Paybyidir.ai

Documentación

Guías oficiales para configurar y usar Pay by idir.ai.

Seguridad

Controles principales implementados y prácticas recomendadas para operar con datos de facturación, clientes, tokens y certificados sin ampliar exposición innecesaria.

Controles actuales

  • Autenticación con contraseña hasheada y Google OAuth.
  • Verificación anti-bot con Turnstile en login y registro.
  • Sesiones con cookies seguras y control de versión de sesión.
  • Auditoría de acciones clave en facturas y usuarios.
  • Roles diferenciados para super_admin, account_holder e invoice_manager.
  • Tokens API con hashes en servidor, revocación, caducidad y scope por negocio.
  • Datos sensibles de clientes cifrados en reposo mediante los helpers de la plataforma.

Protección de datos y secretos

  • No compartas cuentas: cada persona debe operar con su propio usuario para que la auditoría tenga valor.
  • No pegues NIF, emails, certificados, tokens ni credenciales SMTP en tickets públicos, capturas o logs.
  • Descarga exportes solo cuando los necesites y guárdalos en ubicaciones controladas.
  • Si un certificado Veri*factu o token API deja de estar bajo control, elimínalo o revócalo y crea uno nuevo.

Seguridad API

  • Las integraciones deben ejecutarse en servidor, nunca desde JavaScript público con el token visible.
  • Un token válido no concede acceso global: el negocio solicitado debe estar dentro de su scope.
  • Los consumidores deben diferenciar 401, 403 y 400 para evitar reintentos inseguros o bucles ruidosos.
  • Mantén inventario de integraciones activas y responsable de cada token, siguiendo el principio de menor privilegio.

Buenas prácticas operativas

  • Usa contraseñas largas y únicas.
  • Revoca tokens API no utilizados.
  • Revisa periódicamente la auditoría.
  • Evita compartir cuentas entre personas del equipo.
  • Revisa usuarios y permisos cuando alguien cambie de rol o salga del equipo.
  • Si detectas un acceso inesperado, cambia credenciales, revoca tokens y revisa auditoría antes de continuar.

La seguridad de una herramienta de facturación depende tanto de controles técnicos como de operación diaria: permisos mínimos, trazabilidad, secretos bien guardados y exportes tratados como datos sensibles.

Referencias de seguridad