1. Nuestro compromiso con la seguridad
En Adstriq, la seguridad no es un añadido posterior — es un principio fundamental integrado en cada capa de nuestra arquitectura. Aplicamos una estrategia de defensa en profundidad con múltiples barreras de seguridad independientes, garantizando que ningún punto único de fallo pueda comprometer los datos de nuestros clientes.
2. Aislamiento de datos multi-inquilino
Los datos de cada cliente están aislados a nivel de base de datos mediante PostgreSQL Row-Level Security (RLS) con 79 políticas de cumplimiento en 28 tablas. Cada consulta se filtra automáticamente por ID de inquilino, inyectado a través de claims JWT firmados criptográficamente. Esto garantiza que incluso ante un error a nivel de aplicación, un inquilino nunca pueda acceder a los datos de otro.
3. Cifrado
Todos los datos se cifran en tránsito mediante TLS 1.3 (HTTPS y WSS). Nuestros dominios .app y .dev están en la lista HSTS Preload de Google, haciendo imposibles los ataques de degradación HTTP. Las cookies de autenticación se cifran en reposo con AES-GCM de 256 bits. El almacenamiento en base de datos utiliza el cifrado en reposo integrado de Supabase.
4. Autenticación y autorización
Utilizamos JSON Web Tokens ES256 (asimétricos) para toda la autenticación — el estándar más robusto comparado con HS256. La autenticación de dispositivos usa cookies HttpOnly, Secure y SameSite, haciendo que los tokens sean inmunes al robo por XSS. El inicio de sesión del dashboard está protegido por verificación anti-bot Cloudflare Turnstile. Todas las entradas de API se validan con esquemas Zod antes de llegar a la base de datos.
5. Seguridad de infraestructura
Adstriq opera en la red edge global de Cloudflare (más de 330 ciudades) con protección DDoS integrada, y nuestro proxy de API proporciona limitación de tasa centralizada, guardas de tamaño de cuerpo y una lista de bloqueo de dispositivos aplicada en el edge. Todas las IPs del lado del servidor se inyectan vía CF-Connecting-IP (no falsificable), previniendo la suplantación de direcciones IP.
6. Cabeceras de seguridad
Todos los servicios de Adstriq aplican un conjunto completo de cabeceras de seguridad: Content-Security-Policy (estricta, sin unsafe-eval), HSTS con preload, X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy (strict-origin-when-cross-origin) y Permissions-Policy (cámara, micrófono y geolocalización restringidos).
7. Control de acceso y auditoría
Cada operación de escritura genera una entrada inmutable en el registro de auditoría con marca de tiempo, ID de usuario, ID de inquilino, tipo de acción y referencia de entidad. Los registros de auditoría son de solo anexar y se retienen durante 90 días en almacenamiento activo y 1 año en almacenamiento frío, en cumplimiento con ISO 27001 A.5.28. Los datos sensibles nunca se registran — solo IDs de entidades y metadatos de acciones.
8. Seguridad de cadena de suministro y CI/CD
Todas las dependencias están fijadas y se auditan automáticamente. Nuestro pipeline de CI ejecuta pnpm audit como barrera obligatoria — las compilaciones con vulnerabilidades altas o críticas se bloquean antes de fusionarse. Todas las GitHub Actions usan versiones fijadas por SHA para prevenir ataques a la cadena de suministro. Los mapas de código fuente se eliminan de las compilaciones de producción.
9. Reporte de vulnerabilidades
Agradecemos la investigación de seguridad responsable. Si descubres una vulnerabilidad, por favor repórtala a security@adstriq.com. Nos comprometemos a confirmar la recepción del reporte en 48 horas y proporcionar un plazo de resolución en 5 días hábiles. Nuestro archivo /.well-known/security.txt proporciona instrucciones de reporte legibles por máquina según RFC 9116.