Baseline de seguridad
Controles obligatorios para operar Beacon sin exponer secretos ni datos sensibles.
reference • updated 2026-03-15
Objetivo
Definir el nivel mínimo de seguridad para cualquier entorno Beacon antes de pasar a producción.
Checklist obligatoria
11) Secretos y credenciales
Guardar secretos en un vault dedicado, con rotación automática y sin exposición en código, logs o documentación pública.22) Acceso y permisos
Aplicar mínimo privilegio por persona, con revisión periódica de roles y eliminación de accesos huérfanos.33) Integridad de eventos
Activar validación de firma de webhook, verificar timestamp y asegurar idempotencia end-to-end.44) Auditoría y trazabilidad
Garantizarrequest_id, rastro de auditoría y retención mínima para investigación.55) Respuesta a incidentes
Tener runbooks y contactos de escalado validados previamente.
Matriz de control por dominio
| Dominio | Control mínimo | Evidencia |
|---|---|---|
| API | Tokens de corta duración y scopes por organización | Política de tokens y logs de emisión |
| Webhooks | Validación de firma + replay seguro | Registros de validación y pruebas de replay |
| Dashboard | MFA y segregación de funciones | Revisión mensual de accesos |
| Fiscal | Integridad documental y conciliación | Informe de cierre y excepciones |
Patrones prohibidos
- Credenciales reales en ejemplos de documentación.
- Endpoints internos/dev-only en documentación pública.
- Exportar datos personales completos por canales no controlados.