Construido para resistir una auditoría.
Aquí importan dos cosas: que la plataforma sea segura, y que tu expediente sirva como prueba ante la STPS. Vigía se construyó para superar evaluaciones de seguridad de nivel empresarial — así protegemos tus datos y los de tus proveedores.
Lo básico, bien hecho — y verificable.
Nos confías los RFC de tus proveedores, datos de nómina y PII de trabajadores. Así se protege eso — cada control de abajo existe hoy en el producto; nada es roadmap.
Cifrado en reposo
Los datos personales sensibles (CURP, RFC, NSS) se cifran campo por campo. Aun con acceso a la base, esa PII no se lee sin la llave.
Cifrado en tránsito
Toda conexión sobre HTTPS, con política HSTS de dos años lista para preload. Tus datos nunca viajan en claro.
2FA en roles privilegiados
Doble factor forzado para los roles privilegiados, con códigos de recuperación al darse de alta. Una contraseña filtrada no basta para entrar.
Bitácora de auditoría completa
Subir, validar, aprobar, rechazar, descargar — cada acción queda registrada con quién y cuándo. Desde la aplicación la bitácora solo crece: no hay ruta de edición ni de borrado.
Roles granulares
Cada usuario ve solo lo que su rol permite. El guardia en la caseta ve un veredicto verde/rojo — nunca tus contratos ni montos.
Tus datos no entrenan modelos
Los documentos del proveedor nunca se usan para entrenar modelos de IA — ni nuestros ni de terceros. La validación con IA es un add-on que extrae datos del documento, nada más.
Aislamiento de datos por proveedor
Cada proveedor del portal ve únicamente su propia información: el filtrado en la aplicación es la primera capa, y row-level security en la base de datos, la segunda — defensa en profundidad.
Infraestructura declarada
Vigía corre sobre Vercel, con Neon (Postgres) y Vercel Blob para documentos, Resend para correo transaccional y OpenAI para el add-on de IA. Lista completa de subprocesadores a pedido.
De "tenemos el PDF" a "lo podemos probar".
Tener un documento y poder probarlo ante la STPS no es lo mismo. El expediente del proveedor está construido para sostenerse como prueba — fechado, trazable y exportable.
Trazabilidad completa
Cada acción sobre un documento queda registrada con actor y momento, en una bitácora que desde la aplicación solo crece. Quién subió, quién validó, quién aprobó — todo está.
Evidencia exportable
El expediente vivo del proveedor se consulta en línea, y los reportes de cumplimiento, CFDI y analítica se exportan a CSV — listos para entregar a un auditor con su historial.
Registro por período
El cumplimiento se evalúa por período: puedes ver el estatus que tenía un proveedor en el período de cada pago — no solo hoy.
Normativa y frameworks que respaldan el control.
Cumplimos con la ley de protección de datos en México y diseñamos nuestros controles sobre frameworks de seguridad reconocidos. Cada punto de abajo dice exactamente qué es.
LFPDPPP
Aviso de privacidad integral publicado, con procedimiento ARCO documentado para el ejercicio de derechos.
Principios ISO 27001
Organizamos y diseñamos nuestros controles de seguridad siguiendo los principios de ISO 27001.
Principios SOC 2
Controles internos estructurados sobre los trust services criteria de SOC 2.
Pentesting
Evaluaciones de seguridad internas contra OWASP Top 10 y ASVS, con informe escrito y hallazgos seguidos hasta su cierre. Informe disponible bajo NDA.
Lo que Vigía Legal no hace (y por qué).
Tan importante como saber qué incluye es saber qué deja afuera. Vigía Legal es una plataforma de compliance REPSE — no es un despacho legal, no es un asesor fiscal, no es un sistema de nómina. Los límites explícitos:
No opiniones legales formales
No emitimos dictámenes caso por caso ni representamos ante autoridad. Eso es trabajo de un despacho. Vigía organiza la evidencia que tu abogado va a usar.
No determinación fiscal
No sustituye el análisis de tu contador. Cruzamos información y señalamos inconsistencias; la decisión fiscal final la firma un profesional.
No nómina ni EHS completo
No gestionamos la nómina del proveedor ni un expediente EHS completo ajeno a REPSE. Nos quedamos en el control regulatorio de subcontratación.
No automatiza decisiones críticas
El sistema sugiere (aprobar / retener / rechazar), pero la decisión final la firma una persona. El cumplimiento regulatorio exige responsabilidad humana.
Revisión de seguridad, a pedido.
Si tu equipo de seguridad quiere ir más a fondo — arquitectura, detalle de cifrado, estructura de la bitácora, el informe de pentest — coordinamos una sesión de trabajo en contacto@vigialegal.mx. Documentación técnica bajo NDA una vez definido el alcance.