Seguridad

Última actualización: 1 de julio de 2026

La confianza se gana con detalles, no con sellos. Acá está exactamente cómo protegemos el servicio — y cómo avisarnos cuando nos equivocamos.

La versión corta

Mínimos datos, ninguna contraseña que robar, criptografía moderna, y un codebase abierto que cualquiera puede auditar. Seguridad por simplicidad.

Autenticación

No hay contraseñas en Zerosoft. Las cuentas entran con Google OAuth 2.0, y las sesiones usan cookies firmadas, httpOnly y SameSite. Robar una base de datos con nuestros hashes de contraseñas es imposible, porque no existe.

API keys

El acceso programático usa API keys personales (prefijo zs_). Las keys se generan con una fuente aleatoria criptográficamente segura, se guardan solo como hashes, se muestran una sola vez, y se revocan al instante desde el dashboard.

El rate limiting — 100 requests por minuto por key — contiene tanto el abuso como los accidentes.

Contraseñas de links

Los links cortos protegidos con contraseña hashean sus contraseñas con scrypt y salts por link. Nunca las guardamos en texto plano y no podemos recuperarlas — si perdés una, simplemente ponés una nueva.

Transporte y cifrado

Todo el tráfico corre sobre HTTPS con TLS moderno. HSTS está habilitado, los requests inseguros se redirigen, y los datos en reposo están cifrados por el proveedor de infraestructura.

Minimización de datos

Nuestras métricas no usan cookies ni fingerprinting por diseño: referrer, país y dispositivo se parsean de los headers del request, y la IP se descarta después de resolver la geolocalización. La mejor forma de proteger datos es no tenerlos.

El open source como auditoría

Cada línea de los productos es pública. No tenés que creer en esta página — podés leer el código, correrlo vos mismo, y verificar las afirmaciones. Los reportes de la gente que hizo exactamente eso son nuestro tipo de email favorito.

Infraestructura

La nube hosteada corre sobre proveedores con certificaciones tipo SOC 2, en entornos aislados con acceso de mínimo privilegio. Los deploys son automatizados, reproducibles y logueados. Los backups están cifrados y se prueban.

Reportar una vulnerabilidad

¿Encontraste algo? Escribinos a security@zerosoft.ai. Si podés, cifrá con nuestra clave PGP — fingerprint 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 (clave completa publicada en zerosoft.ai/pgp.txt; en rotación durante el lanzamiento, y la dirección siempre funciona).

Confirmamos los reportes dentro de 48 horas y apuntamos a triarlos en 5 días hábiles.

Divulgación responsable

Danos una ventana razonable para arreglar antes de publicar; no accedas, modifiques ni borres datos de otra gente; no degrades el servicio mientras probás.

A cambio: no vamos a tomar acciones legales contra investigación de buena fe, te vamos a dar crédito (si querés) cuando salga el fix, y te vamos a agradecer como lo decimos en serio.