Seguridad.
Descripción informativa de la postura de seguridad del servicio FanClaw. El presente documento complementa los Aviso legal y Condiciones y la Política de privacidad. No constituye garantía contractual de seguridad ni compromiso de resultado.
Arquitectura local por construcción.
El servicio FanClaw sigue una arquitectura local: los contenidos, conversaciones y datos de audiencia se almacenan en un almacenamiento cifrado del dispositivo del usuario y no transitan por la infraestructura del editor.
La superficie expuesta al editor es por lo tanto reducida. Las medidas descritas cubren los componentes bajo control operacional del editor. La seguridad de los datos almacenados localmente y del entorno informático del usuario es responsabilidad de este último.
El presente documento es descriptivo. No constituye garantía de seguridad absoluta, ni compromiso de nivel de servicio, ni obligación de resultado. Ningún sistema de información puede ser garantizado libre de defectos.
Componentes y fronteras de confianza.
Aplicación de escritorio. Binario instalado en el dispositivo del usuario, ejecutando el agente local, el almacenamiento cifrado y los módulos de automatización.
Servidor de licencias. Servicio explotado por el editor, dedicado a la verificación de licencias y emisión de tokens de activación. No procesa contenidos del usuario.
Encargados. Cada encargado listado en la Política de privacidad opera en su propio perímetro, regido por un acuerdo de encargo conforme al artículo 28 RGPD.
Frontera local. Los contenidos, conversaciones y datos de audiencia no cruzan la frontera local del dispositivo. Solo se transmiten al editor los datos estrictamente necesarios para activación, facturación y, en su caso, telemetría opcional.
Responsabilidad del usuario. La seguridad del dispositivo, el nivel de actualización del SO, la configuración del cifrado de disco y la integridad de los programas instalados son responsabilidad del usuario.
Medidas aplicadas.
Cifrado en tránsito. Las comunicaciones entre la aplicación y los servicios del editor están protegidas por TLS en versión reciente.
Cifrado en reposo. El almacenamiento local está cifrado con algoritmo simétrico de nivel industrial (AES-256). La clave se deriva de un secreto controlado por el usuario, conservado en el almacén de credenciales del SO.
Integridad del binario. Las versiones públicas se firman con clave de firma de código dedicada. Los canales de distribución verifican la firma antes de instalar.
Autenticación. Los tokens de activación emitidos por el servidor de licencias están firmados, son de duración limitada y vinculados al identificador del dispositivo.
Aislamiento. La aplicación se ejecuta dentro del perímetro de una aplicación de escritorio notarizada, sin solicitar privilegios elevados del sistema.
Minimización de la telemetría. La telemetría, cuando esté activada, excluye por diseño contenidos del usuario e información directamente identificable.
Evolución. Las medidas descritas pueden evolucionar.
Responsabilidad compartida.
Editor. Aplicación de las medidas descritas, gestión de encargados, tratamiento diligente de las notificaciones, gestión de incidentes.
Usuario. Bajo las CGU, el usuario asume: (i) seguridad física y lógica del dispositivo; (ii) custodia de las credenciales de activación y de la contraseña maestra; (iii) actualización del SO; (iv) vigilancia sobre el software instalado; (v) copia de seguridad regular de los datos almacenados localmente, al no realizar el editor copia alguna; (vi) conformidad de su uso con la ley.
Entornos de terceros. La seguridad de los entornos de terceros corresponde a sus operadores. El editor no puede ser responsable de vulnerabilidad, compromiso o indisponibilidad que les afecten.
Sin garantía de seguridad absoluta.Artículo 5
Lo que este documento no garantiza.
Sin garantía de seguridad absoluta. El editor no garantiza ni la imposibilidad de intrusión, ni la de compromiso, ni la de pérdida de datos.
Sin SLA. El presente documento no crea compromiso cifrado de disponibilidad, tiempo de respuesta del soporte o nivel de servicio, salvo oferta dedicada suscrita aparte.
Sin certificación. El servicio no está, a la fecha, certificado bajo un referencial de seguridad o conformidad.
Fuerza mayor. El editor no incurre en responsabilidad por defecto o indisponibilidad derivada de fuerza mayor según las CGU.
Limitación de responsabilidad. Toda activación de la responsabilidad del editor sobre seguridad se rige por las CGU, en particular su artículo 8.
Cómo notificar una vulnerabilidad.
Canal. Las notificaciones se dirigen a legal@fanclaw.ai con asunto «Notificación de seguridad».
Buena fe. El investigador actúa de buena fe, respetando el derecho aplicable, sin extracción de datos personales, sin perturbación del servicio y sin atentado a terceros.
Fuera de ámbito. Quedan excluidos los tests de denegación de servicio sin autorización previa, la ingeniería social, los ataques físicos y todo test susceptible de causar daño material o personal.
Coordinación. Cuando proceda, el editor se esforzará por coordinar la divulgación pública con la remediación. No se compromete a plazos cifrados.
Sin programa de recompensa. El presente marco no constituye un programa de recompensa («bug bounty») y no da derecho a remuneración.
Respuesta y notificación.
Notificación a la autoridad. Cuando un incidente constituya una violación de datos en el sentido del artículo 4(12) RGPD, el editor notifica a la CNIL en las condiciones y plazos del artículo 33 RGPD.
Información a los interesados. Cuando la violación pueda generar un alto riesgo para los derechos y libertades, el editor informa a los interesados conforme al artículo 34 RGPD.
Revisión interna. Todo incidente significativo es objeto de revisión interna cuyas conclusiones se integran en las medidas de seguridad.
Evolución del presente documento. El presente documento se actualiza para reflejar las evoluciones. La versión aplicable es la publicada en esta URL.
Versión auténtica. En caso de conflicto entre esta versión española y la versión francesa disponible en /security, prevalecerá la versión francesa.
Fin del documento.
Volver al Aviso legal.
Cualquier notificación o pregunta puede dirigirse a legal@fanclaw.ai.