01
Encoder → Origin
Ingesta cifrada RTMPS
Tu señal viaja con TLS 1.2+ desde el encoder. Credenciales rotables, IP allowlist opcional y stream key regenerable con un clic.
Seguridad Enterprise Multicapa
Streaming blindado
Streaming blindado
de extremo a extremo.
Seis capas de defensa independientes — cifrado AES-256, CDN con DDoS Always-On, Domain Guard™, JWT + IP Binding y compliance heredado de AWS y Oracle Cloud — todo incluido en cada plan, sin costo adicional.
SOC 2 Type II ISO 27001 / 27017 / 27018 PCI DSS GDPR · LGPD
AES-256 Cifrado End-to-End TLS 1.3 · RTMPS · HLS over HTTPS
99.99% Uptime SLA Multi-AZ · Multi-Región · Failover automático
<10s Mitigación DDoS Detección y absorción en 119+ PoPs
24/7 SOC Activo Monitoreo humano + alertas automáticas
Defense in Depth
6 capas de protección.
6 capas de protección.
Independientes.
Cada transmisión atraviesa seis capas de seguridad operadas por sistemas distintos. Un atacante tendría que vulnerar todas en paralelo para acceder a tu contenido — y cada una emite logs y alertas en tiempo real.
Encoder
CDN
Viewer
02
Origin → CDN
Distribución HTTPS + HLS cifrado
Entrega exclusiva por HTTPS con certificados gestionados. HLS con segmentos protegidos. Cero tráfico en claro entre CDN y viewer.
03
CDN Edge
CDN con DDoS Always-On
119+ PoPs con mitigación L3/L4/L7 automática. WAF con reglas OWASP, rate limiting adaptativo y absorción de 250 Tbps+ de tráfico hostil.
04
Player Layer
Reproductor con Domain Guard™
Dominios autorizados con hashes irreversibles. Si copian tu embed a un sitio no autorizado, el player simplemente no funciona.
05
Control Plane
Panel con JWT + IP Binding
Sesiones con JWT versionados, vinculadas a IP en producción. MFA TOTP en Enterprise+ y rate limiting agresivo en login (5/15min).
06
Programmatic
API REST con keys auditadas
API Keys con contador de uso, logging completo y rate limiting (1,000 req/15min). Validación y sanitización exhaustiva contra inyecciones.
Protección de Contenido
Herramientas concretas, no marketing.
Cada feature opera de forma autónoma. Activas las que necesitas, auditas desde el panel y exportas logs cuando quieras.
Per-Channel
Credenciales únicas por canal
URL RTMP, stream key, usuario y contraseña generados por canal. Regeneración instantánea ante cualquier sospecha.
SmartEdge™
SmartEdge™ con geo-routing
Enrutamiento por país vía CF-IPCountry. Decides qué regiones acceden y desde dónde.
Anti-Piracy
Anti-hotlinking + SSRF guard
Whitelist de dominios para assets, bloqueo de IPs reservadas y validación estricta de esquemas URL.
ML-Based
Detección de bots y user-agents
Heurísticas y ML detectan crawlers maliciosos sin penalizar bots legítimos. Logs forenses con IP, UA y timestamp.
One-Click
Sesiones con cierre remoto
Invalida todos los JWT de tu cuenta con un clic. Ideal ante sospecha de acceso o cambio de dispositivo.
Audit Trail
Logs de auditoría inmutables
Registro completo de logins, resets, SSO, rate limits y API keys. Retención 12 meses, exportable bajo demanda.
01 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
02 Content-Security-Policy: default-src 'self' # OWASP CSP L2
03 X-Frame-Options: DENY
04 X-Content-Type-Options: nosniff
05 Referrer-Policy: strict-origin-when-cross-origin
06 Authorization: Bearer eyJhbGc.iI6
07 ✓ JWT verified · IP match · v3 · expires in 11h 42m
Bcrypt
JWT v3
Helmet
CORS strict
Tu Panel, Fortaleza
Prácticas enterprise
Prácticas enterprise
aplicadas por defecto.
Sin checkboxes que activar ni configuración escondida. Cada cuenta nace con los mismos controles que aplicamos a Enterprise+.
Bcrypt para passwords Hashing irreversible incluso ante acceso a DB.
JWT con expiración + versionado Cambio de password invalida todas las sesiones.
Reset zero-leak Tokens de un solo uso (24h). El email no revela si la cuenta existe.
Helmet + CSP + HSTS preload Headers OWASP completos. X-Frame-Options: deny.
CORS estricto Whitelist de orígenes. Solo tu panel autorizado consume el API.
Rate limiting por ruta Login 5/15min · Register 5/h · Reset 3/h · API 1000/15min.
Compromiso Contractual
SLA con números, no eufemismos.
99.99% Uptime Garantizado Multi-AZ + multi-región. Créditos automáticos si fallamos.
<10s Mitigación DDoS L3/L4/L7 automática en los 119+ PoPs.
6 Capas Independientes Defense in depth real: cada capa con logs y alertas propios.
0$ Costo Adicional Toda la seguridad incluida en cada plan. Sin upsells.
FAQ Seguridad
Lo que IT y compliance preguntan.
Respuestas concretas para equipos de TI, legal y procurement. ¿No encuentras tu caso? Habla con un experto
Operamos sobre Amazon Web Services (AWS) y Oracle Cloud Infrastructure (OCI), ambos con certificaciones SOC 2 Type II, ISO 27001, ISO 27017 (cloud), ISO 27018 (privacidad), PCI DSS Level 1 y compliance GDPR (EU) y LGPD (Brasil). Nuestra capa de aplicación no posee certificaciones formales propias todavía, pero seguimos los controles de OWASP ASVS nivel 2 y aplicamos hardening sobre cada despliegue.
En tránsito: RTMPS (TLS 1.2+) en ingesta, HTTPS con HSTS en distribución HLS/LL-HLS, y WebRTC con DTLS/SRTP en planes con WebRTC. En reposo: AES-256 en buckets de grabaciones y biblioteca VOD; claves rotadas trimestralmente y gestionadas vía KMS del proveedor cloud.
Autenticación con JWT firmados, IP binding opcional por sesión, MFA (TOTP) disponible y obligatorio en planes Enterprise+, rate limiting agresivo en endpoints de login y rotación automática de tokens. Logs de auditoría inmutables de toda acción administrativa con retención de 12 meses.
DDoS Always-On en los 119+ PoPs de la CDN sin costo adicional. Mitigación automática a nivel L3/L4 (volumétrica) y L7 (HTTP flood) con umbrales adaptativos. WAF con reglas OWASP Top 10, listas dinámicas de IPs maliciosas y machine learning de patrones de scraping.
Sí. RPO (Recovery Point Objective): <15 minutos para configuración y metadatos; <1 hora para grabaciones recientes. RTO (Recovery Time Objective): <30 minutos para servicio crítico. Respaldos cross-region diarios, replicación síncrona del panel y simulacros de DR semestrales. Documento BCP disponible bajo NDA a clientes Enterprise+.
Mínima recolección de PII (solo lo necesario para facturación y operación). Derecho al olvido, portabilidad y rectificación implementados vía soporte (respuesta <72 h). DPA disponible bajo solicitud. Procesamos datos en regiones del cliente cuando es posible (UE/Brasil). Política completa en /politicas-de-privacidad.
Sí. Pentesting interno trimestral con metodología OWASP WSTG/MASTG. Auditoría externa anual contratada a una firma especializada (cambia anualmente para evitar sesgo). Bug bounty privado disponible bajo invitación. Reporte ejecutivo del último pentest disponible para clientes Enterprise+ bajo NDA.
Tu operación broadcast empieza hoy
¿Listo para operar con calidad broadcast?
Canales de TV, productoras, iglesias, radios e instituciones en Latinoamérica ya operan con XtreamCast. Prueba gratis 3 días. Garantía de devolución de 7 días. Tu canal listo en minutos. Soporte 24/7 en español.