// docs / quotas & limits
Cuotas y límites
Cada valor de cuota y límite de tasa que aparece abajo se deriva del módulo de derechos en tiempo de compilación, así que esta página no puede desviarse de lo que el servidor realmente aplica.
Derechos por nivel
| Gratis | Aficionado | Pro | Ilimitado | |
|---|---|---|---|---|
| Escaneos / mes | 3 | 50 | 200 | Plan Unlimited¹ |
| Proyectos (dominios verificados) | 1 | 1 | 5 | 20 |
| Tokens de API | 0 | 1 | 5 | 20 |
| Owner-depth scans | no | sí | sí | sí |
| Escaneos de repositorios de GitHub | no | no | sí | sí |
| Reescaneos programados | no | no | cadencia ≥3h | cadencia ≥1h |
| Detección de amenazas en vivo | no | no | no | sí |
| Retención | 7 días | 30 días | 90 días | 365 días |
| Asientos de equipo | 1 | 1 | 1 | 5 |
| Soporte | estándar | estándar | prioritario | dedicado |
¹ La cuota de escaneos del plan Unlimited está sujeta a uso justo — consulta los Términos. ² El límite por defecto es 20 dominios con monitoreo activo a cadencia ≥1h. Escribe a support@fixweb.app para aumentarlo a cambio de una cadencia programada más larga.
Límites de tasa de la API
Cada solicitud /api/v1/* y /api/mcp se asocia al hash del token Bearer y pasa por dos ventanas:
- Ráfaga: 10 solicitudes por segundo.
- Estable: 60 solicitudes por minuto.
En 429, la respuesta incluye:
HTTP/1.1 429 Too Many Requests
content-type: application/json
retry-after: 47
x-ratelimit-limit: 60
x-ratelimit-remaining: 0
x-ratelimit-reset: 1715116200
{
"error": "rate_limited",
"message": "Token rate limit exceeded — steady (60/min). Retry in 47s.",
"retry_after_seconds": 47
}La ventana que se disparó aparece nombrada en el mensaje (burst (10/s) vs. steady (60/min)) para que el backoff del cliente pueda adaptarse.
Límite de tasa de escaneos del plan Free (por IP/24)
Además del límite de 3 escaneos al mes por organización, los usuarios del plan Free tienen un límite adicional por IP/24: 3 escaneos por hora, 100 por día. El mismo limitador cubre los escaneos instantáneos anónimos, lo que evita explotar la cuota Free con cuentas desechables. Las solicitudes que superen cualquiera de los límites devuelven HTTP 429 Too Many Requests con un encabezado Retry-After.
Throttle de registro (por IP/24)
5 registros exitosos por IP/24 cada 24 horas, para evitar la creación automatizada de cuentas en el plan Free. Las devoluciones limitadas redirigen a /sign-in?error=rate_limited.
Retención
Los escaneos + hallazgos se purgan automáticamente según la tabla anterior. Los escaneos anónimos de una sola vez vencen 24h después de crearse. Los audit logs se conservan 18 meses. Los snapshots de monitor se recortan a los últimos 7 días más la línea base más reciente por (dominio, señal). Las alertas descartadas se purgan después de 90 días. Toda la retención se aplica diariamente mediante /api/cron/retention-cleanup.