Cómo mantenemos tu código privado

1. Las cuatro capas que construimos

Cada capa es auditable de forma independiente. Podés verificar cualquier afirmación leyendo nuestro scanner open source, nuestro registro de auditoría o nuestra documentación de infraestructura.

• Escaneo client-side vía GitHub Actions — El scanner corre dentro de tu CI runner. Solo recibimos hallazgos estructurados (ruta de archivo, línea, algoritmo). Tu código fuente nunca sale de tu infraestructura.
• Fallback solo-memoria (cero persistencia) — Cuando el procesamiento server-side es necesario, el código se queda en RAM, se escanea y el container se destruye. Sin escritura en disco, sin logs, sin cachés.
• Núcleo del scanner open source — El núcleo es MIT-licensed en GitHub con builds reproducibles. Compilalo vos mismo y verificá que el hash coincide con el que corremos en producción.
• Registro de auditoría por acceso — Cada acceso interno genera una entrada visible para vos. Ves quién vio tus hallazgos, cuándo y por qué — con hashes criptográficos.

2. Lo que NO recolectamos

Por arquitectura, no por promesa. Los siguientes datos jamás entran a nuestros sistemas:

• Tu código fuente (solo rutas, líneas y nombres de algoritmos de los hallazgos)
• El contenido de tus repos, ramas, historial o commits
• Datos personales de tu equipo más allá de lo que Clerk necesita para autenticar
• Tu información de pago (Stripe maneja las tarjetas directamente — nunca las vemos)
• Tu IP vinculada al contenido del scan (solo agregada para rate-limiting)

3. Lo que SÍ recolectamos (y por qué)

Lo mínimo necesario para operar el producto:

• Metadata de hallazgos — ruta, línea, algoritmo, severidad. Sirve para renderizar tu reporte.
• Patrones agregados anonimizados — ej. "% de repos LATAM con RSA-2048". Alimenta el dataset Fase 1. Jamás vinculado a un cliente.
• Datos de cuenta — email (vía Clerk), nombre de la org. Login y facturación.
• Registro de auditoría — cada acceso interno (timestamp, actor, acción). Visible para vos, retenido 12 meses.

4. Tus derechos

Disponibles desde tu dashboard o por email:

• Exportar — descargá todos tus hallazgos y registro de auditoría en JSON o CSV.
• Eliminar — borrá todos tus datos a pedido. Confirmamos la eliminación dentro de 7 días.
• Acceder — ves quién accedió internamente a tus hallazgos, cuándo y por qué.
• Portabilidad — exportación CBOM CycloneDX 1.7 disponible Q2 2026.

5. Sub-procesadores

Usamos estos terceros. Cada uno está contractualmente obligado a respetar nuestros compromisos de privacidad:

• Anthropic (Claude API) — Análisis LLM. Fragmentos de código procesados en memoria, no registrados por Anthropic según su política de uso de datos.
• Neon (Postgres) — Metadata de hallazgos. Regiones EU + US. Encriptado en reposo.
• Clerk — Solo autenticación. Sin datos de scan.
• Resend — Email transaccional. Sin datos de scan en el cuerpo, solo links.
• Cloudflare R2 — Hosting de assets estáticos (reportes). Encriptado, URLs firmadas únicamente.
• Vercel — Hosting de la app. Sin datos de scan persistidos en edge.
• PostHog (auto-hospedado EU) — Analytics anónimo. Sin PII, sin contenido de scan.
• Sentry — Monitoreo de errores. PII removida antes de enviar.

6. Postura data-first de Fase 1

QuantumScan es gratis para todos los design partners durante la Fase 1 (hasta la ventana de enforcement de DORA, ~Q3-Q4 2026). A cambio, recolectamos patrones agregados anonimizados de tus escaneos para construir el primer dataset benchmark de criptografía LATAM. Mantenés la propiedad de tus datos de scan. Los patrones agregados jamás pueden hacer ingeniería inversa hasta tus repos.

7. Cumplimiento

Nuestra hoja de ruta está alineada con las regulaciones que debés cumplir:

• RGPD — Controlador de datos en EU. DPA disponible bajo pedido.
• LGPD — Protección de datos brasileña. Representante local registrado.
• DORA — Reporte de resiliencia operacional vía inventario PQC.
• NIS2 — Evidencia de cripto-agilidad para Artículo 21.
• SOC 2 Tipo II — En progreso, objetivo Q4 2026.

¿Preguntas?

Escribinos. Respondemos en 1 día hábil. Para solicitudes DPA, poné "DPA" en el asunto.