Legal
Seguridad
Cómo protegemos tu cuenta, tus llaves y tu código. Este documento resume la arquitectura de seguridad de Theus y el canal para reportar vulnerabilidades de forma responsable.
1. Arquitectura local-first
- El CLI de Theus indexa tu proyecto, construye el grafo de código y guarda la memoria de trabajo en tu máquina, bajo tu directorio de usuario. Tu repositorio nunca se sube a nuestros servidores.
- Hacia la API solo viaja el contenido estrictamente necesario de cada solicitud que tú inicias. Con modelo local o BYOK, ni siquiera eso pasa por nuestra infraestructura.
- Los prompts y resultados no se usan para entrenar modelos ni se comparten con terceros fuera de la ruta que atiende tu solicitud.
2. Autenticación y sesiones
- Inicio de sesión sin contraseña mediante enlaces de un solo uso con expiración de 15 minutos, o mediante proveedores de identidad con OAuth 2.0 / PKCE.
- Las sesiones se gestionan con cookies propias con atributos de seguridad (HttpOnly, SameSite) y pueden cerrarse desde la consola en cualquier momento.
- El flujo de conexión del CLI usa OAuth con PKCE y retorno por callback en localhost, sin exponer credenciales en la terminal ni en archivos de configuración compartidos.
3. API keys
- Las llaves se muestran completas una sola vez, al crearlas. En nuestra base solo se guarda un hash criptográfico y una vista previa parcial: ni nosotros podemos recuperar la llave original.
- Puedes revocar cualquier llave al instante desde la consola.
- Recomendación: usa una llave distinta por máquina o integración, rótalas periódicamente y nunca las publiques en repositorios ni las compartas por chat.
4. Pagos
Todos los pagos se procesan con Stripe, proveedor certificado PCI DSS nivel 1. Los datos de tarjeta se ingresan directamente en las páginas de Stripe: no tocan nuestros servidores, no se registran en nuestros logs y no se almacenan en nuestra base de datos. Los webhooks de facturación se verifican por firma.
5. Infraestructura y operación
- Todo el tráfico externo usa HTTPS con TLS 1.2 o superior.
- El servicio de identidad y facturación corre como proceso aislado con privilegios mínimos, detrás de un proxy inverso que solo expone las rutas necesarias.
- Acceso administrativo restringido por principio de mínimo privilegio, con llaves SSH y sin contraseñas compartidas.
- Copias de seguridad periódicas del almacén de cuentas, cifradas y con retención limitada.
- Logs técnicos con retención máxima de 12 meses, usados solo para seguridad y diagnóstico.
6. Disponibilidad
Objetivo de disponibilidad mensual del 99.5% para la API de suscripción y la consola, con mantenimientos programados anunciados con al menos 48 horas de anticipación. Las condiciones y créditos por incumplimiento están definidos en los términos de servicio.
7. Divulgación responsable de vulnerabilidades
Si encuentras una vulnerabilidad en theus.pe, en la API o en el CLI, escríbenos a astratechnology@icloud.com con el asunto «Seguridad Theus». Confirmamos recepción en un máximo de 72 horas y no iniciaremos acciones legales contra investigaciones de buena fe que no afecten datos de otros usuarios ni degraden el servicio.
- Incluye pasos de reproducción y el impacto estimado.
- No accedas a datos de terceros ni realices pruebas destructivas.
- Danos un plazo razonable para corregir antes de divulgar públicamente.
8. Buenas prácticas para tu equipo
- Protege el correo asociado a tu cuenta con autenticación de dos factores.
- Revoca las API keys de personas que dejan tu organización.
- Usa modelo local o BYOK para proyectos con requisitos estrictos de confidencialidad: el código no saldrá de tu entorno.
- Mantén el CLI actualizado para recibir correcciones de seguridad.
