Seguridad

Escriba está hecho para correr con documentos confidenciales. El principio rector: el control se queda en la capa humana — sus archivos se procesan en su servidor y usted decide qué llega alguna vez a un LLM.

Privado por diseño

No se almacena nada. Los archivos subidos se eliminan justo después de la conversión.
Sin nube de terceros. La conversión, el OCR, la transcripción y la anonimización corren localmente en su host.
El mapa de restauración se queda local. El mapa token→original de la seudonimización nunca sale de su navegador.

Reforzado de forma predeterminada

Anonimización con fallo cerrado — si se solicita anonimización y el servicio Anonimal no está disponible, la solicitud devuelve error; el texto crudo nunca se emite como recurso alternativo.
Anti-SSRF — la obtención de URL bloquea IP internas y redirecciones; el acceso a archivos locales y a file:// se restringe solo a DIOS.
Saneamiento contra XSS — la vista previa se sanea con DOMPurify; se aplican una Content-Security-Policy estricta y cabeceras de seguridad.
Limitación de tasa y bloqueo — límites de solicitudes por rol, compartidos entre workers mediante el Redis integrado, más bloqueo de inicio de sesión ante fallos reiterados.
Contenedor sin root — corre como usuario sin privilegios con no-new-privileges.
Expresiones regulares seguras — las reglas de anonimización provistas por el usuario corren sobre RE2 (tiempo lineal), que es inmune a ReDoS.
Protecciones contra DoS — las subidas tienen el tamaño acotado mediante streaming; el selector de páginas está acotado para evitar la expansión de bombas de rango.

Auditado

El código pasó por una auditoría estricta de múltiples perspectivas y una prueba de penetración de red team, con cada hallazgo corregido y verificado. Entre los puntos destacados del refuerzo hay una clave de hash aleatoria por instalación, manejo saneado de X-Forwarded-For (solo proxies de confianza), revocación de sesiones, metadatos de PDF depurados al censurar y cabeceras no-cache en los recursos estáticos.