiento de datos por organización

Cada organización tiene su propia instancia de base de datos en Neon (Postgres). El aislamiento es a nivel de infraestructura, no solo filtro lógico en queries.

API Gateway centralizado (Kong)

Todo el tráfico backend pasa por Kong:

  • Validación de JWT antes de llegar al backend
  • Rate limiting por usuario/organización
  • Inyección de headers: x-workos-user-id, x-workos-org-id, x-workos-role, x-workos-permissions, x-request-id

Gestión de secretos

Credenciales inyectadas en runtime vía Vercel Environment Variables (frontend) y Northflank Secrets (backend). Ninguna credencial hardcodeada.

Autenticación y control de acceso

  • MFA para cuentas de administrador
  • SSO via SAML 2.0 / OIDC para clientes enterprise
  • JWT con expiración corta; refresh tokens rotados
  • Roles y permisos granulares por organización y recurso

Logging y auditoría

Eventos registrados con timestamp, usuario, IP y resultado. Logs inmutables retenidos 90+ días.

Proveedores de infraestructura
Vercel

Vercel

Frontend / Edge delivery

CDN global, WAF, DDoS mitigation. Cifrado AES-256 en reposo, TLS en tránsito.

SOC 2ISO 27001USA / Global
Northflank

Northflank / AWS

Backend compute

Infraestructura AWS con network isolation por entorno. Secrets nativos.

AWS SOC 2ISO 27001USA
Kong

Kong

API Gateway

JWT validation, rate limiting, header injection de identidad en cada request.

JWTRate limitUSA
WorkOS

WorkOS

IAM provider

SSO (SAML, OIDC), MFA, SCIM, Directory Sync. Gestiona tokens de sesión.

SOC 2SSOUSA
Neon

Neon

Datastore

PostgreSQL serverless. Base de datos aislada por organización. Cifrado en reposo.

SOC 2Tenant isolationUSA
Tinybird

Tinybird

Analytics

Datos analíticos en tiempo real. Autenticación por token. Cifrado TLS.

SOC 2Token authUSA / EU
Políticas y documentos
📄

Política de seguridad de la información

Framework general de seguridad, roles y responsabilidades.

Política
📄

Política de privacidad

Datos recopilados, uso, derechos de los usuarios y retención.

Política
📄

Términos de servicio

Condiciones de uso de la plataforma Clamo.

Legal
📄

Procedimiento de respuesta a incidentes

Protocolo de detección, contención, notificación y recuperación.

Procedimiento
📄

Política de desarrollo seguro (SDLC)

Prácticas de seguridad en el ciclo de desarrollo de software.

Procedimiento
📄

Política de retención de datos

Periodos de retención, eliminación y portabilidad de datos.

Política
Divulgación de vulnerabilidades

Si descubres una vulnerabilidad de seguridad, reportánosla de manera responsable. Nos comprometemos a:

  • Confirmar recepción en menos de 48 horas
  • Comunicar resultado en menos de 10 días hábiles
  • No tomar acciones legales contra investigadores de buena fe
Reportar vulnerabilidad →
Última actualización: Marzo 2026 · security@clamo.la