Saltar al contenido principal
AegisAegis
Beta próximamenteHabilitaremos el acceso a la app durante la beta.

Política de Seguridad

Última actualización: 2026-06-26

1. Visión General

Esta Política de Seguridad describe las medidas técnicas y organizacionales que Aegis Bot utiliza para proteger los datos de los usuarios y la integridad de la plataforma.

2. Seguridad de Contraseñas

Las contraseñas nunca se almacenan en texto plano. Todas las contraseñas se hashean usando la función de derivación de clave scrypt antes de su almacenamiento. Aegis Bot no usa bcrypt ni argon2 para el hasheo de contraseñas.

3. Protección de API Keys

Las API keys de exchanges enviadas por los usuarios se cifran en reposo usando AES-256-GCM antes de ser almacenadas en la base de datos. Las keys solo se descifran dentro del runtime del bot cuando son requeridas para operaciones en el exchange. Las keys en texto plano nunca se registran ni se exponen a través de la API del dashboard.

4. Cifrado de Datos en Tránsito

Toda la comunicación entre los usuarios y la plataforma ocurre sobre HTTPS (TLS). La comunicación entre servicios internos usa canales autenticados.

5. Cifrado de Datos en Reposo

Las API keys de exchanges se cifran con AES-256-GCM. Las copias de seguridad cifradas de la base de datos están planificadas como parte del roadmap de infraestructura y se implementarán cuando las condiciones lo permitan; no están garantizadas al momento del despliegue inicial.

6. Autenticación y Seguridad de Sesión

Las sesiones de usuario son gestionadas a través del framework Better Auth con expiración configurable y caché de sesión. La verificación de correo electrónico es requerida para nuevas cuentas cuando un servicio de entrega de correo está configurado. La autenticación de dos factores (2FA) aún no está disponible; está planeada para una versión futura.

7. Registros de Consentimiento

Aegis Bot registra el consentimiento auditable en la creación de cuenta y en eventos de consentimiento posteriores, incluyendo la dirección IP y el user-agent al momento de la aceptación. Estos registros se conservan como historial legal de auditoría.

8. Divulgación de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Aegis Bot, por favor repórtala de forma responsable al correo electrónico de contacto publicado en la sección del responsable del tratamiento de la Política de Tratamiento de Datos. No divulgues vulnerabilidades públicamente antes de que hayamos tenido una oportunidad razonable de investigar y remediar.

9. Respuesta a Incidentes

En caso de un incidente de seguridad que afecte datos de usuarios, notificaremos a los usuarios afectados y a las autoridades pertinentes según lo exija la ley aplicable.

10. Limitaciones

Ninguna medida de seguridad es absoluta. La exposición de datos por mala configuración o vulnerabilidades de día cero sigue siendo un riesgo residual que monitoreamos y mitigamos activamente. Los usuarios deben ejercer precaución con sus credenciales de API de exchange y usar API keys con permisos mínimos requeridos (solo trading, sin acceso de retiro).

11. Cambios a Esta Política

Podemos actualizar esta política periódicamente. Los cambios materiales serán notificados a través de la plataforma o por correo electrónico.