Seguridad y compliance
Resumen ejecutivo
Pixel Squads está construido con principios de seguridad por defecto. Hosting EU (Hetzner Frankfurt + Neon EU-Central), cifrado AES-256-GCM en reposo, TLS 1.2+ en tránsito, contraseñas con Argon2id. Multi-tenancy con aislamiento estricto a nivel base de datos. Esta página resume controles operacionales actuales y roadmap de compliance formal.
Para Enterprise: SOC 2 Type II en preparación (target Q4 2026). Si necesitas el cuestionario de seguridad completo, NDA-firmado, o un test de penetración bajo NDA, escribe a security@squadslab.com.
🔒 Política BYOK — nunca guardamos tu API key de Anthropic
Default browser-only: tu API key de Anthropic vive solo en localStorage
del navegador donde la pegas. Cuando envías un mensaje, la key viaja en el header HTTP
X-Anthropic-Key para esa request específica. Nuestro backend la usa transitoriamente
en RAM y la descarta — nunca la persistimos.
Es la misma política que aplicamos en la extensión Pixel Squads para VS Code: el cliente conserva el control total de su key, sin punto único de fallo en nuestros servidores. Si nos roban, no podemos filtrar lo que no tenemos.
Opt-in opcional para Enterprise: clientes que necesiten trabajos en background (alertas automáticas, cron tasks, dashboards que se refrescan sin sesión activa) pueden activar "allow server-side key" en Ajustes. En ese caso, las keys se almacenan cifradas con AES-256-GCM y master key separada en variable de entorno. Es opt-in explícito y siempre revocable.
Matriz de controles
| Control | Estado | Detalle |
|---|---|---|
| Cifrado en tránsito | activo | TLS 1.2+ obligatorio. HSTS con max-age 1 año. |
| Cifrado en reposo (DB) | activo | Postgres en Neon — cifrado AES-256 a nivel disco. |
| API keys de cliente (Anthropic) | BYOK browser-only | Default: vive en localStorage del cliente, viaja por header X-Anthropic-Key, NO persistimos. Opt-in Enterprise: AES-256-GCM con master key separada. |
| Hashing de contraseñas | activo | Argon2id (estándar OWASP). Sin SHA legacy. |
| Sesiones y CSRF | activo | Cookies HMAC-SHA256 firmadas, httpOnly, sameSite=lax. Token CSRF doble (cookie + header) en mutaciones. |
| Verificación constante de tiempo | activo | timingSafeEqual en HMAC y bearer auth para evitar timing attacks. |
| Aislamiento multi-tenant | activo | Foreign keys con cascade. Ownership check en cada endpoint customer. RBAC por role (admin/customer). |
| Audit log | activo | Eventos críticos (signup, password, key, payments, GDPR delete) registrados con actor, IP, user-agent. Retención 12 meses. |
| Stripe webhook signature | activo | Verificación de firma en cada webhook entrante. Idempotencia con stripe_event_id UNIQUE. |
| Backups Postgres | activo | Neon: snapshots automáticos cada hora, retención 7 días en plan Pro. Branching point-in-time. |
| Data residency EU | activo | Hetzner Frankfurt + Neon EU-Central. Stripe Payments Europe Ltd. |
| Rate limiting | en progreso | Endpoints públicos críticos (signup, login, forgot) tendrán rate limit en próxima iteración. |
| SSO SAML (Okta / Azure AD) | en progreso | Disponible en plan Enterprise — disponible bajo solicitud durante POC. |
| SOC 2 Type II | en preparación | Drata / Vanta como gestor. Auditoría target Q4 2026. Pen test externo Q3 2026. |
| Pen test externo | planeado | Q3 2026 con auditor independiente. Resultados disponibles bajo NDA. |
| BYOK (cliente trae su API key) | activo | Default en todos los planes. Cliente conserva control de su cuenta Anthropic. |
| Multi-region failover | roadmap 2027 | Replica HEL secundaria para Enterprise multi-región. Hoy single-region FRA. |
| On-prem deployment (Helm chart) | en progreso | Plan Enterprise — disponible bajo POC. Helm chart funcional, migración a estándar Q3 2026. |
Subprocesadores
Listamos cada subprocesador con función y región. Te notificaremos con 30 días de antelación si añadimos uno nuevo material.
- Hetzner Cloud GmbH (Alemania) — hosting de cómputo y red. EU.
- Neon (EU-Central) — base de datos Postgres gestionada. EU.
- Stripe Payments Europe, Ltd. (Irlanda) — procesamiento de pagos. EU.
- Resend (Delaware, USA) — emails transaccionales. SCC firmadas para transferencia internacional.
- Anthropic, PBC (USA) — modelo Claude para procesamiento agéntico. SCC firmadas. Procesamiento bajo BYOK del cliente por defecto.
- Cloudflare (USA / global) — DNS y CDN. SCC firmadas.
Reporte de vulnerabilidades
Si encuentras un fallo de seguridad, escríbenos a{' '} security@squadslab.com{' '} con detalle reproducible. Compromisos:
- Acuse de recibo en menos de 48 horas.
- Triaje y plan de mitigación en 7 días.
- Reconocimiento público en hall of fame (con tu permiso) tras corrección.
- Sin acciones legales contra investigadores que sigan responsible disclosure.
Recursos para diligence
Documentos disponibles
- Cuestionario CAIQ Lite (descarga sin NDA)
- Política de seguridad de la información
- Política de continuidad de negocio
- Procedimiento de incidentes de seguridad
Bajo NDA
- Reporte de pen test (cuando esté disponible)
- SOC 2 Type II report (cuando esté disponible)
- Cuestionario de seguridad personalizado
- DPA (Data Processing Agreement) firmado
Solicita acceso a documentos bajo NDA escribiendo a{' '} security@squadslab.com{' '} con tu nombre, empresa, y propósito (POC, RFP, evaluación interna).
SLA por plan
| Plan | Uptime | Soporte | RTO / RPO |
|---|---|---|---|
| Free | best-effort | community / docs | — |
| Pro / Standard | 99.5% mensual (target) | email support@ 24h hábiles |
— |
| Bundle 5 | 99.5% mensual (target) | email + Slack 8h hábiles | — |
| Enterprise | 99.9% mensual (contractual) | 24/7 con SLA, oncall escalado | RTO 4h / RPO 1h |