Tus Datos, Protegidos en Cada Capa
AskLee está construido con la seguridad como prioridad — desde secretos cifrados hasta contenedores de bots aislados, verificado por más de 114 pruebas automatizadas en 16 categorías.
Verificado por Pruebas Automatizadas
114+
Pruebas de seguridad
16
Categorías de pruebas
8.000+
Plantillas de vulnerabilidades
24/7
Verificación CI/CD
Arquitectura de Seguridad
Cada capa de AskLee está diseñada para proteger tus datos.
Cifrado en Reposo
Las claves API y los tokens de bot se cifran antes de almacenarse — no podemos leerlos incluso si la base de datos es comprometida.
Detalles técnicos
Cifrado AES-256-GCM con derivación de clave PBKDF2. Vector de inicialización único por operación. Los campos cifrados nunca se registran ni se exponen en las respuestas de la API.
Contenedores de Bots Aislados
Cada bot se ejecuta en su propio contenedor aislado. Un bot no puede acceder a los datos o recursos de otro.
Detalles técnicos
Máquinas virtuales dedicadas con volúmenes por bot y tokens de gateway únicos. Sin estado compartido entre instancias de bots. Aislamiento completo de procesos.
Validación de Entrada
Cada solicitud se valida y sanitiza para prevenir ataques de inyección.
Detalles técnicos
Protección contra XSS, inyección SQL, traversal de rutas e inyección de bytes nulos. Límites estrictos de conjunto de caracteres y longitud en todas las entradas.
Autenticación Segura contra Tiempo
Las verificaciones de autenticación resisten ataques de temporización — sin fugas de información por tiempos de respuesta.
Detalles técnicos
Comparación de cadenas en tiempo constante vía timingSafeEqual() para toda verificación de secretos y tokens. Previene que atacantes infieran coincidencias parciales.
Limitación de Tasa y Protección DoS
Las solicitudes tienen límite de tasa para prevenir abuso. Las cargas sobredimensionadas se rechazan antes del procesamiento.
Detalles técnicos
5 solicitudes por minuto para mutaciones, 20 por minuto para lecturas. Tamaño máximo de cuerpo de 1MB. Limitación de tasa respaldada por Redis vía Upstash.
Cabeceras de Seguridad
Políticas estrictas de seguridad del navegador previenen clickjacking, XSS y detección de contenido.
Detalles técnicos
Content-Security-Policy (sin unsafe-eval), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, HSTS con max-age de 2 años, política CORS estricta.
Escaneo de Seguridad Automatizado
114 pruebas automatizadas se ejecutan en 16 categorías antes de cada despliegue, más escaneos profundos mensuales con más de 8.000 plantillas de vulnerabilidades.
Detalles técnicos
Sonda de seguridad personalizada que cubre protección de gateway, divulgación de directorios, contrabando HTTP, prevención de SSRF, envenenamiento de caché y más. Complementado por el escáner de vulnerabilidades Nuclei con cobertura completa de plantillas.
Seguridad del Transporte
Todo el tráfico está cifrado en tránsito. Solo se aceptan versiones modernas de TLS — sin cifrados débiles, sin degradaciones de protocolo.
Detalles técnicos
Solo TLS 1.2 y 1.3. HTTPS obligatorio en todos los endpoints. HSTS con max-age de 2 años previene ataques de degradación de protocolo. Cero servicios internos expuestos (sin SSH, base de datos ni puertos de depuración).
Autenticación Multicapa
Cada mensaje pasa por tres puntos de verificación de autenticación independientes antes de llegar a tu bot.
Verificación del Canal
Las firmas de webhooks de Telegram, Discord, WhatsApp y Slack se verifican criptográficamente en el borde.
Autorización del Relay
Nuestro proxy relay se autentica con la API usando tokens bearer firmados con HMAC antes de resolver cualquier bot.
Secreto Por Bot
Cada instancia de bot tiene un token de gateway criptográfico único (~190 bits de entropía). Comprometer un bot no puede afectar a otros.
Privacidad y Manejo de Datos
Tus datos te pertenecen. Punto.
Recopilación Mínima de Datos
Solo almacenamos lo necesario para ejecutar tu bot. Sin rastreo analítico, sin perfilado de comportamiento, sin venta de datos a terceros.
Sin Entrenamiento de IA con Tus Datos
Tus conversaciones y contenido del bot nunca se usan para entrenar modelos de IA. Acuerdos de retención cero con todos los proveedores de IA garantizan que tus datos se eliminen inmediatamente después del procesamiento.
Elimina en Cualquier Momento
Eliminación completa de cuenta disponible desde tu panel. Cuando eliminas, eliminamos — sin períodos de retención, sin copias ocultas.
Cumplimiento y Confianza
Nos exigimos los más altos estándares de la industria.
Conforme al RGPD
Privacidad por diseño, portabilidad de datos, derecho a eliminación y acuerdos de procesamiento de datos disponibles para clientes empresariales.
Procesamiento de IA sin Retención
Todos los proveedores de IA (OpenAI, Anthropic, Groq) operan bajo acuerdos de retención cero. Tus mensajes nunca se almacenan por terceros más allá de la llamada API inmediata.
SOC 2 Tipo II en Progreso
Validación de auditoría independiente de nuestros controles de seguridad, confidencialidad de datos y prácticas de privacidad. Finalización prevista en 2026.
¿Encontraste una Vulnerabilidad?
Valoramos la divulgación responsable. Si descubres un problema de seguridad, por favor repórtalo de forma privada. No abras issues públicos en GitHub para vulnerabilidades de seguridad.
Escríbenos a security@asklee.ai
Por favor incluye una descripción del problema, pasos para reproducirlo e impacto potencial.
Nos proponemos confirmar la recepción de reportes en un plazo de 48 horas.
Valoramos tus contribuciones y daremos crédito a los reporteros en nuestros reconocimientos de seguridad.