Nuestro enfoque
Combinamos controles en la aplicación, la infraestructura y los proveedores. Ninguna medida elimina todo riesgo, por eso también mantenemos monitoreo, recuperación y procedimientos de respuesta.
Controles principales
- Acceso administrativo: contraseña robusta, segundo factor TOTP, sesión protegida y bloqueo persistente de intentos.
- Protección contra abuso: cuotas por origen y globales, límites de ráfaga y restricciones específicas para llamadas.
- Datos: acceso directo a Firestore denegado, secretos en Secret Manager y eliminación programada.
- Aplicación: límites de tamaño, validación del lado del servidor, detección de instrucciones maliciosas y cabeceras de seguridad.
- Disponibilidad: límites de escalado y gasto, alertas de actividad anormal y recuperación de Firestore a un punto anterior.
- IA responsable: la IA no controla permisos, pagos ni acciones destructivas; sus errores se tratan como resultados no confiables.
Datos y proveedores
Firebase y Google Cloud alojan la aplicación y sus datos. OpenAI procesa las solicitudes necesarias para el chat y la voz. Aplicamos minimización, límites de retención y evitamos colocar claves o credenciales en el navegador.
Reporte responsable
Si descubres una posible vulnerabilidad, no accedas a datos ajenos, no interrumpas el servicio y no realices pruebas destructivas. Repórtala mediante el formulario de contacto, comenzando el mensaje con “Reporte de seguridad” e incluyendo pasos reproducibles sin secretos ni información personal de terceros.
Alcance de esta declaración
Esta página no es una certificación ni garantiza seguridad absoluta. Describe controles vigentes y puede cambiar cuando evolucione la arquitectura. Los detalles que facilitarían eludir defensas se mantienen confidenciales.