Seguridad y datos

Sus claves BYOK y el secreto del webhook están protegidos

Los tres secretos del cliente —neural.apiKey (clave del proveedor del LLM), ocr.providerKey (clave del proveedor de OCR) y webhookSecret (secreto de firma HMAC)— se aceptan solo como entrada y nunca se devuelven en ninguna respuesta, nunca se registran en logs y nunca aparecen en los mensajes de error. En el backend, cada uno se cifra con AES-256-GCM bajo una clave maestra (KEK) con vinculación de AAD por tarea; la base de datos almacena solo el texto cifrado, el nonce y la versión de la KEK; cada uno se descifra una sola vez, justo antes de usarse, y se elimina junto con la tarea (~7 días). neural en la respuesta no incluye apiKey; el objeto Job de la respuesta no tiene ningún campo ocr: la clave de OCR se excluye de las respuestas por diseño.

Datos en tránsito

TLS en tránsito; acceso a la API solo mediante clave.

Almacenamiento

Los archivos, los datos intermedios y los resultados de procesamiento se conservan durante un tiempo limitado y se eliminan automáticamente (retención por defecto: 7 días).