Seguridad que de verdad puedes leer.
Sin diagramas de marketing. Solo lo que hacemos para mantener tus datos privados, pequeños y en tus manos — en este sitio y en cada producto que entregamos.
Un origen. Cifrado en el cable. Cero terceros. Retención corta. Subprocesadores nombrados.
Las cinco líneas de arriba son toda la postura en una sola respiración. Todo lo de abajo es la evidencia de respaldo — qué significa cada línea, cómo se aplica y cómo reportar un problema cuando algo sale mal.
Cómo gestionamos el sitio y la plataforma
Cifrado en cada cable
Todas las páginas públicas y el tráfico de los productos viajan por TLS 1.3 con cifrados modernos. Los certificados los emite Let's Encrypt y se rotan automáticamente. HTTP Strict Transport Security está configurado con un max-age largo. Nada de lo que escribes cruza la web abierta en texto claro. Las llamadas internas servicio a servicio usan TLS mutuo cuando la ruta de red podría ser observada.
Cero llamadas a terceros
Sin analíticas, sin píxeles, sin redes de publicidad, sin fuentes externas, sin video embebido, sin widgets de redes sociales. Tu navegador solo habla con nuestro origen. Esto se aplica en integración continua por un script llamado no-third-party.mjs que escanea el sitio compilado y hace fallar el lanzamiento si aparece cualquier host externo en el bundle. La promesa es una prueba unitaria, no una línea de marketing. On this marketing site only. Individual products in our portfolio may use named subprocessors — see each product privacy notice for the full list.
Builds firmadas y verificadas
Cada imagen de contenedor que enviamos se construye con un conjunto bloqueado de partes. El lockfile está en git. Revisamos avisos antes de actualizar cualquier parte. Los lanzamientos se firman y comprueban en el host antes de ejecutarse. Una build que falle cualquier check — tamaño del bundle, a11y, terceros — no puede llegar a producción.
Ventanas de retención cortas
Los logs del servidor se guardan catorce días para depuración y luego se borran. Los emails del formulario de contacto se mantienen solo lo necesario para responder y archivar la conversación; luego se archivan hasta veinticuatro meses para registro y luego se borran. Los backups rotan en un ciclo de treinta días y están cifrados en reposo.
Entornos de producto aislados
Cada producto corre con su propia base de datos, sus propios secretos y sus propias reglas. Una intrusión en una herramienta no puede derramarse a otra. Algunas funciones cruzan productos. Inicio de sesión único. Enrutamiento de soporte. Señales de fraude. Movemos solo el mínimo necesario entre productos. Cada flujo está descrito en la página de privacidad de su producto.
Admin detrás de una allow-list
El acceso al panel de Payload CMS y al servidor subyacente está restringido en la capa de proxy a una lista corta de direcciones de internet aprobadas por escrito. Se requiere autenticación multifactor para cada cuenta de administrador. No hay una credencial de "admin" compartida — cada acción es atribuible a una persona con nombre.
Secretos en un vault, nunca en código
Las contraseñas de base de datos, las claves de API, los secretos de firma y los certificados viven en un vault de secretos cifrado y se inyectan en tiempo de ejecución. Los escaneos de código fuente bloquean cualquier commit que intente incrustar una credencial. Los secretos rotados se propagan a los servicios en ejecución en minutos.
Cómo manejamos sus datos
Tú envías menos, nosotros guardamos menos
Solo pedimos lo mínimo que un producto necesita para funcionar. Sin casillas premarcadas. Sin campos "opcionales" que silenciosamente se vuelven obligatorios para obtener resultados. No compramos ni enriquecemos datos personales de terceros.
Tus datos son tuyos
Exportar desde cada producto es una función de primera clase, no un upsell. Borra, y tus datos se eliminan — no "borrado suave para siempre" detrás de un interruptor que no puedes ver. Formatos estándar (CSV, JSON, ICS, PDF) a la salida. Sin lock-in propietario.
No entrenamos con tu contenido
Las funciones de IA usan solo los datos que tú eliges enviar. Los datos quedan dentro del alcance de tu cuenta. Tu contenido privado nunca se usa para entrenar modelos compartidos. Nunca se mezcla con los datos de otro cliente. Nunca se envía a una IA de terceros que conserve tus prompts.
Respuesta transparente a incidentes
Si un evento de seguridad llegara a tocar tus datos, te avisamos en setenta y dos horas. En palabras llanas. Decimos qué pasó, qué hicimos, y qué puedes hacer tú a continuación. Publicamos un post-mortem público una vez terminado el trabajo. Nunca esconderemos una brecha tras una actualización silenciosa de política.
Derecho de acceso, a petición
Puedes pedirnos una copia clara de cada dato personal que tengamos. Puedes pedirnos corregirlo. Puedes pedirnos borrarlo. Puedes pedirnos enviar una copia limpia a otro servicio. Respondemos en treinta días, gratis. Podemos contestar en cualquiera de los catorce idiomas que el sitio habla.
Una lista corta de subprocesadores, con nombre
Un puñado de proveedores nos ayudan a operar la plataforma — por ejemplo nuestro socio de hosting, nuestro socio de email-relay, y cualquier procesador de pagos que un producto use en checkout. Cada uno está nombrado en nuestra página de trust con el propósito que cumple y los datos que toca. Nunca añadimos un subprocesador nuevo en silencio.
Estándares a los que nos adherimos
Seguimos un conjunto pequeño y nombrado de estándares — y somos honestos sobre las auditorías que aún no hemos obtenido.
PIPEDA (Canadá)
Nuestra empresa matriz se constituyó en Alberta. Seguimos la Ley de Protección de la Información Personal y los Documentos Electrónicos. Respondemos ante la Oficina del Comisionado de Privacidad de Canadá. Ahí también puedes llevar una queja de privacidad, después de escribirnos primero.
Derechos equivalentes al RGPD, globalmente
Extendemos los derechos del RGPD europeo a cada usuario, en cada continente. La igualdad de trato es parte de la misión. No una casilla de cumplimiento atada a dónde vives.
WCAG 2.2 nivel AA
La accesibilidad es una propiedad de seguridad — un sitio que no puedes usar es un sitio en el que no puedes confiar. Cada página se construye al menos al nivel WCAG 2.2 AA, con comprobaciones de axe-core que hacen fallar la build ante cualquier violación. Lee la declaración completa en /legal/accessibility.
Sin FedRAMP, sin SOC 2 — todavía
Somos honestos sobre lo que no tenemos. Hoy somos demasiado pequeños para mantener una auditoría SOC 2 Type II o una autorización FedRAMP, y no las reclamaremos en marketing. Cuando un producto entre en un mercado que lo requiera, lo conseguiremos antes de ofrecer ese producto allí.
¿Encontraste algo? Por favor, dínoslo primero.
Envía un email a security@intelligentsingularityinc.com con una descripción y los pasos para reproducir. Confirmamos los reportes en un día laborable. Triajamos en tres. Acreditamos a los investigadores por nombre en el post-mortem cuando se envía una corrección, a menos que pidan permanecer anónimos. No amenazamos ni demandamos a investigadores de seguridad de buena fe, punto.