Dlaczego legal tech wymaga wyższych standardów
Kancelarie prawne przetwarzają jedne z najbardziej wrażliwych danych na rynku. Tajemnica adwokacka to nie opcja — to obowiązek prawny. Dlatego standardy bezpieczeństwa, które wystarczają dla typowego SaaS, mogą nie wystarczyć dla legal tech.
Multi-tenant vs single-tenant
To najważniejsza decyzja architektoniczna w kontekście bezpieczeństwa. W architekturze multi-tenant dane wielu kancelarii współdzielą infrastrukturę — bazę danych, serwery, środowisko AI. Izolacja opiera się na logice aplikacji.
W architekturze single-tenant każda kancelaria otrzymuje fizycznie odseparowaną infrastrukturę. Nawet jeśli wystąpi błąd w aplikacji, dane jednej kancelarii nie mogą wyciec do innej.
| Aspekt | Multi-tenant | Single-tenant |
|---|---|---|
| Izolacja danych | Logiczna | Fizyczna |
| Ryzyko cross-contamination | Możliwe | Wykluczone |
| Audytowalność | Ograniczona | Pełna |
| Koszty | Niższe | Wyższe |
Checklist bezpieczeństwa
Przy ocenie narzędzia legal tech warto zweryfikować:
- Lokalizacja danych — czy dane są przetwarzane w UE?
- Szyfrowanie — czy stosowane jest szyfrowanie at-rest i in-transit?
- Certyfikacje — ISO 27001, SOC 2 Type II?
- Trening modeli — czy dane kancelarii są używane do treningu AI?
- Audytowalność — czy każde wywołanie AI jest logowane?
- Kontrola dostępu — system ról i uprawnień per sprawa?
- Backup i recovery — RPO i RTO?
Pytania, które warto zadać vendorowi
Przed wdrożeniem warto zadać kilka kluczowych pytań:
- Czy architektura jest single-tenant czy multi-tenant?
- Gdzie fizycznie przechowywane są dane?
- Czy vendor posiada aktualne certyfikaty ISO 27001 i SOC 2?
- Czy dane kancelarii są używane do fine-tuningu lub treningu modeli?
- Jak wygląda proces usuwania danych po zakończeniu współpracy?
Odpowiedzi na te pytania powinny być jednoznaczne i udokumentowane. Jeśli vendor nie potrafi ich udzielić — to sygnał ostrzegawczy.