Beacon

Baseline de seguridad

Ver como Markdown

Baseline de seguridad

Controles obligatorios para operar Beacon sin exponer secretos ni datos sensibles.

reference • updated 2026-03-17

Objetivo

Definir el nivel mínimo de seguridad para cualquier entorno Beacon antes de pasar a producción.

Checklist obligatoria

  1. 11) Secretos y credenciales

    Guardar secretos en un vault dedicado, con rotación automática y sin exposición en código, logs o documentación pública.
  2. 22) Acceso y permisos

    Aplicar mínimo privilegio, teniendo en cuenta que el producto hoy solo expone los roles OWNER y ADMIN.
  3. 33) Integridad de eventos

    Activar validación de firma de webhook, verificar timestamp y asegurar idempotencia end-to-end.
  4. 44) Auditoría y trazabilidad

    Garantizar rastro de auditoría, retención y captura de code, nextAction, webhookEventId y queueJobId en operaciones críticas.
  5. 55) Respuesta a incidentes

    Tener runbooks y contactos de escalado validados previamente.

Matriz de control por dominio

DominioControl mínimoEvidencia
APIBearer tokens de sesión, org explícito y revisión de membershipsPolítica de sesión y auditoría de accesos
WebhooksValidación de firma + deduplicación por event.id + replay auditableRegistros de validación y replay por webhookEventId
DashboardMFA y segregación entre OWNER y ADMINRevisión mensual de accesos
Fiscalsetup-state como fuente única, integridad documental y conciliaciónInforme de cierre y excepciones

Patrones prohibidos

  • Credenciales reales en ejemplos de documentación.
  • Endpoints internos/dev-only en documentación pública.
  • Exportar datos personales completos por canales no controlados.