Tus fondos. Tus claves. Nuestra ventaja de ejecución.
AlphaBot se conecta a exchanges a través de claves API que proporcionas y coloca órdenes en tu nombre. Nunca custodiamos, tenemos, rehipotecamos ni transferimos activos de usuarios. A continuación se detalla exactamente qué hacemos —y qué no hacemos— con las credenciales que nos confías.
1. Nunca custodiamos tus fondos
- Las claves API que conectas otorgan permiso de lectura y negociación solamente —nunca retiro.
- El permiso de retiro se rechaza categóricamente durante la incorporación. Lo detectamos en la primera llamada autenticada y rechazamos aceptar la clave. La clave no se almacena, no se registra, no se reintenta.
- Si tu exchange admite listas de IP permitidas en claves API, puedes restringir tu clave a las direcciones salientes de AlphaBot (listadas en el panel de control).
2. Cifrado: AWS KMS, envolvente, por usuario
- Los secretos API se cifran en reposo usando AWS KMS con cifrado envolvente: una clave de datos única por usuario, envuelta bajo una clave maestra de cliente KMS.
- La política KMS vincula operaciones de descifrado a tu JWT de sesión activa. Los operadores (nosotros) no podemos descifrar tus secretos fuera de banda.
- Los secretos descifrados viven solo en la memoria del proceso, solo durante la duración de una llamada API, y nunca se escriben en disco o registros.
3. Aislamiento de datos por usuario
Cada registro en nuestro almacén de datos se indexa y particiona por usuario. Las rutas de acceso requieren que la identidad autenticada del llamante coincida con el propietario de la fila; el acceso entre usuarios es imposible por construcción, no por convención.
Ejecutamos un fixture de CI que afirma "el usuario A no puede leer, modificar ni desencadenar ningún efecto secundario en los datos del usuario B" contra cada controlador protegido. La prueba falla la compilación en cualquier regresión.
4. Registro de auditoría de solo anexión
Cada acción que AlphaBot toma contra tu cuenta —orden colocada, orden cancelada, clave rotada, interruptor de emergencia activado, parámetro cambiado— se registra en un registro encadenado por hash, de solo anexión.
- Puedes exportar el registro completo como CSV o JSON desde el panel de control en cualquier momento.
- Cada entrada referencia el hash de la entrada anterior, por lo que cualquier manipulación es detectable.
- El encabezado de la cadena se publica, para que puedas verificar localmente que ninguna entrada ha sido alterada o eliminada.
- Las acciones del operador (empleado) en la infraestructura se registran por separado y se ponen a disposición bajo solicitud para el nivel Enterprise.
5. Infraestructura
AlphaBot se ejecuta en AWS en múltiples regiones (us-east-1, us-west-2, ap-southeast-1) elegidas por proximidad a los motores de coincidencia de exchanges. No compartimos bases de datos con terceros. Los despliegues en producción requieren autenticación multifactor, son solo de credencial de corta duración, y se registran en el registro de auditoría del operador.
6. Divulgación de vulnerabilidades
Si crees que has encontrado un problema de seguridad, envía un correo a security@alphabot.deeplogic.software. Nos proponemos reconocer dentro de un día hábil y proporcionar un plan de remediación dentro de cinco.
Estamos preparando un programa formal de recompensas por errores con pagos escalonados por severidad (bajo / medio / alto / crítico). Hasta que esté disponible, reconoceremos públicamente la divulgación responsable (con consentimiento del informante) y pagaremos recompensas discrecionales para reportes válidos dentro del alcance. Fuera del alcance: cualquier cosa que requiera compromiso de las credenciales de exchange de un usuario final, hallazgos sin impacto en el producto, denegación de servicio contra infraestructura compartida, ingeniería social del personal.
Lo que (aún) no afirmamos
No afirmamos certificación SOC 2 o ISO 27001. Ambas están en nuestro plan de trabajo y publicaremos al auditor y el informe cuando cada una esté completa. Hasta entonces, los controles descritos arriba son lo que podemos respaldar hoy.