ISO 27001 es un estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Proporciona un enfoque sistemático para gestionar la información confidencial mediante la evaluación de riesgos, los controles de seguridad y la mejora continua. Las organizaciones que logran la certificación ISO 27001 han demostrado que siguen las mejores prácticas de la industria para proteger los datos.
Descripción general de seguridad y privacidad
August es una plataforma de IA de nivel empresarial creada específicamente para firmas de abogados y equipos legales internos, con seguridad y confidencialidad integradas en cada capa de la arquitectura.
Centro de confianza de August
Certificaciones y atestados de seguridad de nivel empresarial.
Residencia de datos • Cero entrenamiento • Cifrado de extremo a extremo
ISO 27001:2022 SOC 2 Type II CASA Verified TLS 1.2+ AES-256 SSO + MFA
Característica de seguridad | Estado |
|---|---|
Cero entrenamiento con datos de clientes | ✅ Verificado |
Cifrado de extremo a extremo | ✅ Verificado |
Arquitectura de inquilino único | ✅ Verificado |
Anclaje de residencia de datos | ✅ Verificado |
Barreras éticas / Aislamiento de asuntos | ✅ Verificado |
SLA de disponibilidad del 99,9 % | ✅ Verificado |
Certificaciones independientes
August mantiene las certificaciones de seguridad más estrictas para el trabajo legal:
Certificación ISO 27001:2022: un sistema de gestión de seguridad de la información (SGSI) completo en todas las operaciones de August.
SOC 2 Tipo II: auditoría independiente con una opinión sin reservas y cero excepciones.
CASA Verified: verificación de seguridad, confianza, garantía y riesgo (STAR) de la Cloud Security Alliance.
Pruebas de penetración anuales: pruebas de caja negra y caja gris con remediación rápida.
Aislamiento de datos y confidencialidad
August utiliza una arquitectura de inquilino único y aislada que mantiene los datos de cada firma completamente separados:
Inquilino privado por cliente: el aislamiento de computación, almacenamiento y red significa que la información de una firma nunca se mezcla con el entorno de otra.
Aislamiento de perfiles de usuario: dentro de una firma u organización, los perfiles de usuario están totalmente aislados entre sí a menos que los usuarios compartan proactivamente chats o resultados, o creen un espacio de trabajo compartido (Proyectos).
Sin visibilidad de los datos del usuario: August no tiene visibilidad de las instrucciones, cargas o resultados de los usuarios.
Anclaje de residencia de datos: los datos se anclan a la región geográfica seleccionada y se aplican a nivel de infraestructura.
Barreras éticas y aislamiento de asuntos
El aislamiento se extiende dentro de su firma. La función de Personas de August impone barreras estrictas a nivel de cliente y de asunto con controles de acceso basados en roles. Los datos se segregan no solo entre inquilinos, sino también entre asuntos dentro de su propia organización. Un socio no puede ver las instrucciones, cargas o resultados de otro socio a menos que el contenido se comparta explícitamente o se coloque en un espacio de trabajo de Proyecto compartido.
Cero entrenamiento con sus datos
Su producto de trabajo legal nunca se utiliza para mejorar los modelos de IA:
Los documentos, instrucciones, resultados, metadatos y datos derivados nunca se utilizan para el entrenamiento de modelos, ajuste fino, análisis o mejora de productos.
August tiene acuerdos contractuales con cada uno de los modelos de lenguaje utilizados (incluidos Llama, Anthropic y OpenAI) para no entrenar con las entradas, cargas o resultados del usuario, ni retenerlos.
Los proveedores de modelos base procesan los datos de forma efímera; no almacenan, registran, revisan ni reutilizan su contenido.
Esto protege el privilegio abogado-cliente y las protecciones del producto de trabajo.
Cifrado y gestión de claves
Todos los datos están protegidos con cifrado de nivel empresarial:
Cifrado en tránsito: TLS 1.2+ para todos los datos que se mueven entre su dispositivo y August.
Cifrado en reposo: cifrado AES-256 para todos los documentos almacenados, registros de bases de datos y copias de seguridad.
Protección de claves: todas las claves de cifrado están protegidas por módulos de seguridad de hardware (HSM).
Rotación anual de claves: las claves de cifrado se rotan según un programa anual definido.
Pasarela segura independiente del modelo: aplicación de políticas, controles de enrutamiento y auditabilidad total en todas las interacciones de los modelos de IA.
Seguridad de los modelos de IA
August protege las interacciones de los modelos de IA en cada capa:
Cero retención por parte del proveedor del modelo: los proveedores de modelos base no retienen sus datos después del procesamiento.
Traiga su propia clave (BYOK): para ciertos proveedores de modelos (incluido Anthropic a través de AWS Bedrock), puede utilizar sus propias claves de cifrado para obtener un control adicional.
Pasarela segura: todas las interacciones con los modelos pasan a través de una pasarela segura con aplicación de políticas, controles de enrutamiento y auditabilidad total.
Controles de acceso e identidad
August se integra con los sistemas de identidad empresariales:
SSO con MFA: inicio de sesión único a través de SAML, OIDC y OAuth2 con autenticación multifactor obligatoria.
Integración con SCIM: aprovisionamiento y desaprovisionamiento automatizado de usuarios.
Controles de acceso basados en roles (RBAC): permisos granulares basados en los roles de los usuarios.
Barreras éticas: controles de acceso a nivel de asunto a través de Personas para imponer límites de conflictos y confidencialidad.
Revisiones de acceso trimestrales: auditorías periódicas de los permisos de acceso.
Pistas de auditoría
Las pistas de auditoría integrales registran toda la actividad del sistema: acciones del usuario, resultados de la IA, acceso a documentos y cambios administrativos. Cada acción es atribuible a un usuario específico. La retención es configurable de 1 a 10 años, con registros protegidos contra la manipulación.
Controles de acceso interno
August mantiene controles estrictos sobre el acceso de los empleados a los sistemas de producción:
Cero datos de clientes en dispositivos de empleados: los documentos de los clientes nunca se almacenan en las estaciones de trabajo de los empleados.
Acceso de mínimo privilegio y justo a tiempo: el acceso a los datos de producción está limitado a un conjunto definido de ingenieros sobre una base de mínimo privilegio y justo a tiempo. Cada evento de acceso se registra y revisa.
Sin roles de servicio con privilegios de administrador: ningún rol de servicio tiene privilegios de administrador.
Credenciales de corta duración: el acceso a producción requiere SSO, MFA y credenciales de corta duración. Sin tokens persistentes.
Los flujos de trabajo de ingeniería utilizan datos anonimizados: el acceso a datos reales requiere una aprobación explícita.
Seguridad de puntos finales: todas las computadoras portátiles emitidas por la empresa cuentan con MDM, EDR con actualizaciones diarias de firmas y cifrado de disco completo.
Subencargados del tratamiento
Cada subencargado está vinculado contractualmente a restricciones de uso de datos, incluida la prohibición de utilizar datos de clientes para el entrenamiento.
El siguiente diagrama ilustra la arquitectura para el despliegue alojado de August, mostrando cómo fluyen los datos de los clientes a través de la infraestructura:
Subencargado | Rol | Entrenamiento de datos |
|---|---|---|
Amazon Web Services | Infraestructura y alojamiento | Prohibido |
Anthropic (vía AWS Bedrock) | Proveedor de modelos base (BYOK) | Prohibido |
OpenAI LLC | Proveedor de modelos base | Prohibido |
Microsoft Corporation | Marco de integración de Office | Prohibido |
Google Cloud Platform | Servicios de computación | Prohibido |
Weaviate | Almacenamiento vectorial | Prohibido |
Supabase | Solución SQL | Prohibido |
Reducto | Proveedor de OCR | Prohibido |
Los clientes reciben un aviso con 30 días de antelación antes de que un nuevo subencargado comience a procesar los datos de los clientes. Las copias de las cláusulas contractuales específicas están disponibles bajo acuerdo de confidencialidad (NDA).
SLA y compromisos de servicio
August ofrece compromisos de nivel de servicio de categoría empresarial:
99,9 % de disponibilidad mensual: compromiso de alta disponibilidad para la plataforma.
Respuesta a problemas críticos en 30 minutos: respuesta rápida para problemas de gravedad crítica.
Remediación de CVE críticos en 7 días: vulnerabilidades de seguridad abordadas en un plazo de 7 días para CVE críticos.
Operaciones de seguridad
August mantiene operaciones de seguridad sólidas:
Prácticas de SDLC seguro: seguridad integrada en el ciclo de vida de desarrollo de software.
Monitoreo continuo: detección y respuesta a amenazas en tiempo real.
Respuesta a incidentes y BCDR: planes probados para la respuesta a incidentes y la continuidad del negocio/recuperación ante desastres.
Seguridad de las integraciones
August se integra con sus herramientas existentes manteniendo los estándares de seguridad:
Complementos de Microsoft Word y Outlook: trabaje sin problemas en Word, Outlook y SharePoint/OneDrive preservando todo el contexto.
SharePoint: integración total con SharePoint para la gestión de documentos empresariales.
Google Drive: acceda e importe documentos directamente desde Google Drive.
Dropbox: conecte su Dropbox para la sincronización y el acceso a documentos (próximamente).
Todas las integraciones siguen los mismos estándares de cifrado y control de acceso.
Lo que esto significa para su práctica
Cuando utiliza August para el trabajo legal:
Los documentos y la información privilegiada de sus clientes permanecen aislados y protegidos.
Nada de lo que cargue, genere o discuta se utiliza para entrenar modelos de IA.
Usted controla quién dentro de su organización puede acceder a los espacios de trabajo compartidos.
August no puede ver su producto de trabajo legal.
Las barreras éticas a nivel de asunto protegen la confidencialidad dentro de su firma.
Si tiene preguntas sobre las certificaciones de seguridad, los acuerdos de procesamiento de datos, la documentación de los subencargados o la documentación de cumplimiento, póngase en contacto con su equipo de cuentas de August o visite el centro de documentación legal.
Preguntas frecuentes sobre seguridad
Preguntas comunes sobre la postura de seguridad, las certificaciones y las prácticas de manejo de datos de August.
Certificaciones
¿Qué es ISO 27001?
¿Qué es SOC 2 Tipo II?
SOC 2 Tipo II es un marco de auditoría independiente que evalúa los controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de una organización durante un periodo de tiempo (normalmente de 6 a 12 meses). Los informes de Tipo II verifican que los controles no solo existen, sino que operan eficazmente en la práctica. La auditoría SOC 2 Tipo II de August dio como resultado una opinión sin reservas con cero excepciones.
¿Qué es la verificación CASA?
La verificación CASA (Cloud Security Alliance) STAR demuestra el cumplimiento de los requisitos de seguridad, confianza, garantía y riesgo de la Cloud Security Alliance. Proporciona una validación externa de las prácticas de seguridad en la nube y transparencia sobre la postura de seguridad.
¿Qué pueden asumir los clientes basándose en estas certificaciones?
Los clientes pueden tener la confianza de que August adopta un enfoque proactivo y estructurado para la seguridad de la información. La certificación ISO 27001 valida un sistema integral de gestión de seguridad en todas las operaciones. SOC 2 Tipo II confirma que los controles de seguridad funcionan de manera eficaz a lo largo del tiempo. Juntas, estas certificaciones demuestran un compromiso continuo con la protección de los datos de los clientes a través de auditorías de vigilancia anuales y procesos de mejora continua.
¿Cómo mantiene August sus certificaciones a lo largo del tiempo?
August mantiene las certificaciones a través de equipos de seguridad internos, auditorías internas periódicas, auditorías de vigilancia anuales realizadas por organismos de certificación externos acreditados y auditorías de recertificación en programas definidos. Los controles de seguridad se supervisan y mejoran continuamente en función de los hallazgos de las auditorías y la evolución del panorama de amenazas.
Manejo de datos
¿August es de inquilino único o multi-inquilino?
August utiliza una arquitectura de inquilino único y aislada. Cada cliente obtiene su propio inquilino privado con aislamiento de computación, almacenamiento y red. Los datos de su firma nunca se mezclan con el entorno de otra firma. Esto es diferente de los sistemas multi-inquilino donde los datos de los clientes comparten la infraestructura y solo están separados lógicamente.
¿Puede August ver mi producto de trabajo legal?
No. August no tiene visibilidad de las entradas, cargas o resultados de los usuarios. Sus documentos, instrucciones y resultados de IA siguen siendo privados para su firma. Esto protege el privilegio abogado-cliente y las protecciones del producto de trabajo.
¿Se utilizarán mis datos para entrenar modelos de IA?
No. Los documentos, instrucciones, resultados, metadatos y datos derivados nunca se utilizan para el entrenamiento de modelos, ajuste fino, análisis o mejora de productos. August mantiene acuerdos contractuales con todos los proveedores de modelos base (incluidos Anthropic, Llama y OpenAI) que prohíben el entrenamiento o la retención del contenido del usuario. Los proveedores de modelos procesan los datos de forma efímera y no almacenan, registran, revisan ni reutilizan su contenido.
¿Dónde se almacenan mis datos?
Los datos se almacenan en su región geográfica seleccionada y se anclan a nivel de infraestructura mediante el anclaje de residencia de datos. Esto garantiza que sus datos permanezcan en la jurisdicción que elija, respaldando el cumplimiento de los requisitos regionales de protección de datos. August admite opciones de despliegue tanto en EE. UU. como en la UE.
¿Cuánto tiempo se retienen los datos?
La retención de la pista de auditoría es configurable de 1 a 10 años para cumplir con los requisitos de cumplimiento de su organización. Los datos del cliente permanecen hasta que usted los elimine. Los proveedores de modelos base no retienen sus datos después del procesamiento.
Controles de seguridad
¿Cómo se cifran mis datos?
Todos los datos están protegidos con cifrado de nivel empresarial:
En tránsito: TLS 1.2 o superior para todos los datos que se mueven entre su dispositivo y August.
En reposo: cifrado AES-256 para todos los documentos almacenados, registros de bases de datos y copias de seguridad.
Gestión de claves: todas las claves de cifrado están protegidas por módulos de seguridad de hardware (HSM) y se rotan anualmente.
¿Qué controles de acceso existen?
August se integra con los sistemas de identidad empresariales para un control de acceso robusto:
SSO con MFA: inicio de sesión único a través de SAML, OIDC y OAuth2 con autenticación multifactor obligatoria.
Integración con SCIM: aprovisionamiento y desaprovisionamiento automatizado de usuarios.
Controles de acceso basados en roles: permisos granulares basados en los roles de los usuarios.
Barreras éticas: controles de acceso a nivel de asunto para imponer límites de conflictos y confidencialidad.
Revisiones de acceso trimestrales: auditorías periódicas de los permisos de acceso.
¿Qué son las barreras éticas y el aislamiento de asuntos?
Las barreras éticas son controles de acceso a nivel de asunto que se imponen a través de la función de Personas de August. Los datos se segregan no solo entre inquilinos (firmas), sino también entre asuntos dentro de su propia organización. Un socio no puede ver las instrucciones, cargas o resultados de otro socio a menos que el contenido se comparta explícitamente o se coloque en un espacio de trabajo de Proyecto compartido. Esto protege contra conflictos de intereses y mantiene la confidencialidad del cliente.
¿Pueden los empleados de August acceder a mis datos?
No. Los documentos de los clientes nunca se almacenan en las estaciones de trabajo de los empleados. El acceso a los datos de producción está limitado a un conjunto definido de ingenieros sobre una base de mínimo privilegio y justo a tiempo. Cada evento de acceso se registra y revisa. Los flujos de trabajo de ingeniería utilizan datos anonimizados y el acceso a datos reales requiere una aprobación explícita.
Cumplimiento y empresa
¿Puedo utilizar mis propias claves de cifrado?
Sí. Para ciertos proveedores de modelos, incluido Anthropic a través de AWS Bedrock, puede utilizar Traiga su propia clave (BYOK) para mantener un control adicional sobre las claves de cifrado para las interacciones con los modelos de IA.
¿Cuál es el compromiso de disponibilidad de August?
August se compromete a una disponibilidad mensual del 99,9 % como parte del SLA empresarial. Los problemas críticos reciben un tiempo de respuesta de 30 minutos y las vulnerabilidades de seguridad críticas (CVE) se abordan en un plazo de 7 días.
¿Cómo informo de una vulnerabilidad de seguridad?
Si descubre una vulnerabilidad de seguridad, infórmela a través de una divulgación responsable poniéndose en contacto con su equipo de cuentas de August. August mantiene planes de respuesta a incidentes y de continuidad del negocio/recuperación ante desastres con un monitoreo continuo para la detección y respuesta a amenazas.
¿Dónde puedo encontrar más documentación sobre seguridad?
Descargue el Libro Blanco de Seguridad oficial de August (v1.1, mayo de 2026) y la documentación sobre asuntos de clientes:
Para acuerdos de procesamiento de datos, documentación de subencargados o preguntas de cumplimiento, póngase en contacto con su equipo de cuentas de August o visite el centro de documentación legal.
Libro Blanco de Seguridad
Descargue el Libro Blanco de Seguridad oficial de August (v1.1, mayo de 2026) para obtener detalles completos sobre la arquitectura de seguridad, las certificaciones, la protección de datos y los compromisos de cumplimiento de August:
Libro Blanco de Seguridad de August
Documentación de seguridad completa que cubre certificaciones (SOC 2 Tipo II, ISO 27001:2022, CASA), arquitectura de inquilino único, cifrado, controles de acceso, seguridad del modelo de IA, opciones de residencia de datos y cumplimiento:
Descargar el Libro Blanco de Seguridad de August (PDF)
August para asuntos de clientes
Descripción general de la seguridad para el manejo de asuntos de clientes y la confidencialidad:
¿Te fue útil?