## Objetivo

Definir el nivel mínimo de seguridad para cualquier entorno Beacon antes de pasar a producción.

## Checklist obligatoria

<Steps>
  <Step title="1) Secretos y credenciales">Guardar secretos en un vault dedicado, con rotación automática y sin exposición en código, logs o documentación pública.</Step>
  <Step title="2) Acceso y permisos">Aplicar mínimo privilegio, teniendo en cuenta que el producto hoy solo expone los roles `OWNER` y `ADMIN`.</Step>
  <Step title="3) Integridad de eventos">Activar validación de firma de webhook, verificar timestamp y asegurar idempotencia end-to-end.</Step>
  <Step title="4) Auditoría y trazabilidad">Garantizar rastro de auditoría, retención y captura de `code`, `nextAction`, `webhookEventId` y `queueJobId` en operaciones críticas.</Step>
  <Step title="5) Respuesta a incidentes">Tener runbooks y contactos de escalado validados previamente.</Step>
</Steps>

## Matriz de control por dominio

| Dominio | Control mínimo | Evidencia |
| --- | --- | --- |
| API | Bearer tokens de sesión, `org` explícito y revisión de memberships | Política de sesión y auditoría de accesos |
| Webhooks | Validación de firma + deduplicación por `event.id` + replay auditable | Registros de validación y replay por `webhookEventId` |
| Dashboard | MFA y segregación entre `OWNER` y `ADMIN` | Revisión mensual de accesos |
| Fiscal | `setup-state` como fuente única, integridad documental y conciliación | Informe de cierre y excepciones |

## Patrones prohibidos

- Credenciales reales en ejemplos de documentación.
- Endpoints internos/dev-only en documentación pública.
- Exportar datos personales completos por canales no controlados.

<Warning title="Go-live">Si falta cualquier control de esta baseline, no se debe pasar a producción.</Warning>
