Cómo protegemos tu servidor y tus datos

Cuando pegas el comando en tu terminal, se descarga un script ligero que se ejecuta localmente en tu máquina. Nosotros nunca accedemos a tu servidor por SSH, no recibimos credenciales y no tenemos acceso remoto de ningún tipo.

El agente detecta tu stack (sistema operativo, Docker, Nginx, bases de datos), ejecuta los checks de seguridad y envía solo los resultados a nuestra API. Al terminar, se elimina automáticamente.

Sí envía:

• Estados de configuración: si el login admin por SSH está habilitado, qué puertos están abiertos, si el firewall está activo.
• Versiones de software instalado (para detectar vulnerabilidades conocidas).
• Metadatos del sistema: distribución Linux, versión del kernel, servicios activos.

No envía:

• Contenido de archivos del servidor.
• Valores de variables de entorno, contraseñas o API keys.
• Datos de bases de datos o código de aplicación.
• Certificados SSL ni claves privadas.

El agente es de solo lectura. No cambia ninguna configuración, no reinicia servicios, no instala paquetes y no crea usuarios. Lee información del sistema para evaluarla, nada más.

El script se elimina a sí mismo al finalizar. Tu servidor queda exactamente como estaba antes de la auditoría.

Toda la comunicación entre el agente y nuestra API se realiza sobre HTTPS con TLS. Los resultados viajan cifrados en tránsito. No se transmite información por canales no cifrados.

Los resultados de los checks se procesan en nuestro backend para generar un informe en lenguaje claro. Utilizamos Claude API (Anthropic) para redactar las explicaciones y los comandos de corrección. El modelo recibe únicamente los resultados de los checks (estados, puertos, versiones), no datos identificativos del servidor más allá de la distribución y los servicios detectados.

La auditoría de pago incluye un escaneo externo de puertos con nmap desde nuestros servidores contra tu IP pública. Esto muestra qué puertos y servicios son visibles desde internet, independientemente de la configuración del firewall local. El scan se ejecuta una única vez por auditoría.

Los informes se almacenan en PostgreSQL con acceso restringido. Cada informe solo es accesible por el email que solicitó la auditoría. No publicamos informes ni los compartimos con terceros. Los informes se conservan durante 12 meses.

Los pagos se procesan íntegramente a través de Stripe. No almacenamos números de tarjeta, CVV ni datos bancarios en nuestros servidores. Stripe cumple con PCI DSS Level 1, el estándar más alto de seguridad en procesamiento de pagos.

Somos un producto nuevo. Creemos que la transparencia genera más confianza que las certificaciones:

• No tenemos certificación SOC 2 (todavía). La buscaremos cuando nuestra base de clientes lo justifique.
• No hemos hecho un pentest externo formal (todavía). Lo haremos cuando alcancemos ingresos significativos y publicaremos los resultados.
• No inventamos criptografía propia. Usamos estándares probados (TLS, AES-256, HTTPS).

Esta página siempre refleja nuestro estado actual, no aspiraciones.

Si tienes dudas sobre cómo funciona la auditoría o cómo protegemos tus datos, escríbenos a hello@securecodehq.com.