Astrolium

Seguridad en Astrolium

Última actualización:

En resumen. Astrolium cifra cada byte de sus datos en reposo con AES-256 y en tránsito con TLS 1.3. Las contraseñas se hashean con Argon2id y jamás se almacenan en texto claro. La autenticación de dos factores está disponible en todos los planes, incluido el gratuito. Los servidores están en Fráncfort con réplica en Dublín. No entrenamos modelos de IA con sus cartas. Consulte la política de privacidad para saber qué datos recopilamos, los términos de servicio para el marco legal, y la página de estado para el tiempo de actividad en tiempo real.

1. Cifrado

  • En reposo — Todos los datos de clientes están cifrados a nivel de volumen con AES-256. Las copias de seguridad de la base de datos se cifran de forma independiente con claves separadas, que se rotan cada 90 días.
  • En tránsito — Cada conexión a Astrolium utiliza TLS 1.3 con precarga HSTS. No aceptamos TLS 1.0 ni 1.1, y TLS 1.2 queda rechazado para nuevas sesiones desde enero de 2026.
  • Copias de seguridad — Copias diarias cifradas, conservadas durante 30 días, almacenadas en una región separada (Dublín) de la principal (Fráncfort). Transcurridos 30 días se eliminan de forma permanente y verificable.

2. Autenticación

  • Contraseñas — Se hashean con Argon2id configurado al coste recomendado por OWASP (memoria: 64 MiB, iteraciones: 3, paralelismo: 4). Nunca vemos su contraseña en texto claro, ni tampoco nuestra base de datos. Si se filtrara el volcado de la tabla de usuarios, solo contendría hashes.
  • Autenticación de dos factores — Disponible en todos los niveles: Free, Pro, Adept y Master. Admitimos aplicaciones TOTP (Authy, 1Password, Google Authenticator) y llaves de seguridad por hardware (WebAuthn).
  • Cookies de sesión — HttpOnly, Secure, SameSite=Lax, y se rotan en cada cambio de privilegios. Las sesiones expiran tras 30 días de inactividad.
  • SSO (Google Workspace, Microsoft 365, Okta) disponible en el nivel Master.

3. Infraestructura

  • El frontend de marketing y el runtime edge se alojan en Vercel. El backend del producto y todos los datos de clientes corren en Hetzner Cloud dentro de la UE, en 2 regiones (Fráncfort como primaria, Dublín como réplica).
  • La aplicación está protegida por Cloudflare contra ataques DDoS y para caché CDN de activos estáticos únicamente; ningún cuerpo de petición se almacena en el edge de Cloudflare.
  • El servicio de efemérides opera en contenedores de 1 vCPU con 2 réplicas por región. Consulte la entrada del blog sobre el servicio de efemérides para los detalles técnicos.
  • El objetivo es un 99,9 % de disponibilidad; el valor real de abril de 2026 fue del 99,96 %. El estado en tiempo real está disponible en la página de estado.

4. Cumplimiento normativo

  • RGPD — Astrolium aplica protecciones equivalentes al RGPD a nivel global, porque es más sencillo y porque creemos que es lo correcto. Lea la política de privacidad para conocer sus derechos y cómo ejercerlos.
  • SOC 2 Type II — Auditoría en curso; fecha de atestación prevista en el T3 de 2026. Actualizaciones en la hoja de ruta.
  • Prueba de penetración — Prueba de penetración anual por terceros. El informe de 2026 se resume más abajo; el informe completo está disponible bajo NDA previa solicitud a clientes enterprise.
  • Subprocesadores — Solo subprocesadores nominados: Vercel (alojamiento del frontend), Hetzner (alojamiento del backend y datos, UE), Stripe (pagos), Postmark (correo transaccional), OpenRouter (inferencia de IA, modelos Google Gemini) y Cloudflare (CDN/DNS). No incorporamos ningún subprocesador sin actualizar antes la política de privacidad.

5. Comunicación de vulnerabilidades

¿Encontró un problema de seguridad? Escríbanos a security@astrolium.com. Respondemos en 24 horas, acusamos recibo en 72 horas y nos comprometemos a publicar correcciones en 7 días para vulnerabilidades de severidad alta. Pagamos recompensas por informes válidos — rangos actuales:

  • Crítico (toma de control de cuenta, ejecución de código en servidor): $1.000–$5.000
  • Alto (bypass de autenticación, exposición de datos sensibles): $500–$2.000
  • Medio (XSS, CSRF, IDOR): $100–$500
  • Bajo (divulgación de información, bypass de límite de tasa): hasta $100

No gestionamos un programa público de bug bounty; los reportes se envían por correo. No tomaremos acciones legales contra investigadores que actúen de buena fe y sigan los principios estándar de divulgación responsable.

6. Propiedad y portabilidad de los datos

Sus datos le pertenecen. Desde la configuración de su cuenta puede:

  • Exportar todas las cartas en un único archivo JSON con un solo clic
  • Exportar cartas individuales en PDF, PNG o SVG con metadatos
  • Eliminar su cuenta de forma permanente en 30 días (copias de seguridad incluidas)
  • Corregir cualquier dato que Astrolium conserve sobre usted

Astrolium no le retiene. El formato de exportación está documentado y es legible por humanos.

7. Inteligencia artificial y aprendizaje automático

Astrolium no entrena modelos de IA con sus cartas, su listado de clientes, sus notas ni sus interpretaciones. Las funciones asistidas por IA usan modelos Google Gemini a través de OpenRouter, que únicamente recibe la carta con la que trabaja en ese momento, a efectos de inferencia. Sus datos de carta nunca se usan para entrenar ningún modelo. La inferencia es sin estado en nuestro lado: sin registros, sin caché de entradas, sin entrenamiento.

8. Incidentes pasados

La página de estado lista todos los incidentes de los últimos 90 días con un postmortem para cualquier interrupción superior a 30 minutos. A la fecha de esta página, ningún incidente ha implicado acceso no autorizado a datos de usuarios. Si alguna vez ocurriera, publicaremos el postmortem aquí y enviaremos un correo a cada usuario afectado en un plazo de 72 horas desde el descubrimiento, dentro del plazo de notificación de brechas del RGPD.

Para nuestra postura de ingeniería general, consulte la entrada sobre el servicio de efemérides. Para el marco legal, vea privacidad y términos. Para el tiempo de actividad, consulte estado. Para cualquier otra cuestión, security@astrolium.com.