Baseline de seguridad
Controles obligatorios para operar Beacon sin exponer secretos ni datos sensibles.
reference • updated 2026-03-17
Objetivo
Definir el nivel mínimo de seguridad para cualquier entorno Beacon antes de pasar a producción.
Checklist obligatoria
11) Secretos y credenciales
Guardar secretos en un vault dedicado, con rotación automática y sin exposición en código, logs o documentación pública.22) Acceso y permisos
Aplicar mínimo privilegio, teniendo en cuenta que el producto hoy solo expone los rolesOWNERyADMIN.33) Integridad de eventos
Activar validación de firma de webhook, verificar timestamp y asegurar idempotencia end-to-end.44) Auditoría y trazabilidad
Garantizar rastro de auditoría, retención y captura decode,nextAction,webhookEventIdyqueueJobIden operaciones críticas.55) Respuesta a incidentes
Tener runbooks y contactos de escalado validados previamente.
Matriz de control por dominio
| Dominio | Control mínimo | Evidencia |
|---|---|---|
| API | Bearer tokens de sesión, org explícito y revisión de memberships | Política de sesión y auditoría de accesos |
| Webhooks | Validación de firma + deduplicación por event.id + replay auditable | Registros de validación y replay por webhookEventId |
| Dashboard | MFA y segregación entre OWNER y ADMIN | Revisión mensual de accesos |
| Fiscal | setup-state como fuente única, integridad documental y conciliación | Informe de cierre y excepciones |
Patrones prohibidos
- Credenciales reales en ejemplos de documentación.
- Endpoints internos/dev-only en documentación pública.
- Exportar datos personales completos por canales no controlados.