Seguridad

Tus claves API de panel se cifran antes de tocar nuestra base de datos, se enmascaran después de guardarlas y nunca son visibles para nosotros en texto plano a través de ninguna interfaz o registro.

Última actualización 2026-05-11

Qué guardamos / Qué no guardamos

Guardamos

Texto cifrado de tu clave API. URL y nombre del panel. Saldo actual. Historial de pedidos. Credenciales de WooCommerce cifradas. Token opcional de bot de Telegram (cifrado).

No guardamos

Claves API en texto plano. Tu contraseña del panel. Tu contraseña de administrador de WooCommerce. Información de pago (no procesamos pagos). Datos de navegación.

Cómo funciona el cifrado

Usamos AES-256-GCM con un vector de inicialización aleatorio de 16 bytes por registro. La clave maestra de cifrado vive en las variables de entorno de nuestro proveedor de hosting, separada de la base de datos. Cuando pegas una clave, la ciframos en el manejador de la petición y solo guardamos el texto cifrado más los últimos 4 caracteres para mostrar.

Youpaste keyHTTPS/api/panelsencrypt() in memoryDatabase🔒 ciphertext+ last4Backgroundjob (cron)decrypt()in memory, discardedYour panelorder submitted

La advertencia honesta

¿Podría un operador determinado con acceso total al servidor descifrar tus claves? Técnicamente sí — los trabajos en segundo plano necesitan descifrar cada pocos minutos para enviar tus pedidos. Elegimos esta solución para que PanelPilot funcione mientras duermes. Así lo mitigamos: las claves nunca se devuelven a la interfaz, nunca se registran, están enmascaradas en todas partes, y la clave de cifrado se guarda separada de las credenciales de la base de datos.

Qué puedes hacer tú

Divulgación responsable

Si encuentras un problema de seguridad, escribe a security@panelpilot.app. Leemos cada informe y respondemos en 48 horas.