CENTRO DE CONFIANZA · LEXIA SOCIETY MX

La seguridad de tu despacho,
garantizada por arquitectura.

Harvey cumple por contrato. LexIA cumple por arquitectura. Aquí está exactamente cómo protegemos los datos de tu despacho y los de tus clientes, alineado con el Art. 36 de la Ley Reglamentaria del Art. 5° Constitucional y la LFPDPPP de marzo 2025.

Ver los 4 pilares Solicitar DPA

4 pilares de seguridad

Cada pilar es verificable por un CISO en una sesión técnica de 30 min. Nuestras decisiones de arquitectura se documentan públicamente en CLAUDE.md del repositorio del proyecto.

RLS Postgres nativo

Aislamiento por tenant a nivel de fila (Row-Level Security) en TODAS las tablas con tenant_id. Cero filtrado manual en la aplicación: si un bug deja un WHERE sin tenant_id, RLS sigue filtrando. ENABLE + FORCE en cada tabla.

PostgreSQL 17 + 100+ políticas RLS + auditoría automática mensual

Embeddings 100% locales

Tus documentos NUNCA salen a APIs externas para indexarse. Modelo bge-m3 corre en infraestructura propia (GPU RunPod). Obligatorio por secreto profesional (Art. 36 Ley Profesiones MX).

BAAI/bge-m3 1024 dim + bge-reranker-v2-m3 inference local

ZDR Anthropic verbatim

Contrato Zero Data Retention firmado con Anthropic. Los prompts a Claude NO se persisten en sus servidores ni se usan para entrenamiento. Header anthropic-beta: zero-data-retention en TODAS las llamadas.

Verificado en cada request + logging de coste cross-tenant

Audit HMAC chain descargable

Cada acción sensible (firma Mifiel, descarga CFDI, exportación expediente) queda en audit_log_universal con cadena HMAC SHA-256 cross-tenant. Defensa ante INAI / SAT con script verificador público.

55 orígenes canónicos + chain verifier + script CLI auditor

Cumplimiento legal mexicano

Art. 36 Ley Reglamentaria del Art. 5° Constitucional (MX)

Secreto profesional del abogado garantizado por arquitectura: embeddings locales + ZDR + RLS Postgres + cifrado en reposo TDE + TLS 1.3 tránsito.

LFPDPPP — Ley Federal de Protección de Datos Personales (MX, marzo 2025)

Aviso de Privacidad publicado, derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) atendidos en <72h vía portal cliente. Append-only audit en `portal_acceso_log` con REVOKE UPDATE/DELETE.

ZDR Anthropic 2025-01-01

Header `anthropic-beta: zero-data-retention-2025-01-01` en cada llamada a Claude Sonnet 4.6, Haiku 4.5 y modelos derivados. Logging coste obligatorio en `ai_call_costs` con flag `zdr_verificado=true`.

Iniciativa Ley IA Senado MX (en gestación abril 2025)

Monitorización activa. Si se aprueba con DPIA obligatoria, ya tenemos las trazas necesarias para responder en <30 días.

Sub-procesadores

Lista pública de los proveedores que procesan datos en nuestro nombre. Cualquier cambio se notifica al DPO de tu despacho con 30 días de antelación (Art. 36 LFPDPPP). Ver lista completa con base legal de cada uno →

Sub-procesador	Finalidad	Región	Base legal
Anthropic (Claude API)	LLM jurídico	EU/US	ZDR contractual
PostgreSQL (Railway)	BD operativa + pgvector	EU-West Frankfurt	SCCs LFPDPPP
RunPod (GPU)	Embeddings + reranker locales	US-Central	DPA estándar
Cloudflare R2	Storage docs cifrados SSE-KMS	EU (Frankfurt)	DPA estándar
Resend	Email transaccional	EU/US	DPA estándar
Stripe + Stripe Tax MX	Pagos + IVA 16%	Global	DPA estándar
Facturapi	Emisión CFDI 4.0	México	DPA local MX
Sentry	Errores (sin payload sensible)	EU	DPA + scrubber PII

Herramientas públicas para auditores

Cualquier auditor externo puede ejecutar estas verificaciones sobre el repo público de LexIA, sin acceso interno.

Status page

status.lexiasociety.com

Audit HMAC chain verifier

Script CLI público para verificar la integridad de las cadenas HMAC del audit:

python scripts/verificar_audit_chain.py --todos

La seguridad de tu despacho,garantizada por arquitectura.