Seguridad & Cumplimiento

Las partes aburridas, bien hechas.

Residencia UE, aislamiento Firecracker por preview, TLS 1.3 + AES-256, opt-out de entrenamiento por defecto, propiedad total del código. Los detalles abajo — escritos para que un cuestionario de seguridad tenga respuestas sin necesidad de llamada.

Reportar vulnerabilidadSolicitar el DPA →
Arquitectura

Cómo está construida VULK, en seis pilares.

Residencia de datos

La base de datos de producción es PostgreSQL 16 alojada en AWS RDS en eu-central-1 (Frankfurt). Servidores de aplicación en UE. Activos estáticos distribuidos por CDN. Ningún registro de cliente sale de la UE sin un addendum DPA explícito.

  • Base de datos: AWS RDS eu-central-1 (Frankfurt)
  • Servidores app: AWS Frankfurt (eu-central-1)
  • CDN: Cloudflare edge global (solo HTTPS)

Aislamiento de generación

Cada preview en vivo corre en microVM Firecracker dedicada, con kernel, rootfs y namespace de red propios. Un proyecto no puede leer ni afectar el árbol de procesos, filesystem o red de otro. Las VMs se destruyen tras la sesión — sin estado persistente compartido.

  • MicroVM Firecracker por preview
  • Namespace de red + filtro iptables egress
  • Rootfs efímero, destruido al fin de sesión

Cifrado

TLS 1.3 en tránsito en todas partes. AES-256 en reposo en RDS y R2 / S3. Secretos de cliente en keychain (variables de entorno del lado app, nunca registradas, nunca devueltas en respuestas API). Payloads de webhook firmados con HMAC.

  • TLS 1.3 (solo HTTPS)
  • AES-256 en reposo (RDS, R2, S3)
  • Secretos nunca registrados ni devueltos

Política de providers de IA

Enrutamos vía OpenRouter a Anthropic, Google, OpenAI y otros. Preferimos rutas con controles no-training o zero-retention cuando están disponibles. El opt-out de datos de entrenamiento de VULK está incluido en Max y Business; los clientes BYOM pueden imponer la política con sus propias claves.

  • Zero-retention por defecto en modelos enrutados
  • Opt-out de entrenamiento en Max y Business
  • BYOK (clave propia) en Business

Autenticación

Auth con NextAuth y PKCE. Linking con Stripe Customer solo del lado servidor. MFA opcional, SSO vía SAML / OIDC en Business, con entrega de audit log a tu SIEM.

  • NextAuth (PKCE, cookies secure-only)
  • MFA opcional vía TOTP
  • SSO SAML / OIDC en Business

Propiedad del código

Cada proyecto es tu código. Exporta a GitHub o como zip; córrelo en tu infra; cancélanos mañana y las apps que construiste siguen funcionando. No tenemos licencia sobre tu output, y no hay runtime tras una suscripción SaaS.

  • Export completo del repo (GitHub o zip)
  • Sin runtime propietario
  • Licenciable MIT según tus condiciones
Cumplimiento

Cómo gestionamos el cumplimiento.

Lo que hacemos hoy — directo, sin certificaciones que no tenemos.

  • RGPDAlineadoVULK es el responsable del tratamiento. DPA disponible bajo solicitud. Sub-procesadores divulgados y notificados ante cambio.
  • Acuerdo de Tratamiento de DatosDisponibleEnviado gratis en planes Pro y Business. Términos Enterprise revisados en 5 días laborales.
  • PCI-DSSN/A — Stripe gestiona tarjetasLos datos de tarjeta nunca tocan los servidores VULK. Stripe Checkout / Elements gestiona todo el alcance PCI.
Sub-procesadores

Quién más toca tus datos.

Estamos obligados a divulgar cada servicio externo que pueda procesar tus datos. La notificación de cambios forma parte del DPA.

ServicioFinalidadRegión
AWS (RDS, S3)Base de datos + almacenamientoeu-central-1 (Fráncfort)
CloudflareCDN, DNS, almacenamiento R2, deployEdge global
StripeFacturación + procesamiento de pagosUE + EE.UU. (PCI-compliant)
ResendEmail transaccionalUE
OpenRouterEnrutamiento de modelos de IAGlobal (provider routing zero-retention)
SentryMonitoreo de erroresUE
Divulgación

¿Encontraste una vulnerabilidad? Cuéntanos primero.

Recibimos divulgación responsable. Email a security@vulk.dev con pasos de reproducción, comportamiento esperado vs. observado y cualquier evaluación de severidad estilo CVSS. Confirmamos en 24 horas y triajemos en 72. No exigimos NDA para hablar con investigadores.

Pagos de bounty se revisan caso a caso según impacto. Crédito público (o anónimo, a tu elección) se ofrece en el changelog.

Email security@vulk.devHub legal →

Última revisión: April 30, 2026

Empieza a Crear Apps con IA Hoy

Empezar a crear
Seguridad VULK — residencia UE, aislamiento Firecracker, opt-out de entrenamiento | VULK