Programa de confianza v1 · abril de 2026

El centro de confianza.

Incorporator emite sellos para otras organizaciones que superan nuestros programas de Confianza, Privacidad e Integridad Editorial. Nuestra propia postura tiene que pasar la misma rúbrica. Esta página es esa postura, en público, con el detalle suficiente para que cualquier lector pueda verificar lo que afirmamos.

Auto-certificación

Incorporator está certificado frente a su propio programa de Confianza, v1. El sello aparecerá aquí, en /verify/incorporator-trust-v1, en cuanto concluya la primera auditoría. Hasta entonces, trata esta página como el registro autorizado.

Infraestructura

Una pila, un proveedor, configuración pública.

Todo el sitio funciona sobre Cloudflare. Ningún SaaS de terceros se interpone en la ruta caliente de una solicitud. TLS 1.3 termina en el borde; HSTS está precargado; la mitigación de DDoS y el WAF son los valores por defecto de la plataforma Cloudflare. La configuración del Worker está en el repositorio como wrangler.jsonc, para que cualquiera pueda leer qué enlazamos y dónde.

Runtime

Astro 6 compilado a un único Cloudflare Worker. Cero runtime de Node, cero orquestación de contenedores, cero servidores de larga vida.

Base de datos

Cloudflare D1 (SQLite en el borde), esquema gestionado con migraciones de Drizzle. Una región principal, las réplicas de lectura siguen a la solicitud.

Almacenamiento de objetos

Cloudflare R2 para imágenes de artículos, sellos generados y exportaciones en PDF. Sin listado público; las URL se firman o se sirven por un Worker.

Clave-valor

Tres espacios KV de Cloudflare: SESSION (estado de sesión de administración, corto), IDEMPOTENCY (claves de deduplicación para API de escritura), CACHE (caché de respuestas calientes).

Búsqueda vectorial

Cloudflare Vectorize para similitud de artículos y recomendaciones relacionadas. Los embeddings los genera Workers AI.

Imágenes

Cloudflare Images para redimensionado y negociación de formato. Los originales viven en R2.

Correo

El binding send_email de Cloudflare para el envío del boletín y el correo transaccional. Sin ESP de terceros.

Estado duradero

Dos clases de Durable Object: EditorAgent (flujos editoriales de larga duración) y RateLimiter (ventanas por IP y por clave).

Murallas editoriales

Ingresos separados del juicio editorial.

Todos los ingresos por afiliación pasan por /go/:slug, una redirección de Worker intercambiable. El ranking editorial de cualquier servicio queda fijado en el repositorio antes de contactar con ese servicio por una relación de afiliación. No aceptamos pagos por colocación, no ajustamos rankings en respuesta a una conversación comercial y la metodología completa se publica en /methodology.

La política editorial fija el ritmo de comprobación de hechos y la disciplina de correcciones. El aviso de afiliación nombra a cada socio y la estructura de comisiones en cifras claras.

Postura de seguridad

Las cabeceras que enviamos, literales.

Cada respuesta lleva el sello de src/middleware.ts con las cabeceras de abajo. La Content-Security-Policy es la fuente de verdad actual; la cadena CSP ampliada (orígenes de fuentes y estilos) vive en el archivo del middleware.

Strict-Transport-Security max-age=63072000; includeSubDomains; preload

Content-Security-Policy default-src 'self'; object-src 'none'; frame-ancestors 'self'; upgrade-insecure-requests

Referrer-Policy strict-origin-when-cross-origin

Permissions-Policy geolocation=(), microphone=(), camera=()

X-Content-Type-Options nosniff

X-Frame-Options SAMEORIGIN

Cross-Origin-Opener-Policy same-origin

El contacto de seguridad legible por humanos se mantiene en /.well-known/security.txt y se actualiza junto a esta página.

Divulgación responsable

Cómo decirnos que nos hemos equivocado.

Informa de una vulnerabilidad a security@incorporator.org. La clave PGP de ese buzón se publica en /.well-known/security.txt; cifra cualquier contenido sensible. Acusamos recibo en 48 horas y publicamos una corrección o un plan en los 90 días siguientes al informe, salvo que acordemos contigo un plazo mayor. Reconocemos a los investigadores en una lista de honor más abajo una vez cerrada la divulgación. No amenazamos con acciones legales a quienes actúan de buena fe bajo esta política.

Alcance: incorporator.org y www.incorporator.org, incluidas todas las rutas de API y la interfaz de administración. Fuera de alcance: ingeniería social al personal, intrusión física, pruebas de denegación de servicio y cualquier actuación que pudiera afectar a un tercero alojado junto a nosotros en Cloudflare.

Auditoría

Probamos nuestra propia comida, a propósito.

Los controles que aplicamos a cada solicitante del programa de Confianza son los mismos que nos aplicamos nosotros: postura de privacidad, superficie de rastreo, cabeceras de seguridad, respuesta ante incidentes. Cuando cambia la rúbrica, nuestro propio sello se vuelve a evaluar contra la nueva versión. Si fallamos un control, aparece aquí antes de aparecer en ningún otro sitio.

El sello, una vez emitido, será verificable en /verify/[seal-id] e insertable como insignia desde la misma ruta. La firma HMAC de cada sello permite que un verificador externo confirme la carga útil sin leer nuestra base de datos.

Comunicación de incidentes

Cuatro canales, una sola fuente de verdad.

El aviso de brecha se publica en las 72 horas siguientes a la confirmación del incidente. Los cuatro canales de abajo son donde aterriza; la entrada en el centro de confianza es el registro autorizado y el resto de canales enlazan a él.

Centro de confianza

Una entrada fechada en esta página, actualizada a medida que aprendemos. Este es el registro autorizado.
Boletín

Un número fuera del calendario editorial dirigido a cada persona suscrita cuyos datos se hayan visto afectados de forma material. Separado del ritmo editorial normal.
RSS

/rss.xml incluye un elemento <incident> específico mientras hay uno abierto, para que la automatización pueda recogerlo.
Redes sociales

Una publicación cruzada en @incorporator con un enlace de vuelta. Las redes son un puntero, no una fuente.

Cumplimiento

Qué somos y qué no.

La mayoría de páginas de confianza listan una pila de logos. La nuestra lista lo que hay realmente en pie hoy, en lenguaje claro.

Rol

Incorporator actúa como responsable del tratamiento de sus personas suscritas y solicitantes. No somos encargado del tratamiento para ningún tercero.
SOC 2

Sin auditoría formal. El coste de una auditoría formal no se justifica a la escala actual. Aplicamos el subconjunto CIS Controls v8 Implementation Group 1 como base de trabajo y planeamos pasar a IG2 antes de solicitar una auditoría.
RGPD / RGPD-UK

Nos apoyamos en la Adenda de Tratamiento de Datos de Cloudflare y en sus Cláusulas Contractuales Tipo para las transferencias. Nuestra respuesta a los derechos del interesado está documentada en la página de privacidad.
CCPA / CPRA

No vendemos información personal. El aviso y el texto de exclusión exigidos por la legislación de California viven en la página de privacidad.

Exportación de datos

Pide el archivo y te lo enviamos.

Por ahora, la portabilidad de datos se tramita por correo. Envía una solicitud a privacy@incorporator.org mencionando esta página y te respondemos con una exportación JSON de todo lo que tengamos archivado. Un endpoint de API autoservicio llegará en una versión posterior; cuando se envíe, lo anunciaremos aquí con la fecha.

Actualizado: abril de 2026.