Los controles reales que protegen sus documentos.

Cifrado AES-256 en reposo

Los documentos cargados se escriben en MinIO con cifrado del lado del servidor SSE-S3 por defecto. En producción (Railway), MinIO se ejecuta con KMS habilitado para que SSE-S3 siempre se aplique. En despliegues autoalojados no compatibles sin KMS, MinIO puede recurrir a escrituras sin cifrar; es una decisión de despliegue, no una degradación silenciosa en producción.

backend/app/services/storage_service.py · upload_file()

TLS 1.2+ en tránsito

Cada salto de red — navegador a borde Vercel, borde a backend Railway, backend a proveedores de LLM — usa TLS. HSTS con max-age=63072000 y includeSubDomains está configurado en el dominio principal.

Sin entrenamiento con tus datos

DocTalk enruta las llamadas a LLM a través de OpenRouter. Tus documentos y preguntas nunca son utilizados por DocTalk para entrenar modelos. La retención en el lado del proveedor depende del modelo ascendente (DeepSeek / Mistral); para garantizar cero retención, confiamos en la configuración de privacidad a nivel de cuenta de OpenRouter (control operativo, aún no aplicado a nivel de solicitud en el código), y podemos reforzarlo aún más con una lista de proveedores permitidos por solicitud.

Validación de archivos por bytes mágicos

Las cargas se validan contra los bytes de firma del archivo, no por la extensión. Un .pdf con una carga ejecutable dentro se rechaza en la ingestión; no se puede engañar al analizador renombrando un archivo.

backend/app/services/upload_service.py · verificación de bytes mágicos

Protección contra SSRF en la ingestión de URLs

Cuando introduces una URL para resumir, el backend valida el destino contra una lista de hosts públicos permitidos y rechaza cualquier solicitud a rangos de IP privadas, direcciones de enlace local o puntos finales de metadatos en la nube (169.254.169.254, etc.).

backend/app/core/url_validator.py

Límites de tasa en puntos finales anónimos

Los puntos finales públicos (vistas compartidas, lecturas anónimas) tienen límites de tasa por IP. La IP real del cliente se reenvía desde el borde Vercel a nuestro backend con una firma HMAC-SHA256 vinculada a una marca de tiempo por solicitud, para que el backend pueda autenticar el origen del proxy y rechazar intentos de suplantación de cabeceras. Esto no es una defensa contra un MITM activo a nivel de cable; TLS maneja esa capa. Los usuarios autenticados evitan el límite de tasa por IP.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

Exportación completa de datos

Desde Perfil → Cuenta puedes exportar todos tus documentos y datos de sesión. La exportación incluye todo lo que DocTalk almacena sobre ti, en formatos portátiles.

Eliminación de cuenta

Puedes eliminar tu cuenta desde Perfil → Cuenta. Se eliminan todos los documentos, sesiones, historial de chat, incrustaciones y registros de facturación; la cuenta no se puede recuperar después de la eliminación.

Aislamiento de usuarios

Cada documento y sesión está limitado al user_id de su propietario en la base de datos y en la capa de almacenamiento de vectores. No hay espacio de nombres compartido, no hay colección a nivel de organización por defecto, y el aislamiento se aplica en el momento de la consulta, no solo en el momento de la representación.