Vindica Legal Suite

Dossier Comercial

Plataforma de gestión legal inteligente

Documento completo de funcionalidades, arquitectura de seguridad y cumplimiento normativo de la plataforma Vindica Legal Suite.

Versión 2.0

Parte I

Funcionalidades de la Plataforma

1.Gestión integral de expedientes

Control completo del ciclo de vida de cada caso legal, desde apertura hasta archivo.

Estados: Abierto, En trámite, Vía administrativa, Vía judicial, Pendiente resolución, Cerrado, Archivado.
Vista Kanban: Visualización por columnas con arrastrar y soltar entre estados.
Providencias: Registro de notificaciones, citaciones, autos, sentencias y decretos con fechas de vencimiento.
Línea temporal: Actividad completa del expediente: eventos, documentos, comunicaciones y cambios.
Personas vinculadas: Testigos, peritos, partes contrarias, letrados y procuradores con gestión de representación.
Empresas: Aseguradoras, juzgados, organismos y entidades vinculadas a cada expediente.

2.Clientes y contactos

CRM jurídico con fichas completas, historial y relaciones entre contactos, empresas y expedientes.

Fichas completas: Nombre, DNI, dirección, teléfono, email, notas y documentación personal.
Vinculación con empresas: Relación contacto↔empresa con roles (empleado, representante, administrador).
Portal del cliente: Acceso web para que los clientes consulten el estado de sus expedientes y documentos.
Soft delete: Eliminación suave con posibilidad de recuperación — nunca pierdas un dato.

3.Agenda y plazos procesales

Calendario inteligente con alertas automáticas y sincronización bidireccional.

Plazos procesales: Tipos: procesal, administrativo, prescripción, caducidad con alertas automáticas.
Eventos: Reuniones, vistas, gestiones y recordatorios con vinculación a expedientes.
Google Calendar: Sincronización automática bidireccional de plazos y eventos.
Exportación ICS: Feed ICS compatible con cualquier calendario externo.

4.Control financiero

Hojas de encargo, provisiones de fondos, minutas, suplidos y control de gastos integrado.

Hojas de encargo: Generación digital con honorarios, IVA, modalidad de cobro y firma electrónica.
Minutas: Facturación con desglose de IVA, IRPF, suplidos y total a pagar.
Provisiones de fondos: Control de anticipos del cliente con seguimiento de saldo.
Dashboard financiero: Resumen global: facturación, gastos, beneficio neto y métricas por período.

5.Gestión documental en la nube

Almacenamiento seguro AWS S3 con gestión avanzada, versionado y descarga segura.

Almacenamiento cloud: Archivos en AWS S3 con URLs presignadas y control de acceso público/privado.
Tipos soportados: PDF, DOCX, imágenes, audio, vídeo y cualquier formato — sin límite de tipo.
Google Drive: Sincronización automática unidireccional CRM → Google Drive por expediente.
Checklist documental: Plantillas de documentación requerida con seguimiento de recepción.

6.Inteligencia artificial integrada

Procesamiento automático de documentos, extracción de datos y análisis jurídico con IA.

Procesamiento de documentos: Extracción automática de datos de PDFs, imágenes y documentos escaneados.
Análisis jurídico: Detección de plazos, providencias, comunicaciones y personas de forma automática.
Resúmenes: Generación de resúmenes de documentos y expedientes con un clic.
Baremo de accidentes: Calculadora de indemnizaciones según baremo legal español actualizado.
Modelo: GPT-4.1 con reintentos automáticos y fallback para documentos escaneados.

7.Comunicaciones multicanal

Gestión centralizada de emails, cartas, burofax, WhatsApp, SMS y llamadas por expediente.

Tipos: Email, carta, burofax, fax, SMS, WhatsApp, llamada telefónica.
Correo entrante: Importación automática de emails (.eml) y clasificación por expediente.
Dirección: Seguimiento de comunicaciones de entrada y salida con fecha y contenido.
Portal compartido: Opción de compartir comunicaciones específicas con el cliente vía portal.

8.Seguridad y cumplimiento normativo

Multi-tenancy, auditoría completa, RGPD y control de acceso granular.

Multi-tenancy: Aislamiento total de datos entre despachos con filtro por despachoId en cada consulta.
Audit log: Registro completo de todas las acciones: creación, modificación, eliminación, accesos.
RGPD: Consentimiento de cookies, política de privacidad, formularios LOPD con firma electrónica.
2FA: Autenticación en dos factores por email para acceso seguro.
Rate limiting: Protección contra ataques de fuerza bruta en login y signup.

9.Módulo penal especializado

Gestión avanzada de procedimientos penales con posición procesal y análisis IA.

Posición procesal: Defensa, acusación particular, acusación popular, actor civil, responsable civil.
Análisis IA penal: Análisis automático adaptado a la posición procesal del cliente.
Personas y representación: Gestión de "representa a" para letrados y procuradores.

10.Bot de captación de clientes

Asistente conversacional inteligente embebible en cualquier web para captación de leads.

Configuración por despacho: Tono, especialidades, horario, idioma y personalidad configurables.
Integración WhatsApp: Bot conectado a WhatsApp Business para atención 24/7.
Planes de bot: Sistema de créditos independiente con planes gratuito y profesional.
Contrataciones: Gestión de solicitudes de contratación desde el bot con formulario intake.

11.Formulario intake y firma LOPD

Formularios públicos de captación con firma electrónica y generación automática de documentos LOPD.

Formulario público: Personalizable por despacho con campos de caso, datos personales y consentimiento.
Firma electrónica: Captura de firma canvas con datos forenses (IP, user-agent, hash SHA-256).
PDF LOPD: Generación automática de documento de consentimiento firmado en PDF.
Notificaciones: Alerta automática al despacho cuando llega una nueva solicitud.

12.Aplicación responsive y PWA

Interfaz adaptativa que funciona como aplicación nativa en cualquier dispositivo.

Responsive: Diseño adaptativo para escritorio, tablet y móvil.
PWA: Instalable como aplicación nativa en Android e iOS desde el navegador.
Offline: Funcionalidad básica disponible sin conexión.
Notificaciones: Sistema de notificaciones internas en tiempo real.

Parte II

Anexo de Seguridad y Cumplimiento Normativo

A1.Arquitectura de datos y ubicación de servidores

  • Base de datos PostgreSQL 17 gestionada, alojada en Supabase con servidores en Frankfurt (Alemania) — dentro del Espacio Económico Europeo (EEE).
  • El almacenamiento de datos personales estructurados (clientes, expedientes, contactos, comunicaciones, eventos, etc.) NO implica transferencia internacional de datos.
  • Aislamiento total de datos entre despachos (multi-tenancy) mediante filtro despachoId en cada consulta a base de datos.
  • Conexiones a base de datos mediante Session Pooler con SSL/TLS obligatorio — cifrado en tránsito garantizado.
  • Almacenamiento de archivos y documentos en Amazon S3 (AWS) con cifrado en reposo AES-256 por defecto.
  • URLs presignadas con caducidad de 1 hora para acceso a documentos privados — nunca se almacenan URLs firmadas en base de datos.
  • Backups automáticos diarios de Supabase con retención de 7 días, más tarea programada de backup adicional con retención configurable (hasta 30 copias).

A2.Autenticación y control de acceso

  • Sistema de autenticación basado en NextAuth.js con tokens JWT firmados y cifrados.
  • Política de contraseñas robusta: mínimo 12 caracteres, al menos una mayúscula y un carácter especial obligatorio.
  • Autenticación en dos factores (2FA) por código de un solo uso enviado al email del usuario.
  • Rate limiting en endpoints sensibles: máximo 10 intentos de login en 5 minutos por IP; 5 registros en 10 minutos por IP.
  • Rate limiting adicional en endpoints públicos: intake (5 req/5min), firmas electrónicas (10 req/5min), OTP (5 req/5min), solicitudes de cambio de plan.
  • Sistema de roles granular: admin, abogado, asistente y lectura — cada rol con permisos específicos sobre módulos y acciones.
  • Validación de pertenencia (ownership) en cada operación CRUD: un usuario solo puede acceder a datos de su propio despacho.
  • Protección contra suplantación: impersonación controlada solo disponible para superadministrador global con registro en audit log.
  • Sesiones con expiración automática y cierre de sesión seguro.

A3.Cumplimiento RGPD / LOPD-GDD

  • Banner de consentimiento de cookies con configuración granular: el usuario elige entre cookies esenciales, analíticas y de marketing.
  • Política de privacidad, aviso legal y política de cookies accesibles públicamente desde todas las páginas.
  • Formularios LOPD de consentimiento informado con firma electrónica avanzada y hash SHA-256 del documento.
  • Captura de datos forenses en cada firma: IP del firmante, user-agent, fecha/hora exacta y hash criptográfico del documento.
  • Verificación de identidad del firmante mediante OTP por SMS (Twilio Verify) con teléfono obtenido de la ficha de cliente (no editable por el firmante).
  • Generación automática de documentos LOPD firmados en formato PDF con toda la evidencia de la firma.
  • Soft-delete en todos los registros principales (clientes, expedientes, hojas de encargo, documentos, gastos): los datos nunca se eliminan físicamente de forma inmediata, permitiendo recuperación y trazabilidad.
  • API de retención automática (/api/retencion) con políticas de borrado por categoría: intake 6 meses, logs de acceso 12 meses, firmas electrónicas 6 meses, dispositivos expirados.
  • Audit log completo de todas las acciones de usuario: creación, modificación, eliminación y accesos a datos, con registro de usuario, IP, entidad, acción y detalle.
  • Registro de acceso a documentos: log automático cada vez que un usuario previsualiza o descarga un documento.
  • Evaluación de Impacto de Protección de Datos (EIPD) completa disponible en la plataforma (/eipd), con análisis de riesgos, medidas de mitigación y plan de acción.

A4.Cifrado y seguridad en las comunicaciones

  • HTTPS/TLS obligatorio en todos los dominios de producción — certificados SSL gestionados automáticamente.
  • Strict-Transport-Security (HSTS) con max-age de 1 año e includeSubDomains, aplicado globalmente vía middleware.
  • Content-Security-Policy (CSP) restrictiva: control estricto de orígenes permitidos para scripts, estilos, imágenes, conexiones y frames.
  • Headers de seguridad adicionales: X-Content-Type-Options (nosniff), X-Frame-Options, Referrer-Policy.
  • Conexión cifrada SSL a la base de datos PostgreSQL en Frankfurt (UE).
  • Comunicación con AWS S3 cifrada en tránsito (HTTPS) y en reposo (AES-256).
  • Contraseñas almacenadas con hash bcrypt con factor de coste 10 — nunca se almacenan contraseñas en texto plano.
  • Tokens JWT firmados criptográficamente con secreto rotable (NEXTAUTH_SECRET).

A5.Seguridad de la infraestructura y aplicación

  • Middleware de autenticación en todas las rutas protegidas — verificación de token JWT antes de servir cualquier página o recurso.
  • Validación de pertenencia (ownership) en cada operación sobre datos: cada API verifica que el recurso pertenece al despacho del usuario autenticado.
  • Protección contra ataques de fuerza bruta mediante rate limiting en 14 endpoints públicos sensibles.
  • Eliminación permanente de datos restringida a usuarios con permisos específicos (canPermanentlyDelete).
  • Protección contra borrado accidental de documentos contenedores (siniestro) con verificación especial.
  • Validación de entrada en todos los formularios tanto en cliente como en servidor.
  • Control de acceso a documentos: sistema de URLs presignadas que expiran automáticamente, con distinción entre documentos públicos y privados.
  • Compartición controlada de expedientes: sistema granular de permisos para compartir con otros usuarios del CRM o con colaboradores externos.

A6.Encargados del tratamiento y transferencias internacionales

  • Supabase, Inc. — Base de datos PostgreSQL gestionada. Servidores en Frankfurt, Alemania (UE). DPA incluido en sus Terms of Service. Sin transferencia internacional de datos.
  • Amazon Web Services (AWS) — Almacenamiento de archivos (S3). DPA (Data Processing Addendum) con Cláusulas Contractuales Tipo (CCT) incluidas. Adherido al EU-US Data Privacy Framework (DPF).
  • Abacus.AI, Inc. — Hosting de aplicación web, API de IA (LLM) y envío de emails transaccionales. Adherido al EU-US Data Privacy Framework (DPF). Cubierto por ToS como encargado del tratamiento.
  • OpenAI — Sub-encargado para procesamiento de IA (GPT-4.1). Acceso solo a contenido enviado explícitamente para análisis. Adherido al DPF.
  • Twilio — Verificación de identidad por SMS (OTP) para firmas electrónicas. Adherido al DPF con CCT incluidas.
  • Todos los proveedores con sede en EE.UU. están adheridos al EU-US Data Privacy Framework (DPF) y disponen de DPAs y Cláusulas Contractuales Tipo documentadas.
  • La base de datos principal permanece en la UE (Frankfurt) — los datos personales estructurados nunca salen del Espacio Económico Europeo.

A7.Inteligencia artificial responsable

  • Los datos de expedientes y clientes NO se utilizan para entrenar modelos de IA — solo se procesan bajo demanda explícita del usuario.
  • Prompts diseñados con reglas estrictas anti-alucinación: la IA solo extrae datos que existen en el documento proporcionado.
  • Logging completo de uso de IA: tokens consumidos, modelo utilizado, acción solicitada, usuario y timestamp.
  • Supervisión humana obligatoria: todos los resultados de IA (análisis, resúmenes, extracción de datos) requieren revisión y validación por parte del letrado antes de cualquier acción.
  • Cláusula informativa en hojas de encargo con mención expresa del uso de IA y consentimiento explícito del cliente.
  • Modelo GPT-4.1 con reintentos automáticos y fallback para documentos escaneados — sin acceso persistente a los datos del despacho.

A8.Firma electrónica y evidencia digital

  • Captura de firma manuscrita digital mediante canvas interactivo.
  • Generación de hash SHA-256 del documento firmado como prueba de integridad.
  • Datos forenses de cada firma: dirección IP del firmante, user-agent del navegador, fecha y hora exacta (UTC).
  • Verificación de identidad del firmante mediante código OTP por SMS enviado al teléfono registrado en la ficha de cliente.
  • Tokens de firma únicos y de un solo uso — una vez utilizado, el enlace de firma queda invalidado.
  • Generación automática de documento PDF con toda la evidencia de la firma para archivo y acreditación.
  • Verificación pública del hash del documento firmado disponible para auditorías externas.

A9.Copias de seguridad y recuperación

  • Backups automáticos diarios de Supabase (base de datos) con retención de 7 días en el plan gestionado.
  • Tarea programada de backup adicional configurable con retención de hasta 30 copias y notificación por email tras cada ejecución.
  • Backup manual bajo demanda disponible desde Ajustes → Copias de Seguridad.
  • Restauración desde archivo JSON previamente descargado.
  • Historial de backups consultable desde la interfaz de administración con opción de descarga individual.
  • Soft-delete en registros principales: los datos eliminados por el usuario se marcan como borrados pero permanecen recuperables durante el período de retención.
  • Versionado de archivos en AWS S3 disponible para documentos críticos.

A10.Derechos de los interesados (ARCO+)

  • Derecho de acceso: los clientes pueden consultar sus datos a través del Portal del Cliente con acceso web seguro.
  • Derecho de rectificación: los datos del cliente pueden ser actualizados desde su ficha en el CRM en cualquier momento.
  • Derecho de supresión: mecanismo de soft-delete con posibilidad de eliminación permanente previa autorización del administrador.
  • Derecho de portabilidad: exportación de datos del cliente y expedientes en formatos estándar (JSON, CSV).
  • Derecho de oposición y limitación: configurable por el administrador del despacho para cada cliente.
  • Canal de ejercicio de derechos: email directo a [email protected] o a través del Delegado de Protección de Datos.

A11.Gestión de brechas de seguridad

  • Módulo integrado de registro de brechas de seguridad con campos: descripción, fecha de detección, datos afectados, medidas adoptadas y notificación a la AEPD.
  • Workflow de gestión: detección → evaluación → contención → notificación → registro → seguimiento.
  • Notificación a la AEPD en plazo de 72 horas según art. 33 RGPD — con plantilla de comunicación incluida.
  • Registro histórico de todas las brechas con detalle de acciones correctivas implementadas.
  • Audit log de accesos anómalos disponible para análisis forense.

A12.Contacto y Delegado de Protección de Datos

  • Email de contacto: [email protected]
  • Web: vindica.es | crm.vindica.es
  • Dirección: Plaza Quintero Báez 10, Huelva.
  • El responsable del tratamiento está disponible para cualquier cuestión relacionada con la seguridad, el tratamiento de datos personales o el ejercicio de derechos.
  • EIPD completa disponible para consulta en la propia plataforma.

¿Listo para transformar tu despacho?

Descarga el dossier completo en PDF para compartir con tu equipo o regístrate y empieza a usar Vindica Legal Suite hoy.

Ver planes y precios