Documentation
Connect your marketing data to Claude, ChatGPT and other LLMs.
Seguridad — Meta Ads
Almacenamiento de tokens
- Tokens OAuth (Google / Meta) cifrados en reposo con AES-256-CBC vía Laravel Encrypter
- Clave de cifrado =
APP_KEY(nunca loggeada, nunca commiteada, nunca expuesta en respuestas) - Ninguna copia de seguridad de BD de terceros contiene tokens en claro
- Eliminación de cuenta = eliminación en cascada de los tokens (RGPD)
Autenticación MCP — OAuth 2.1
- OAuth 2.1 + PKCE (S256) estándar en todos los flujos
- Dynamic Client Registration (RFC 7591) — cada sesión Claude genera un client_id efímero, sin pre-registro del lado de gadspilot
- Resource Indicators (RFC 8707) — Claude debe declarar el recurso MCP destino en la solicitud authorize
- Access tokens: validez de 30 días, hasheados (SHA-256) en BD
- Tokens revocables al instante vía /profile o vía permisos de la cuenta de Google
Toggles de seguridad por cuenta
Cada cuenta conectada tiene sus propios flags:
- Write enabled (ON por defecto): si OFF, todos los tools write devuelven un error inmediatamente, incluso fuera de dry-run
- Dry-run default (ON por defecto): si ON, cada tool write se ejecuta en dry-run salvo que se pase explícitamente
dry_run=false
Registro de auditoría
- Todos los intentos write (reales Y dry-run) se loggean en la tabla
mcp_write_logs - Cada entrada: nombre del tool, params (JSON), timestamp, flag dry_run, resultado (éxito/error + cuerpo)
- Visible para el usuario vía /logs
Límites de tasa
| Endpoint | Límite |
|---|---|
| Solicitudes MCP por token | 60 / minuto |
| Endpoint OAuth token | 30 / minuto por IP |
| AI analysis Insights internos | 30 / día por usuario |
| Informes por email | 10 / día por usuario |
Hosting e infraestructura
- VPS LWS.fr (Francia) bajo ISPConfig
- Apache + PHP-FPM 8.4, certificados Let's Encrypt auto-renovados
- HTTPS-only con HSTS
- Datacenter certificado ISO 27001
- Ningún dato transferido fuera de la UE salvo llamadas a las API Google/Meta (requeridas) y OpenRouter para el AI analysis opcional
Datos enviados a OpenRouter (AI analysis opcional)
El AI analysis in-app en las páginas Insights (el botón ✨) envía KPIs agregados a un modelo Claude de Anthropic vía OpenRouter. Consentimiento granular por cuenta requerido, registro de auditoría RGPD completo, ningún envío automático.
El análisis del lado MCP (Claude mismo) no pasa por OpenRouter — es tu cliente IA directo.
Eliminación de cuenta
- Self-service desde /profile — escribe «DELETE» para confirmar
- Cascada inmediata: tokens OAuth, tokens MCP, registros de auditoría, notas, ai_consent_logs eliminados
- Exportación de datos disponible bajo petición a contact@gadspilot.com
Vulnerabilidades
Reporting vía /.well-known/security.txt (RFC 9116) o ceo@lws.fr. SLA: ack en menos de 48h, fix según severidad.
Detalles completos: Política de privacidad · Condiciones del servicio
