Memòria Tècnica de Seguretat i Protecció de Dades

Sistema DRÈTIC — Document de justificació davant administracions públiques

Document oficial per a licitacions i contractes públics
Aquesta memòria justifica el compliment del RGPD, la LOPDGDD i l'Esquema Nacional de Seguretat (ENS — Reial Decret 311/2022). Es presenta adjunta al DPA (art. 28 RGPD).

Document	Memòria tècnica de seguretat i protecció de dades
Sistema	DRÈTIC — Plataforma de gestió jurídica
URL del servei	https://app.dretic.cat
Stack tecnològic	FastAPI · SQLite WAL · Python 3.12 · Ubuntu 22.04 LTS · nginx · Let's Encrypt
Titular del tractament	Drètic SCCL
Última actualització	28 d'abril de 2026
Normativa de referència	RGPD (UE) 2016/679 · LOPDGDD (LO 3/2018) · ENS (RD 311/2022)

1. Identificació del responsable

1.1 Encarregat del tractament: Drètic SCCL

Raó social	Drètic SCCL
Forma jurídica	Societat Cooperativa Catalana Limitada
NIF	[PENDENT — afegir NIF de la cooperativa]
Domicili social	[PENDENT — afegir adreça completa]
Telèfon	935 95 17 49
Email general	info@dretic.cat
Email protecció de dades	info@dretic.cat
Web	https://www.dretic.cat

2. Descripció del sistema

El sistema DRÈTIC és una plataforma de gestió jurídica professional que permet:

Gestió integral d'expedients jurídics i documentació
Gestió de clients i beneficiaris de programes públics
Facturació i seguiment de pagaments
Planificació d'agenda, terminis processals i tasques
Comunicació segura entre advocats i clients
Generació d'informes IA i actes de reunions
Estadístiques i seguiment per programes i advocats

3. Infraestructura i geolocalització

3.1 Servidor principal

Proveïdor	Hetzner Online GmbH (Nuremberg, Alemanya — UE)
Tipus	VPS dedicat
Sistema operatiu	Ubuntu 22.04 LTS
Servidor web	nginx (proxy invers) + uvicorn (FastAPI)
Gestió servei	systemd
Localització dades	100% Unió Europea (Alemanya)

Els servidors de Hetzner Online GmbH estan certificats ISO/IEC 27001. Hetzner és un subcontractista autoritzat i disposa de DPA conforme a l'art. 28 RGPD disponible a www.hetzner.com.

3.2 Base de dades

Motor	SQLite 3 en mode WAL (Write-Ahead Logging)
Ubicació	Servidor Hetzner (Alemanya, UE)
Integritat	PRAGMA foreign_keys = ON · PRAGMA synchronous = NORMAL
Rendiment	32MB cache en memòria · 128MB memory-mapped I/O

4. Mesures tècniques de seguretat (art. 32 RGPD / ENS)

4.1 Xifrat de dades

Xifrat en repòs — Documents	AES-128-CBC + HMAC-SHA256 (biblioetica Fernet de Python) amb clau `DOCUMENTS_ENCRYPTION_KEY`
Xifrat en repòs — Camps BD	AES-128-CBC + HMAC-SHA256 (Fernet) per a NIF, IBAN i altres camps sensibles, amb clau `FIELD_ENCRYPTION_KEY`
Xifrat en trànsit	TLS 1.2/1.3 obligatori via Let's Encrypt (renovació automàtica cada 90 dies)
HSTS	max-age=31536000 (1 any) amb includeSubDomains

4.2 Autenticació i control d'accés

Contrasenyes	bcrypt, cost 12 — mai en text pla
Doble factor (2FA)	Obligatori per a tot el personal: email OTP / SMS (Twilio) / WhatsApp (CallMeBot) / TOTP (Google Authenticator)
OTP	6 dígits, caducitat 10 minuts, emmagatzemat en sessió xifrada
Rate limiting login	10 intents / 5 minuts per IP — bloqueig automàtic
Sessions	Cookie signada (SessionMiddleware Starlette), max-age 1 hora
Roles	Admin / Advocat / Treballador social / Mediador / Client — visibilitat granular per rol
Portal client	Accés limitat als propis documents i expedients — sense accés al backend

4.3 Headers HTTP de seguretat (ENS — mesura mp.com.3)

X-Frame-Options: DENY — preveu clickjacking
X-Content-Type-Options: nosniff — preveu MIME sniffing
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy amb nonce per request — preveu XSS
Permissions-Policy — càmera i micròfon únicament als paths que ho requereixen
Strict-Transport-Security — actiu en HTTPS

4.4 Protecció CSRF

Token CSRF injectat a tots els formularis POST. Validat per middleware ASGI pur (no consumeix el body). Exclou únicament els endpoints JSON i els de 2FA.

4.5 Protecció injeccions SQL

Totes les consultes SQL utilitzen paràmetres posicionals (?). Cap consulta concatena input d'usuari directament. Validació d'entrades amb Pydantic i validators custom.

4.6 Firewall

Port 22 (SSH)	Únicament amb clau pública (autenticació per contrasenya desactivada)
Port 80 (HTTP)	Redirecció automàtica a HTTPS (301)
Port 443 (HTTPS)	Obert — nginx + TLS
Resta de ports	Tancats per firewall Hetzner

4.7 Auditoria i traçabilitat (ENS — op.acc.6)

Registre d'activitat general (registre_activitat): totes les operacions CRUD sobre dades sensibles (crear, modificar, eliminar clients, expedients, documents, etc.)
Log d'accés a documents (documents_access_log): cada descàrrega, previsualització, pujada o eliminació de document queda registrada amb IP, user-agent i resultat
Tracking d'ús (activitat_usuaris): sessions GET autenticades per usuari i path
Tots els registres inclouen: usuari, acció, timestamp, IP i entitat afectada

5. Còpies de seguretat i continuïtat (ENS — op.cont.2)

Freqüència	Diària (automatitzada)
Retenció	7 dies
Ubicació	Servidor Hetzner (Alemanya, UE)
Contingut	Base de dades SQLite + directori de documents xifrats
Restauració	Procediment documentat amb temps objectiu <4h
Disponibilitat	SLA objectiu: 99,5% anual

6. Pla davant bretxa de seguretat (art. 33-34 RGPD)

En cas de detecció d'una violació de la seguretat de dades personals, Drètic actua conforme al protocol:

<24h: Detecció, contenció inicial, avaluació de l'abast
<48h: Notificació al RESPONSABLE DEL TRACTAMENT (l'administració pública contractant)
<72h: Notificació a l'APDCAT/AEPD si la brecha és notificable (art. 33 RGPD)
<30 dies: Informe definitiu amb anàlisi de causa i mesures correctores

La notificació inclou: naturalesa de la violació, categories d'interessats afectats, nombre aproximat, conseqüències probables i mesures adoptades.

7. Mesures organitzatives (ENS — org.*)

Política de contrasenyes: mínim 12 caràcters complexos, gestor corporatiu, no reutilització
Compromís de confidencialitat: signat per tot el personal (art. 5.1.f RGPD)
Formació: periòdica anual en protecció de dades i seguretat
Auditoria interna: anual de seguretat i compliment RGPD
Principi de mínima exposició: accés limitat per rol, visibilitat granular per camp
Principi de minimització: únicament es recullen les dades estrictament necessàries
Política de dispositius: accés al sistema únicament amb dispositius corporatius o autoritzats amb 2FA

8. Conservació i supressió de dades (art. 5.1.e RGPD)

Durant la relació contractual	Tota la durada de la prestació del servei
Documentació jurídica i fiscal	5 anys (art. 30 Codi Comerç) — 6 anys per documents fiscals
Registres d'auditoria	2 anys mínims
Dades de beneficiaris de programes	Conforme als terminis establerts per l'administració contractant
Supressió	Destrucció segura (overwrite + eliminació de còpies de seguretat) o devolució en format estructurat, a elecció del RESPONSABLE

9. Compliments normatius

RGPD (UE) 2016/679	Conforme
LOPDGDD (LO 3/2018)	Conforme
ENS (RD 311/2022) — Nivell Mig	Alineat — en procés de certificació formal
LSSI-CE (Llei 34/2002)	Conforme
Directiva NIS2 (2022/2555)	En seguiment de transposició espanyola

10. Subencarregats autoritzats

Subencarregat	Servei	Ubicació	DPA públic
Hetzner Online GmbH	Allotjament VPS i backups	Alemanya (UE)	Veure DPA
Anthropic, PBC	API IA Claude (opcional — desactivable)	EUA (EU-US DPF)	Veure DPA

Drètic notificarà amb 30 dies d'antelació qualsevol canvi en la llista de subencarregats. El RESPONSABLE pot vetar un nou subencarregat amb justificació raonable.

11. Contacte i verificació

Per a verificar el contingut d'aquesta memòria, sol·licitar documentació addicional o iniciar una auditoria:

Email protecció de dades: info@dretic.cat
Telèfon: 935 95 17 49 (Dl-Dv 9-18h)
Web: www.dretic.cat

Versió PDF signada
Per a licitacions i concursos que requereixin la memòria en PDF signat digitalment (certificat eIDAS), contacteu a info@dretic.cat. S'enviarà en el termini de 5 dies hàbils.

Última actualització: 27 d'abril de 2026