Saltar al contenido principal

Autenticacion

El API usa x-api-key y, cuando aplica, Authorization: Bearer. Recomendamos rotar claves y registrar su uso.

Certificados

  • Guarda certificados PFX en S3 o en un vault.
  • Usa claves por entorno y con caducidad controlada.
  • Verifica CRL y CA cuando aplique.

Datos sensibles

  • No persistir secretos en el codigo.
  • Limitar logs de payloads con datos personales.
  • Usa correlationId para trazabilidad sin exponer datos.

Endpoints internos

Los endpoints de metricas pueden deshabilitarse por configuracion.