Seguridad

Tus claves de proveedor (Anthropic, OpenAI, Google, Mistral, DeepSeek, etc.) están cifradas en reposo con AES-256-GCM mediante una derivación de clave HKDF-SHA256 por workspace. Cada operación criptográfica incluye una authentication additional data (AAD) que vincula el ciphertext al par workspace_id:provider, lo que hace imposible la reutilización de un ciphertext entre tenants incluso con acceso directo a la base.

La clave maestra de cifrado (HIWAY_MASTER_KEY) nunca se almacena en base, nunca aparece en los logs, y se inyecta en el container vía variable de entorno. Un backup off-site de la clave maestra se mantiene fuera del VPS.

En claro: un dump bruto de nuestra base Postgres no permite a un atacante descifrar una sola clave BYOK.

Cada workspace está aislado por:

• Row-Level Security Postgres en las tablas críticas (workspace_members, api_keys, workspace_api_keys, invoices).
• Derivación criptográfica por workspace (HKDF con workspace_id como salt) para la bóveda BYOK.
• Claves API HiWay (hw_live_) almacenadas únicamente en forma de hash SHA-256; la clave en claro se muestra una sola vez en la creación.
• Audit log inmutable de toda acción administrador (impersonation, suspensión, revocación) con razón, IP, user-agent, conservado 5 años.

Los prompts enviados vía HiWay2LLM no se loguean en nuestros servidores. Nuestros sistemas de analítica (ClickHouse) solo registran los metadatos: request_id, marca temporal, proveedor retenido, modelo retenido, recuento de tokens (input/output), coste estimado, latencia, código HTTP. El contenido de los mensajes no aparece en ningún momento en disco.

El único caso en que se almacena contenido del lado HiWay es si el Cliente activa explícitamente el Semantic Cache (planes Scale+): los prompts pasados al caché son hasheados y luego almacenados vectorialmente en Qdrant con cifrado tránsito + reposo. El enmascaramiento PII opcional (regex sobre emails, teléfonos, tarjetas, IBAN, claves API) puede ser activado para que ni siquiera el caché vea los identificadores reales.

El Cliente puede purgar su caché en cualquier momento desde el dashboard o la API.

La infraestructura HiWay2LLM corre en un VPS dedicado alojado en OVH (Francia), bajo nuestro control exclusivo. Los controles vigentes a fecha:

• Firewall UFW - solo 22 (SSH), 80 (redirect HTTPS), 443 (HTTPS) expuestos.
• SSH - clave pública únicamente, root desactivado, puerto fail2ban protegido.
• Unattended-upgrades activo para los parches de seguridad OS.
• Headers HTTPS - HSTS 1 año con preload, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin, Permissions-Policy bloqueada.
• Containers Docker - todos los servicios backend escuchan en 127.0.0.1 only (sin exposición de red directa).
• Backups diarios - Postgres (dump cifrado 03h00 UTC, retención 30 días), Redis (snapshot diario, retención 14 días), secretos .env versionados off-site.

Cuentas protegidas por:

• bcrypt + salt en las contraseñas (nunca SHA o MD5).
• 2FA TOTP opcional para todos los users, obligatorio para los admins. Secreto TOTP cifrado AES-GCM per-user. Código QR para enrollment (compatible Authy, 1Password, Google Authenticator, Bitwarden).
• 10 códigos de respaldo generados en el enrollment, hasheados en base, uso único.
• Tokens JWT HS256 con expiración, revocación vía JTI + Redis.
• Protección anti-enumeración: tras 10 intentos de clave hw_live_ fallidos por IP en 2 minutos, la IP es bloqueada 1 hora.

Varias capas de protección están activas por defecto:

• Guardian Anti-Loop - 5 reglas (detección de duplicados, pico de coste, bloat de contexto, agente zombie, rate-limit) en memoria, < 0,5 ms por petición. Configurable por workspace.
• Budget Control - cap mensual sobre el coste upstream BYOK estimado, veredictos BLOCK / DOWNGRADE / LIGHT_ONLY. Evita que una clave comprometida queme tu factura provider.
• Burn-rate alerting - email automático al 50 / 80 / 95 % de la cuota plan.
• Rate limits - por workspace (en función del plan) y por clave HiWay (configurable).
• Admin audit log - toda acción admin se loguea con motivo obligatorio, retención 5 años.

RGPD - Hiway2llm.com es controlador de los datos de cuenta (email, suscripción, facturación) y subencargado de los datos contenidos en los prompts routados. Hosting 100 % Francia (UE). Sin transferencia fuera de la UE para los datos de cuenta. Las peticiones routadas pueden ser enviadas a los proveedores LLM terceros (Anthropic US, OpenAI US, etc.); la lista y las condiciones de cada proveedor están listadas en nuestra Política de privacidad.

Data Processing Agreement (DPA) - disponible bajo demanda para Scale y Enterprise. Contacta con [email protected].

SOC 2 Type II - auditoría iniciada T2 2026 con Drata, informe previsto T4 2026. Compartimos un informe puente bridge bajo demanda para los prospectos enterprise que lo necesiten.

Sin HIPAA ni BAA a fecha - el servicio no está destinado a tratar datos de salud protegidos.

Mantenemos un proceso de incidente de seguridad y divulgación:

• Reporte - envía tu informe a [email protected]. Acusamos recibo en 2 días hábiles.
• Triage - clasificación de severidad (P0 crítico / P1 alto / P2 medio / P3 bajo) en 3 días hábiles.
• Corrección - P0 en 24 h, P1 en 7 días, P2 en 30 días, P3 best-effort.
• Divulgación - para los incidentes que afecten a datos Cliente, notificación directa por email en 72 horas (cumple RGPD art. 33) con naturaleza, volumen afectado, medidas tomadas y medidas recomendadas.
• Bug bounty - sin programa formal a fecha. Los investigadores que reportan de buena fe reciben agradecimientos públicos (con acuerdo) y, para las vulnerabilidades P0/P1, un bounty discrecional.

Scope in: código HiWay2LLM propio, infraestructura VPS, dashboard, API. Out of scope: vulnerabilidades en los proveedores LLM terceros (Anthropic, OpenAI, etc.), ingeniería social, DoS volumétrico, exploits físicos.