Aegirex no se limita a anunciar compromisos : alojamiento francés, código fuente abierto, cadena de auditoría HMAC, subencargados documentados, datos nunca revendidos. Cada uno de estos compromisos se hace verificable de forma independiente, ya sea leyendo el código AGPL-3.0, ejecutando un comando público o leyendo un DPA o mención legal oponible. Esta página recapitula lo que usted puede controlar por sí mismo, sin hacernos confianza.
Seis compromisos operativos que guían la arquitectura y la gobernanza de Aegirex. Cada uno es verificable concretamente, ya sea leyendo el repositorio público, ejecutando un comando o leyendo el DPA oponible.
La totalidad del código fuente se publica bajo licencia AGPL-3.0, incluidas las funcionalidades de pago. Sin build propietario oculto, sin funcionalidad de seguridad reservada a una capa opaca. Auditable línea a línea, forkable, desplegable en el operador de su elección.
La infraestructura SaaS se aloja en París en tres zonas de disponibilidad, una de ellas en búnker antiatómico. Ningún camino de datos atraviesa una jurisdicción extra-europea para los servicios gestionados. Autoalojamiento disponible en todas partes gracias a la AGPL-3.0.
Lista pública exhaustiva, actualizada en cada cambio, notificación 30 días antes del alta de un nuevo subencargado con derecho de oposición motivado. Ningún subencargado dispone de las claves privadas de los usuarios, por construcción zero-knowledge.
Los datos de clientes nunca se revenden, ni ceden, ni ponen a disposición de un actor publicitario, ni se utilizan para entrenar un modelo. El modelo económico reposa exclusivamente en las suscripciones de pago de los planes Team, Business y Enterprise.
Los secretos se cifran en el navegador mediante OpenPGP.js v6 antes de cualquier envío al servidor. La clave privada nunca abandona el puesto del usuario. Una requisitoria judicial solo podría obtener blobs cifrados inutilizables.
Cada acción sensible queda sellada por un HMAC-SHA-256 encadenado. Un comando público permite a un auditor externo constatar la integridad del registro sin depender de un binario del editor. Toda alteración retroactiva se detecta mediante recálculo.
Estado preciso de Aegirex respecto a los principales referenciales franceses y europeos. Sin eufemismos : lo obtenido se lista, lo perseguido se califica como perseguido, lo que está en roadmap se anuncia como tal.
| Marco | Estado Aegirex | Justificación | Referencia |
|---|---|---|---|
| RGPD (Règlement UE 2016/679) | Conforme nativo | Arquitectura zero-knowledge, derechos Art. 15/17/20 instrumentados en consola, DPO designado, DPA estándar público y oponible. | DPA público |
| SecNumCloud | Trayectoria objetivo | Alojador asociado en proceso de cualificación SecNumCloud. Autoalojamiento inmediato en un operador SecNumCloud cualificado tercero ya posible hoy gracias a la licencia AGPL-3.0. | Documentación ANSSI |
| HDS (Hébergement de Données de Santé) | A petición | Alojador HDS asociado movilizable a petición para los clientes del sector salud. Autoalojamiento en su propio alojador HDS cualificado disponible hoy mismo. | Contáctenos |
| OIV / NIS2 | Compatible | Capacidad de despliegue air-gap, código AGPL-3.0 auditable hasta el nivel cripto, cadena de auditoría HMAC oponible, exportación SIEM CEF/LEEF/OCSF/Syslog. | Autoalojamiento |
| ISO 27001 | Roadmap | Auditoría ISO 27001 prevista al lanzamiento del plan Enterprise. Aún no iniciada a día de hoy : preferimos anunciarlo con franqueza antes que mostrarlo como en curso sin calendario. | - |
Conforme nativo significa que la arquitectura de Aegirex satisface los requisitos sin configuración adicional. Trayectoria objetivo significa que se está realizando un trabajo con un calendario interno, sin certificación obtenida aún. A petición significa que un alojador asociado es movilizable a petición. Compatible significa que la arquitectura permite la conformidad cuando la organización cliente asume ella misma el perímetro regulatorio. Roadmap significa que se adquiere un compromiso a más largo plazo, condicionado a una etapa de producto identificada.
Lista exhaustiva de los subencargados técnicos. Ninguno tiene acceso a los secretos en claro, por construcción zero-knowledge : los blobs OpenPGP que transitan por la infraestructura son opacos tanto para el servidor como para sus operadores.
| Subencargado | Rol | País | Datos tratados | DPA |
|---|---|---|---|---|
| Scaleway (operador en trayectoria SecNumCloud) | Alojamiento de infraestructura (3 zonas de disponibilidad, una en búnker antiatómico) | France | Blobs cifrados OpenPGP + metadatos técnicos | DPA firmado |
| Brevo | Correos transaccionales (signup, compartición, alertas de auditoría) | France | Únicamente la dirección de correo del destinatario | DPA firmado |
| Stancer | Pago de los planes de pago Team, Business y Enterprise | France | Datos de facturación (razón social, dirección, correo) | DPA firmado |
| DB-IP | Base de datos de geolocalización IP (enriquecimiento de correos de alerta de nueva conexión) | Belgique | Dirección IP tratada localmente (nunca enviada a DB-IP) · atribución CC-BY 4.0 | Base de datos entregada, tratamiento local |
Todo nuevo subencargado es objeto de una notificación 30 días antes de su entrada en producción, con derecho de oposición motivado del Responsable del tratamiento. La lista anterior se mantiene actualizada y es oponible tal cual en el DPA estándar público.
Cuatro rutinas operadas en continuo por el equipo Aegirex. Más allá de la arquitectura criptográfica, la seguridad descansa en la explotación diaria : copias de seguridad, rotación, monitoreo, continuidad.
Copias de seguridad completas cifradas en servidor, depositadas en almacenamiento objeto replicado fuera de sitio. Restauración probada cada mes en un entorno dedicado. Retención rolling de 35 días en estándar, 1 año en Business, 5 años en Enterprise.
La clave HMAC de la cadena de auditoría es rotable sin pérdida de verificabilidad histórica gracias al sellado de la antigua clave por la nueva. Procedimiento documentado, trazabilidad del pivot consignada en la propia cadena.
Sondas sintéticas, alerta de infraestructura, supervisión de seguridad operacional. Guardia técnica 24/7 desde el plan Business, SLA contractual del 99,5 % en estándar, negociable en Enterprise.
PCN documentado que cubre la pérdida de una zona de disponibilidad, la pérdida del alojador principal y el escenario de escrow de código y datos para los clientes Enterprise. RTO/RPO formalizados y comunicados a petición en el marco de una auditoría CISO acompañada.
Cuatro publicaciones mantenidas por Aegirex en beneficio de la comunidad, los clientes y los investigadores de seguridad. Ninguna es obligatoria : cada una es un posicionamiento deliberado en favor de la verificabilidad independiente.
Repositorio GitHub público, totalidad del código incluidas las funcionalidades Business. Pull requests comunitarias aceptadas, contribuyentes externos acreditados.
github.com/aegirex/aegirex →
Modelo STRIDE y LINDDUN por componente, escenarios cubiertos y compromisos asumidos listados sin eufemismos. Actualizado en cada evolución mayor de la arquitectura.
Leer el modelo de amenaza →
Detalle de las primitivas utilizadas (OpenPGP.js v6, Argon2id RFC 9106, AES-256-GCM SEIPDv2, HMAC-SHA-256). Una RFC para cada elección, nada opaco.
Leer la pila cripto →
Historial de incidentes de producción publicado en la página Estado, post-mortems públicos para los incidentes mayores. Una página dedicada por venir centralizará el conjunto.
Aegirex está operado por una sociedad francesa independiente, dirigida por su fundador. Sin capital-riesgo, sin pivote previsto, modelo económico basado exclusivamente en las suscripciones de los clientes.
ARDNTECH EI es una sociedad francesa dirigida por Adrien Chaumarat, con más de 10 años de experiencia en edición de software SaaS B2B. Sin capital-riesgo en el capital, sin pivote estratégico previsto : el proyecto se financia exclusivamente con las suscripciones de sus clientes. Esta independencia capitalística condiciona directamente la estabilidad de los compromisos adquiridos en esta página (soberanía, AGPL-3.0, rechazo a la reventa de datos, trayectoria de conformidad).
Lea el DPA estándar público, consulte el código AGPL-3.0, ejecute la verificación de cadena de auditoría sobre una extracción de su instancia, dialogue con el equipo sobre su marco regulatorio. Aegirex aporta las pruebas, su equipo se forma su propia opinión.
