Autenticación
JWT con refresh tokens. Las Publish Keys se almacenan hasheadas. Nunca exponemos claves completas.
Aislamiento
Cada workspace tiene sus propios datos aislados. No hay cruce de información entre organizaciones.
Rate limits
Límites por IP y por clave para evitar abusos.
CORS
Configuración segura para integraciones desde tu dominio.
Cifrado de claves BYOK
Las claves OpenAI que aportas (BYOK) se cifran con AES-256-GCM antes de guardarse, con un IV aleatorio en cada operación y verificación del auth tag en cada lectura. La rotación de la clave de cifrado es un proceso manual, no automático.
Webhooks de Stripe verificados
Los dos endpoints de webhook de Stripe (facturación y Connect) verifican la firma de cada evento antes de procesarlo, rechazando cualquier petición que no proceda de Stripe.
Cabeceras seguras y validación estricta
Cabeceras HTTP de seguridad (Helmet) en todas las respuestas, y validación estricta de cada payload que rechaza campos no esperados (protección anti mass-assignment).