Seguridad

Tu conocimiento y el de tus usuarios, protegidos.

JWTClaves hasheadasRate limitsTenant isolationCORS

Autenticación

JWT con refresh tokens. Las Publish Keys se almacenan hasheadas. Nunca exponemos claves completas.

Aislamiento

Cada workspace tiene sus propios datos aislados. No hay cruce de información entre organizaciones.

Rate limits

Límites por IP y por clave para evitar abusos.

CORS

Configuración segura para integraciones desde tu dominio.

Cifrado de claves BYOK

Las claves OpenAI que aportas (BYOK) se cifran con AES-256-GCM antes de guardarse, con un IV aleatorio en cada operación y verificación del auth tag en cada lectura. La rotación de la clave de cifrado es un proceso manual, no automático.

Webhooks de Stripe verificados

Los dos endpoints de webhook de Stripe (facturación y Connect) verifican la firma de cada evento antes de procesarlo, rechazando cualquier petición que no proceda de Stripe.

Cabeceras seguras y validación estricta

Cabeceras HTTP de seguridad (Helmet) en todas las respuestas, y validación estricta de cada payload que rechaza campos no esperados (protección anti mass-assignment).