Seguridad y privacidad
La página que tu admin TI pedirá antes de firmar
OAuth 2.0 estándar con tu LMS. Tokens cifrados AES-256-GCM. Residencia de datos en la UE. Escrito para que puedas reenviarlo a tu DPO.
Seis decisiones innegociables del producto
Lo que Merital hace distinto desde el primer commit.
El alumno no accede a Merital
Ni tiene cuenta, ni sabe que Merital existe. Entrega en su LMS como siempre. Cero datos personales de menores en nuestra base de datos.
Tokens cifrados AES-256-GCM
Las credenciales de tu LMS (OAuth access/refresh, Public API tokens) se cifran en base de datos con clave maestra fuera del servidor. Rotación y revocación a demanda.
Multi-tenancy estricta
Aislamiento por lms_connection_id en todas las queries. Dos centros del mismo LMS = dos conexiones cifradas con credenciales distintas, sin acceso cruzado.
Datos en la UE
Base de datos en Supabase eu-west-1 (Irlanda). Edge en Vercel cdg1 (París). OCR y IA ejecutados en regiones UE de Google Cloud.
Estándares OAuth 2.0 y LTI 1.3
Cero protocolos propietarios. OAuth Authorization Code con state nonce anti-CSRF. LTI 1.3 Advantage con validación JWT contra JWKS del LMS y nonce anti-replay.
Borrado al desconectar
Desconectas tu LMS y las credenciales se borran en el mismo request. Rúbricas y comentarios exportables a JSON/CSV durante 30 días. Luego, eliminación definitiva (derecho al olvido GDPR).
Cumplimiento y certificaciones
Estado honesto de cada marco. Si no lo tenemos, lo decimos.
GDPR
Residencia de datos en la UE. Subprocesadores públicos. Contrato DPA disponible. Derecho al olvido implementado en el borrado de la conexión.
1EdTech LTI Advantage Complete
Integración LTI 1.3 construida sobre la librería certificada ltijs de 1EdTech. Certificación formal en curso — la anunciaremos solo cuando esté emitida.
SOC 2 Type II
Arquitectura SOC2-ready hoy (encryption at rest, access logging, least privilege). Auditoría formal en roadmap. Whitepaper de controles disponible bajo NDA.
El archivo del alumno vive en tu LMS
Merital nunca duplica permanentemente los datos del alumno. Flujo completo de un examen:
El alumno entrega en su LMS
Como siempre. Merital no recibe nada en el momento de la entrega. El archivo pertenece y reside en tu LMS.
El profesor abre Merital para corregir
Merital descarga el archivo del LMS bajo demanda vía OAuth. Cache temporal cifrado durante la sesión de corrección, nunca persistente.
Merital publica la nota al gradebook del LMS
La nota vuelve automática al LMS vía REST o LTI AGS. El archivo cacheado se descarta al cerrar la sesión. Sin duplicación permanente.
Preguntas técnicas frecuentes
¿Listo para una revisión técnica con tu equipo?
Agenda una demo específica para TI. Llevamos el whitepaper de seguridad y respondemos lo que tu DPO necesite.