We sell independent AI security review, so our own posture has to be legible. This page lists what is true today, who processes data on our behalf, what assurance we hold (and what we do not yet), how we use AI on our own systems, and how to report a vulnerability. Honesty over polish.
True today across waitdead.ai and the CRM. We do not claim more than this — items we plan but do not yet hold are listed under Certifications & assurance below.
All traffic is served over TLS 1.3 with valid, current certificates. There is no plaintext fallback.
HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy and Permissions-Policy are set on the sites.
Framework and version fingerprints are removed from responses, so a passing scanner learns less about our stack.
Input pasted into the free scan is treated as untrusted data; secrets are redacted on submit and a honeypot field guards the form.
Every AI-derived finding is labeled as such and gated behind human sign-off before it reaches you. Our AI verdict is evidence into a human decision — never the final safety authority.
The only third parties that process data on our behalf. We will update this list before adding any new sub-processor.
| Sub-processor | Purpose | Region |
|---|---|---|
| Supabase | Database + authentication | [to be supplied: region] |
| Contabo | VPS hosting | Germany / EU |
| Resend | Transactional email | sa-east-1 |
| Cloudflare | DNS | [to be supplied: region] |
We would rather tell you what we do not yet hold than imply otherwise.
SOC 2, ISO 27001 and ISO/IEC 42001 are planned — we do not hold them today, and we will not describe them as "in progress" until there is a dated engagement to point to.
In the meantime we provide TLS-in-transit, MFA on the CRM, and this honest posture page. That is the assurance we can stand behind right now.
We practise the transparency we advise — including the spirit of EU AI Act Art. 50.
Our review harness uses AI to decompose work and probe surfaces. That use is bounded by clear rules:
Why we say this. We advise clients on EU AI Act Art. 50 transparency; it would be incoherent not to apply it to ourselves.
If you have found a security issue in waitdead.ai or the CRM, we want to hear about it.
How to report. Open a tracked ticket through our intake form. Machine-readable contact details are published at /.well-known/security.txt. A dedicated security mailbox lands with our mail server, which is still being set up — until then, the intake form is the reliable channel.
We do not yet run a paid bug-bounty programme — please don't report expecting a reward. We will acknowledge your report, keep you updated, and credit you if you would like that.
Operated by waitdead. Legal entity registration is in progress — registered-entity details: [to be supplied: legal name, number, registered address].
Vendemos revisión independiente de seguridad de IA, así que nuestra propia postura tiene que ser legible. Esta página enumera lo que es cierto hoy, quién procesa datos en nuestro nombre, qué garantías tenemos (y cuáles aún no), cómo usamos IA en nuestros propios sistemas y cómo reportar una vulnerabilidad. Honestidad antes que pulido.
Cierto hoy en waitdead.ai y en el CRM. No afirmamos más que esto; los elementos que planeamos pero que aún no tenemos figuran más abajo, en Certificaciones y garantías.
Todo el tráfico se sirve sobre TLS 1.3 con certificados válidos y vigentes. No existe respaldo en texto plano.
HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy están configuradas en los sitios.
Las huellas de framework y de versión se eliminan de las respuestas, de modo que un escáner aprende menos sobre nuestra infraestructura.
Lo que se pega en el escaneo gratuito se trata como datos no confiables; los secretos se redactan al enviar y un campo trampa protege el formulario.
Todo hallazgo derivado de IA se etiqueta como tal y queda sujeto a aprobación humana antes de llegarle a usted. Nuestro veredicto de IA es evidencia para una decisión humana, nunca la autoridad final de seguridad.
Los únicos terceros que procesan datos en nuestro nombre. Actualizaremos esta lista antes de agregar cualquier subprocesador nuevo.
| Subprocesador | Propósito | Región |
|---|---|---|
| Supabase | Base de datos + autenticación | [a definir: región] |
| Contabo | Hospedaje VPS | Alemania / UE |
| Resend | Correo transaccional | sa-east-1 |
| Cloudflare | DNS | [a definir: región] |
Preferimos decirle qué aún no tenemos antes que dar a entender lo contrario.
SOC 2, ISO 27001 e ISO/IEC 42001 están planeadas: no las tenemos hoy, y no las describiremos como «en curso» hasta que exista un compromiso con fecha al que señalar.
Mientras tanto ofrecemos TLS en tránsito, MFA en el CRM y esta página honesta de postura. Esa es la garantía que podemos respaldar en este momento.
Practicamos la transparencia que aconsejamos, incluido el espíritu del Art. 50 del Reglamento de IA de la UE.
Nuestro arnés de revisión usa IA para descomponer el trabajo y sondear superficies. Ese uso está acotado por reglas claras:
Por qué lo decimos. Asesoramos a clientes sobre la transparencia del Art. 50 del Reglamento de IA de la UE; sería incoherente no aplicárnosla a nosotros mismos.
Si encontró un problema de seguridad en waitdead.ai o en el CRM, queremos saberlo.
Cómo reportar. Abra un ticket con seguimiento mediante nuestro formulario de intake. Los datos de contacto en formato legible por máquina se publican en /.well-known/security.txt. Un buzón dedicado de seguridad llega con nuestro servidor de correo, que aún se está configurando; hasta entonces, el formulario de intake es el canal confiable.
Aún no operamos un programa pagado de recompensas por errores; por favor no reporte esperando una recompensa. Acusaremos recibo de su reporte, lo mantendremos informado y le daremos crédito si así lo desea.
Operado por waitdead. El registro de la entidad legal está en curso; datos de la entidad registrada: [a definir: nombre legal, número, domicilio registrado].