<- Volver al inicio
Diseñado para equipos de seguridad
Infraestructura alojada en la UE con validación de origen, cero recolección de PII y revocación de acceso controlada por el cliente.
Residencia de datos en la UE
Validación de origen + allowlist de dominios
Sin captura de PII
Lo que Stepsy proporciona
- Allowlist de origen aplicada del lado del servidor—las guías solo se cargan en dominios aprobados
- Validación de clave pública del tenant en cada solicitud API (403 si no coincide)
- Residencia de datos en la UE (Fráncfort) con cumplimiento RGPD y DPA disponible
- No se requiere PII—el grabador captura solo selectores CSS y texto de la guía
- SDK TypeScript vanilla de 10 KB, sin eval(), sin dependencias de terceros
Lo que tú controlas
- Kill switch instantáneo: desactiva guías o rota claves públicas desde el panel
- Fijación de versión: bloquea el SDK a una versión específica con verificación de hash SRI
- Aplicación de CSP: restringe script-src y connect-src solo a dominios de Stepsy
- Monitoreo de red: el SDK solo contacta cdn.stepsy.cc y api.stepsy.cc
Política CSP recomendada (tú la implementas)
Content-Security-Policy:
script-src 'self' https://cdn.stepsy.cc;
connect-src 'self' https://api.stepsy.cc;