Trust & Security

Seguridad visible para usuarios reales.

Altair combina controles técnicos, límites comerciales y operación verificable. No declaramos certificaciones no obtenidas; mostramos lo que existe y lo que debe validarse en producción.

CuentaSesiones seguras, correo verificado, cookies HttpOnly/Secure.
DatosArchivos por usuario, owner checks, rutas seguras y bloqueo de traversal.
EjecuciónSandbox Docker obligatorio en producción y herramientas peligrosas desactivadas.
PagosWebhooks verificados e idempotencia antes de acreditar créditos.

Lo que comunicamos con honestidad

Preparado para beta comercial

El paquete incluye limpieza de secretos, rutas públicas controladas, validación por usuario y documentación operativa.

Gates antes de público masivo

Pagos reales, usuario A/B, sandbox en VPS, monitoreo, backup restore y pentest externo deben pasar antes de apertura amplia.

Sin certificaciones inventadas

Si SOC 2, DPA o auditorías externas no están completas, se presentan como roadmap y no como promesa.

Controles principales

Aislamiento por usuario

Proyectos, chats, tareas, archivos y memoria se validan por dueño antes de leer o escribir.

Sandbox Docker

En producción debe forzarse Docker sandbox, sin fallback local inseguro ni host paths abiertos.

Archivos seguros

Sanitización de nombres, rechazo de extensiones peligrosas, límites de tamaño y protección contra symlinks.

HTTP hardening

CORS por dominio, headers de seguridad, HSTS en producción, CSP configurable y rate limits.

Secretos fuera del repo

El paquete no incluye .env real, claves, tokens, memoria local ni credenciales sensibles.

Uso aceptable

Ingeniería legítima permitida. Abuso evidente, robo de credenciales o daño a terceros se bloquea.

Estado honesto de confianza

Altair está preparado para staging y beta comercial. Para público masivo se debe completar validación real.

✅ Paquete limpio y gates locales
✅ Landing, soporte y legales públicos
🟡 Staging, pagos y usuario A/B por validar
🟡 Monitoreo y backup restore por validar
🔴 SOC 2 / certificaciones: roadmap, no declarado
Roadmap de confianza

Lo que Altair debe validar antes de escalar masivo.

Staging realDominio, SSL, correo, PostgreSQL, Redis y sandbox probados.
Pagos realesWebhook firmado, idempotencia, rechazo de falsos y créditos una sola vez.
Prueba A/BUsuario A nunca accede a proyectos, archivos, tareas o memoria de B.
PentestRevisión externa de auth, WebSocket, archivos, sandbox, XSS y pagos.

Reporte de vulnerabilidades

Si encuentras un fallo, escríbenos a seguridad@altairapp.ai con URL, pasos, impacto y evidencia mínima. No accedas ni extraigas datos de terceros.

Reportar seguridad