El inicio de sesión utiliza Supabase Auth (GoTrue) con sesiones JWT. Los tokens se almacenan en cookies HTTP-only, Secure y SameSite mediante el cliente SSR de Supabase. El inicio de sesión con Google o Apple utiliza OAuth 2.0 / OIDC; nunca vemos las contraseñas de los proveedores.

Las contraseñas (cuando se utiliza el registro con correo y contraseña) se cifran con bcrypt con el coste recomendado por la industria. Nunca registramos ni transmitimos contraseñas en texto plano.

Las acciones sensibles (cambio de contraseña, eliminación de la cuenta) pueden requerir reautenticación o un código de un solo uso por correo electrónico. La actividad sospechosa activa límites de frecuencia y puede dar lugar a una revisión de la cuenta.

Todo el tráfico público es exclusivamente HTTPS. Sitio de marketing y aplicación web: TLS terminado por el edge de Vercel y Cloudflare. API y Auth: TLS terminado por nuestro proxy inverso Caddy mediante certificados automáticos de Let's Encrypt; Cloudflare actúa por delante (modo Full Strict).

HSTS estricto está habilitado con un max-age al estilo preload, y se envían las cabeceras X-Content-Type-Options, Referrer-Policy y Permissions-Policy en las respuestas que servimos.

Los datos en reposo se alojan en volúmenes cifrados de Hetzner en Alemania. El acceso a la base de datos requiere credenciales autenticadas con alcance de mínimo privilegio.

Los archivos subidos por personas usuarias se almacenan en un bucket privado de Supabase Storage; las URL firmadas son de corta duración y están limitadas al espacio de trabajo de quien las solicita.

El servidor de producción (Hetzner, Falkenstein) ejecuta Ubuntu LTS con UFW configurado para denegar todo el tráfico entrante por defecto; solo los puertos 22 (SSH), 80 y 443 son accesibles públicamente. SSH es solo con clave.

Los servicios internos (PostgreSQL, embeddings, DECIMER, Supabase) escuchan en 127.0.0.1 dentro de sus contenedores y solo son accesibles a otros servicios a través de una red Docker bridge privada; no están expuestos a internet pública.

El proxy inverso (Caddy 2) enruta api.cheemly.com hacia la API de NestJS y auth.cheemly.com hacia la pasarela Kong de Supabase. Cloudflare actúa por delante para mitigar DDoS y filtrar en el edge.

Las imágenes de contenedor se descargan de GitHub Container Registry; el despliegue se realiza mediante un flujo de trabajo firmado de GitHub Actions que sube las imágenes y activa un `docker compose up -d` controlado en el servidor.

La separación de espacios de trabajo se aplica en la capa de aplicación: toda solicitud de API requiere un JWT válido de Supabase, el identificador de la persona usuaria se extrae en el servidor y las consultas a la base de datos se filtran por ese identificador para que las personas usuarias solo puedan acceder a sus propios hilos, archivos, embeddings, referencias, sesiones de estudio e informes.

La lista de permisos CORS se restringe a https://cheemly.com (producción) y al origen de marketing configurado.

Las entradas se validan con class-validator (DTO de NestJS) y Pydantic (FastAPI), evitando muchas clases de inyección.

Los secretos residen fuera del control de versiones, en archivos de entorno restringidos al usuario root en el servidor de producción, con permisos 600. La clave de despliegue de GitHub Actions tiene su alcance limitado a la VM de producción y es rotable.

Toda respuesta química se somete a una comprobación determinista en Python antes de llegar a la persona usuaria: los SMILES se analizan con RDKit, los recuentos atómicos se equilibran para las reacciones, los nombres IUPAC se verifican mediante ida y vuelta con OPSIN y las citas se resuelven contra API académicas abiertas.

Si la verificación falla, la respuesta se vuelve a generar o se marca como de baja confianza; no entregamos en silencio una estructura alucinada.

Las estructuras en ASCII art están prohibidas por regla del prompt y son detectadas por el crítico; el modelo se ve obligado a regenerar una estructura real renderizada con RDKit.

Todos los datos de pago (número de tarjeta, CVC, credenciales bancarias) los gestiona Stripe, un procesador con certificación PCI-DSS de nivel 1. Cheemly solo almacena el estado de la suscripción, el plan, los metadatos de las facturas y los identificadores de cliente/suscripción de Stripe.

Los eventos de webhook de Stripe se verifican con el secreto de firma del webhook antes de procesarse. La conciliación de la facturación se registra para fines de auditoría.

Los registros operativos cubren errores, latencia, trabajos fallidos, eventos de autenticación y contabilidad de cuotas. Los datos personales se minimizan en los registros; los cuerpos completos de las instrucciones y el contenido de los archivos no se registran de forma rutinaria.

Los eventos de autenticación almacenan la dirección IP, el user-agent y una huella del dispositivo analizada para ayudar a las personas usuarias a revisar «dónde he iniciado sesión».

Mantenemos un registro interno de actividad para eventos relevantes para la seguridad (inicio de sesión, cierre de sesión, cambio de contraseña, subida de archivos, creación de hilos, cambio de plan). Las personas usuarias pueden solicitar una copia de su propio registro de actividad en privacy@cheemly.com.

PostgreSQL se respalda en una rotación diaria. Las copias de seguridad están cifradas y se conservan en un volumen separado de Hetzner.

Objetivo de tiempo de recuperación (RTO): 4 horas para la restauración completa de la base de datos. Objetivo de punto de recuperación (RPO): 24 horas.

Realizamos pruebas de restauración periódicas y disponemos de un entorno de staging separado para pruebas no destructivas.

A cada agente se le proporciona un prompt de barandilla: Moll nunca revela el nombre del modelo subyacente ni el proveedor, rechaza las solicitudes fuera de dominio y rechaza los flujos de trabajo que infringen la política de uso aceptable.

El modo de investigación profunda requiere la confirmación explícita de la persona usuaria antes de ejecutarse; la planificación, la recuperación y la síntesis se realizan por fases que la persona usuaria puede observar y abortar.

La cuota se aplica en el servidor; los clientes no pueden eludir el medidor.

Seguimos un proceso documentado de respuesta ante incidentes: detectar, contener, erradicar, recuperar, notificar y realizar una revisión posterior al incidente.

Cuando una violación de datos personales pueda suponer un riesgo para los derechos de las personas usuarias, lo notificamos a la autoridad de control competente en un plazo de 72 horas (art. 33 RGPD) y, cuando el riesgo sea alto, lo comunicamos a las personas afectadas sin dilación indebida (art. 34 RGPD). El art. 12.5 de la KVKK se trata con el mismo objetivo de 72 horas.

Las notificaciones incluyen qué ha ocurrido, los datos afectados, las acciones adoptadas y los pasos recomendados para la persona usuaria.

Las personas investigadoras en seguridad son bienvenidas. Por favor, escriban a security@cheemly.com indicando los pasos para reproducir el problema, las URL afectadas, una evaluación del impacto y la información de contacto. También se publica un resumen legible por máquina en /.well-known/security.txt.

Por favor, no accedan, modifiquen, eliminen ni exfiltren datos de otras personas usuarias; no realicen pruebas destructivas, spam, phishing, ingeniería social ni ataques de denegación de servicio. Acusaremos recibo de los informes válidos en un plazo de 5 días hábiles y aspiramos a remediar los problemas críticos en un plazo de 30 días. Actualmente no operamos un programa de recompensas remunerado; a petición, daremos crédito a las personas investigadoras en las notas de versión.

La investigación realizada de buena fe conforme a esta política no será objeto de acciones legales por nuestra parte.

Cheemly está diseñado para alinearse con las obligaciones del RGPD, el UK GDPR, la KVKK de Turquía, la FADP suiza y la CCPA/CPRA relevantes para un operador pequeño de productos de IA.

Actualmente no contamos con certificaciones SOC 2, ISO 27001 ni HIPAA. Los clientes empresariales que requieran atestaciones formales de terceros pueden plantear sus necesidades en sales@cheemly.com.

Si necesita un Acuerdo de Tratamiento de Datos, una exportación de la lista de subencargados, una respuesta a un cuestionario de seguridad o una evaluación de impacto de transferencia, contacte con legal@cheemly.com.