Última actualización: 07/05/2026 · Versión: 1.0
JurisprudenciaARG es operada por American Talent LLC (Delaware, Estados Unidos). Esta página describe las prácticas de seguridad aplicadas al Servicio. Está dirigida a clientes empresariales, investigadores de seguridad y auditores que necesiten entender nuestra postura de seguridad.
En tránsito: todo el tráfico hacia el sitio web y hacia el conector MCP utiliza TLS 1.2 o superior. No se aceptan conexiones en texto plano. Los certificados son emitidos por autoridades reconocidas y se renuevan automáticamente.
En reposo: la base de datos principal y los volúmenes de almacenamiento utilizan cifrado en reposo provisto por la infraestructura subyacente (AWS RDS / EBS, Heroku Postgres). Los backups conservan el mismo cifrado.
Acceso humano (sitio web): autenticación por correo electrónico con sesiones firmadas. Las contraseñas se almacenan con hashing fuerte (bcrypt). Las sesiones expiran tras un período razonable de inactividad.
Acceso programático (MCP): el conector oficial de JurisprudenciaARG implementa OAuth 2.1 con PKCE (RFC 7636) obligatorio. Los tokens de acceso son de corta vida y los refresh tokens rotan en cada uso. Los scopes están limitados a las operaciones necesarias para el corpus jurídico.
Acceso administrativo: el acceso del equipo a sistemas de producción está restringido por roles, requiere autenticación multifactor y se registra en logs auditables.
La aplicación corre en Heroku con base de datos Postgres gestionada y almacenamiento en Amazon Web Services (región us-east-1). Cada cliente del MCP es identificado por un client_id OAuth único; los registros de uso están asociados a ese identificador y son aislados lógicamente por cliente.
El corpus de fallos y normas (información pública argentina) es servido a todos los clientes desde la misma base; los logs y los registros de uso son separados por cliente.
JurisprudenciaARG no recibe ni almacena el prompt del usuario final, el contexto conversacional, ni la respuesta final que el modelo de lenguaje devuelve a su usuario. Solo registramos el client_id que llama al MCP, los parámetros explícitos de la consulta (términos de búsqueda, filtros, IDs solicitados) y metadatos de uso (timestamp, código de respuesta, créditos consumidos).
Cuando el cliente del MCP enmascara el identificador de su usuario final, JurisprudenciaARG no tiene visibilidad alguna sobre dicho usuario.
Para generar resúmenes y embeddings, JurisprudenciaARG envía a OpenAI y Anthropic únicamente texto público de fallos y normas. Nunca enviamos a estos proveedores datos de clientes, queries del MCP, prompts de usuarios finales, ni información personal de cuentas.
Estos proveedores se utilizan a través de sus APIs empresariales, configuradas para no entrenar sus modelos con los datos enviados por nuestra cuenta.
Mantenemos logs de aplicación, accesos al MCP, eventos de autenticación y errores. Los logs son monitoreados para detectar patrones anómalos, abuso o intentos de acceso no autorizado. Se conservan por un plazo alineado con nuestra política de retención (siete años, según T&C).
La base de datos principal cuenta con backups automáticos diarios y point-in-time recovery dentro de las ventanas provistas por el proveedor. Los backups están cifrados y se almacenan en la misma jurisdicción que la base productiva (Estados Unidos).
Si descubrís una vulnerabilidad de seguridad en JurisprudenciaARG (sitio web, conector MCP, infraestructura asociada), te pedimos que la reportes de manera responsable a:
Pedimos por favor:
Safe harbor: investigadores que actúen de buena fe conforme a esta política no serán objeto de acciones legales por parte de American Talent LLC. Acusaremos recibo del reporte dentro de las 72 horas hábiles e informaremos sobre el avance del análisis y la remediación.
Ante un incidente de seguridad que afecte materialmente datos de los usuarios o la integridad del Servicio, JurisprudenciaARG: (i) contiene el incidente y preserva evidencia; (ii) evalúa el alcance y el impacto; (iii) notifica a los usuarios afectados sin demora indebida por correo electrónico; (iv) coordina con clientes empresariales conforme al DPA o acuerdo aplicable; (v) realiza un análisis post-incidente para reducir la probabilidad de recurrencia.
El detalle actualizado de proveedores externos que procesan datos en nombre de JurisprudenciaARG (hosting, almacenamiento, pagos, correo, modelos de IA) se encuentra en la sección 5 de la Política de Privacidad.
JurisprudenciaARG opera bajo la jurisdicción del Estado de Delaware y la legislación federal de los Estados Unidos. Las prácticas descriptas en esta página están alineadas con expectativas estándar de la industria SaaS B2B (cifrado, OAuth 2.1, separación de datos, gestión de incidentes).
Certificaciones formales (SOC 2, ISO 27001) están en evaluación dentro del roadmap del Servicio. Para discutir necesidades de cumplimiento específicas de un cliente empresarial, escribir a [email protected].
Reporte de vulnerabilidades: [email protected]
Consultas generales sobre seguridad o cumplimiento: [email protected]
© 2026 American Talent LLC. JurisprudenciaARG es una marca de AiLegales.