dTax está construido con seguridad en cada capa. Así es como protegemos tus datos y por qué puedes confiar en nuestra plataforma.
dTax solo recopila los registros de transacciones que proporcionas explícitamente — vía carga de CSV o sincronización API de solo lectura. NUNCA recopilamos claves privadas, frases semilla de billeteras ni credenciales de retiro. No podemos mover, gastar ni acceder a tus fondos de ninguna manera.
Las claves API de exchanges se cifran en reposo usando cifrado AES con un ENCRYPTION_KEY dedicado. Las contraseñas de usuarios se hashean con bcrypt (12 rondas) — nunca almacenamos contraseñas en texto plano. Toda la autenticación usa tokens JWT sin estado, minimizando la superficie de ataque de sesiones del lado del servidor.
Las conexiones de exchanges usan CCXT en modo de solo lectura — no se solicitan ni soportan permisos de retiro o trading. Los datos de usuarios están aislados a nivel de base de datos con principios de seguridad a nivel de fila, asegurando que un usuario nunca pueda acceder a los datos de otro.
¿No confías en nadie con tus datos financieros? Auto-aloja dTax con Docker y mantén todo en tu propio servidor. El motor fiscal principal es código abierto AGPL-3.0 — puedes inspeccionar cada línea de código que toca tus datos.
Los tokens JWT con rotación de refresh aseguran una autenticación segura y sin estado. La limitación de tasa protege contra ataques de fuerza bruta: 100 solicitudes/min globalmente, 10/min para inicio de sesión, 5/min para registro. El control de acceso basado en roles separa los privilegios de usuario y administrador.
El motor fiscal de dTax es completamente de código abierto en GitHub. Cada cálculo, cada parser, cada algoritmo es auditable por la comunidad. No hay recopilación de datos oculta, sin telemetría, sin cookies de analítica. Lo que ves en el código es lo que se ejecuta.
dTax sigue las directrices de seguridad OWASP Top 10. Toda entrada de usuario se valida con esquemas Zod. La inyección SQL se previene usando Prisma ORM con consultas parametrizadas — sin SQL crudo. Las respuestas de API nunca filtran detalles de errores internos en producción.
¿Preguntas sobre seguridad?
Abre un Issue en GitHub