HermesAI
PreciosPartnersQuiénes somosContacto
Seguridad

Lo que tenemos. No lo que aspiramos a tener.

Acceso por rol. Revisión de temas sensibles integrada en el pipeline, no añadida por encima. Arquitectura anclada en fuentes y contraste cruzado entre varias fuentes que impiden que la IA escriba lo que no puede sostener. Los subprocessors se listan aquí por categoría y se nombran en detalle en el DPA. Lo que aún no afirmamos, no lo afirmamos.

Infraestructura gestionada

Las capas críticas para la seguridad se ejecutan sobre servicios gestionados en lugar de infraestructura propia. Cada proveedor es responsable de su capa. Los nombres concretos de los proveedores y las condiciones del DPA están disponibles antes de la firma del contrato.

Autenticación

Autenticación y gestión de sesiones

La autenticación, las sesiones y la pertenencia a la organización se delegan en un proveedor de identidad gestionado. HermesAI no almacena ni gestiona credenciales de sesión en bruto.

Facturación

Facturación y ciclo de vida de la suscripción

El procesamiento de pagos, el estado de la suscripción y los flujos de checkout pasan por un proveedor de facturación gestionado. Los datos de tarjeta nunca tocan los servidores de HermesAI.

Base de datos

Base de datos principal

El estado de la aplicación, los datos de cada tenant y los registros editoriales viven en un cluster Postgres gestionado. Las copias de seguridad, la conmutación por error y el cifrado en reposo los gestiona el proveedor.

Caché y rate limiting

Rate limiting y estado transitorio

Estado en memoria para rate limiting, bloqueos de procesamiento del feed y flags de workflow de corta duración. Aquí no se guardan datos sensibles persistentes.

Compute y hosting

Compute y hosting

El compute de la aplicación corre sobre una plataforma de hosting gestionada. El aislamiento de red, la mitigación de DDoS y la terminación TLS son ajustes por defecto de la plataforma.

CDN y edge

CDN y red edge

Los activos estáticos y el enrutado edge pasan por una CDN gestionada. Las reglas WAF y la mitigación de bots se aplican en la capa de red.

Controles de producto

Controles implementados en la capa de aplicación, visibles en el código actual.

01

Áreas del producto restringidas por rol

Las rutas de admin y las rutas del newsroom del tenant están separadas a nivel de middleware. Los roles de plataforma para operaciones son distintos de los roles editoriales del tenant. El acceso se aplica en el servidor en cada petición.

02

Verificación de firmas de webhook

Los eventos de webhook de facturación e identidad se verifican contra firmas HMAC de sus respectivos proveedores antes de procesarse. Los payload reenviados o manipulados se rechazan. Las claves de idempotencia evitan el procesamiento duplicado del mismo evento.

03

Hashing de claves API

Las claves de integración del tenant se almacenan como valores hasheados con prefijos enmascarados truncados para su visualización. La clave completa se muestra una sola vez en el momento de la creación y no se puede recuperar de la plataforma después.

04

Comprobaciones de red para destinos de webhook

Los endpoint de webhook salientes enviados por los tenants se validan contra rangos de direcciones reservados y no públicos antes de su uso. Esto bloquea ataques SSRF dirigidos a direcciones de red internas a través del sistema de entrega de webhook.

05

Registros operativos

Los payload de webhook de facturación e identidad se archivan para auditoría e investigación de incidentes. Estos registros permiten el diagnóstico sin depender únicamente de los logs de proveedores externos.

Lo que no afirmamos

Las páginas de seguridad suelen exagerar. Esto es lo que esta página no afirma.

01

Ninguna certificación salvo que se publique.

HermesAI no dispone de SOC 2, ISO 27001 ni certificaciones equivalentes en esta fase. Si se obtiene alguna, se publicará de forma explícita. Una página de seguridad no es una certificación.

02

Sin programa público de bug bounty.

No existe un programa público de bug bounty activo. Los investigadores de seguridad deben enviar sus hallazgos al contacto de seguridad. Los informes se revisan; no se prometen recompensas.

03

Sin SLA de disponibilidad salvo contrato.

Los planes Free, Plus y Pro no incluyen ninguna garantía de disponibilidad. Los contratos Enterprise pueden definir SLA; consulta el acuerdo concreto.

04

Sin prevención de errores editoriales de IA.

El producto genera artículos con IA. Pueden contener errores factuales, atribuciones incorrectas o cobertura incompleta. La revisión editorial antes de publicar es una premisa de diseño, no un paso opcional.

05

No sustituye la revisión de derechos del editor.

Los controles de seguridad no cubren licencias de contenido, derechos de atribución ni condiciones de sindicación. Esas son cuestiones legales y comerciales aparte.

¿Has encontrado un problema de seguridad?

Repórtalo por el canal de seguridad. Incluye la ruta afectada, los pasos para reproducirlo y tu estimación de impacto. Los informes se revisan; no hay programa público de bounty.

Aún no se ha publicado una bandeja de entrada de seguridad.

Todos los canales de contacto →
HermesAI

Un newsroom de IA hecho a propósito. Monitoriza en continuo un catálogo de más de 1.400 fuentes, agrupa la misma historia en distintos medios, contrasta cada afirmación y redacta artículos localizados que tu redactor usará de verdad.

XLinkedIn

Producto

  • Precios
  • Partners
  • Seguridad
  • Contacto

Empresa

  • Quiénes somos
  • Empleo

Legal

  • Términos
  • Privacidad
  • Cookies
  • GDPR
  • Política de IA

© 2026 HermesAI. Todos los derechos reservados.

Tu newsroom de IA multilingüe.