Seguridad y transparencia

La seguridad de la información es una prioridad en Axioma. En esta página publicamos información relevante sobre nuestra política de seguridad, vulnerabilidades e incidentes cuando procede.

Política de seguridad

Axioma trata los datos proporcionados por los usuarios exclusivamente para la generación del escrito solicitado. No almacenamos datos personales de los casos más allá del tiempo estrictamente necesario para prestar el servicio.

La infraestructura se ejecuta en entornos aislados en la nube con acceso restringido, y revisamos periódicamente las dependencias y configuraciones de seguridad.

Medidas técnicas y organizativas

  • Cifrado en tránsito (TLS 1.2+) y en reposo
  • Autenticación mediante tokens JWT con revocación
  • Acceso a datos restringido por roles
  • Logs de auditoría sin contenido sensible
  • Purga automática mediante jobs programados
  • Almacenamiento en infraestructura certificada ISO 27001 (Google Cloud)
  • No persistencia del texto del escrito generado más allá de 24 horas

Comunicación de incidentes

En caso de incidentes de seguridad que puedan afectar a usuarios, se informará a través de esta página cuando no sea posible la notificación individual.

Cada comunicación incluirá: fecha del incidente, descripción de lo ocurrido, datos potencialmente afectados y medidas adoptadas.

No hay incidentes registrados

A fecha de hoy no se ha producido ningún incidente de seguridad que comunicar.

Reporte de vulnerabilidades

Si encuentras un fallo de seguridad en Axioma Draft, escríbenos a [email protected].

Nuestro compromiso contigo:

  • Acusar recibo en un máximo de 72 horas desde la recepción del reporte.
  • Darte una respuesta técnica en un máximo de 14 días naturales con el estado: reproducido, en análisis, plan de mitigación o fecha estimada de corrección.
  • Considerar autorizada la investigación realizada de buena fe bajo esta política, y no emprender acciones legales contra quien la respete.

Si lo deseas, reconoceremos públicamente tu contribución (nombre o alias) una vez resuelto el reporte; basta con que nos lo indiques.

Qué esperamos de ti:

  • No exfiltrar datos, no interrumpir el servicio, no acceder a datos de otros usuarios de la plataforma.
  • Darnos un plazo razonable de 90 días antes de divulgar públicamente, o hasta que publiquemos el fix (lo que ocurra antes). Podemos acordar plazos distintos caso por caso.
  • Limitar las pruebas a los dominios y aplicaciones de Axioma Draft (no a infraestructura de proveedores terceros como Google Cloud, Stripe o Cloudflare).

Fuera de alcance:

No consideramos vulnerabilidades reportables, entre otros:

  • Configuración de SPF, DKIM o DMARC del dominio de correo.
  • Ausencia de headers HTTP puramente informativos o de hardening sin impacto demostrado.
  • Self-XSS y ataques que requieran acceso físico al dispositivo de la víctima o MITM en su red local.
  • Volcados brutos de escáneres automáticos sin análisis de impacto ni prueba de concepto.
  • Ataques de denegación de servicio (DoS) por volumen y rate-limit brute force contra la API.

Última actualización de esta política: 24 de abril de 2026.