Todos los secretos están cifrados de extremo a extremo. Generamos un hash aleatorio para cifrar tu secreto en el cliente usando AES-256-GCM (Estándar de cifrado avanzado - Modo Galois/Contador). La clave de cifrado nunca se almacena, sino que se agrega al enlace secreto en sí. Sin el enlace completo, nadie (incluyéndonos) podrá descifrar tu mensaje.
Si se proporciona una contraseña, la usamos para cifrar tu secreto además del cifrado estándar. Incluso con acceso a toda nuestra infraestructura, un atacante no podría leer tu mensaje. Después de que se haya visto un secreto, lo eliminamos permanentemente de nuestra base de datos. No hay copias de seguridad.
Informes de seguridad (en vivo)
Evaluaciones de riesgo de seguridad
Haz clic para verificar auditorías de terceros en tiempo real.
Seguridad por diseño
Arquitectura de confianza cero
Asumimos que ninguna entidad —interna o externa— es inherentemente confiable. Cada solicitud se verifica.
Cifrado de extremo a extremo
Los secretos se cifran en tu dispositivo antes de la transmisión usando AES-256-GCM. El servidor nunca ve texto sin cifrar.
Superficie de ataque mínima
Limitamos servicios, puntos de entrada y dependencias para reducir la exposición. Menos complejidad significa menos vulnerabilidades.
Actualizaciones regulares
Las dependencias se mantienen actualizadas y se monitorizan en busca de CVEs conocidos para cerrar vulnerabilidades antes de que puedan explotarse.
Transparencia total
Todo el código es de código abierto en GitHub. Cualquiera puede auditar la implementación.
Pruebas de seguridad automatizadas
Las herramientas automatizadas escanean vulnerabilidades en las dependencias en cada push. Los problemas se detectan antes de llegar a producción.
Infraestructura
Confiamos en un pequeño número de proveedores confiables y auditados — sin terceros innecesarios.
| Proveedor | Función | ISO 27001 | GDPR | SOC 2 Type II |
|---|---|---|---|---|
| Vercel Inc. | Alojamiento de sitio web y API | |||
| Neon Inc. | Base de datos Postgres | |||
| Flow Swiss AG | Almacenamiento de objetos (archivos) |
Preguntas Frecuentes
Divulgación responsable
La seguridad es una prioridad para nosotros — si detectas una vulnerabilidad, agradecemos que la divulgues de forma responsable a security@scrt.link para poder corregirla antes de que afecte a los usuarios. Los informes útiles describen el problema y su posible impacto, cómo reproducirlo y cualquier código de prueba de concepto o capturas de pantalla.