Seguridad
Controles principales implementados y prácticas recomendadas para operar con datos de facturación, clientes, tokens y certificados sin ampliar exposición innecesaria.
Controles actuales
- Autenticación con contraseña hasheada y Google OAuth.
- Verificación anti-bot con Turnstile en login y registro.
- Sesiones con cookies seguras y control de versión de sesión.
- Auditoría de acciones clave en facturas y usuarios.
- Roles diferenciados para super_admin, account_holder e invoice_manager.
- Tokens API con hashes en servidor, revocación, caducidad y scope por negocio.
- Datos sensibles de clientes cifrados en reposo mediante los helpers de la plataforma.
Protección de datos y secretos
- No compartas cuentas: cada persona debe operar con su propio usuario para que la auditoría tenga valor.
- No pegues NIF, emails, certificados, tokens ni credenciales SMTP en tickets públicos, capturas o logs.
- Descarga exportes solo cuando los necesites y guárdalos en ubicaciones controladas.
- Si un certificado Veri*factu o token API deja de estar bajo control, elimínalo o revócalo y crea uno nuevo.
Seguridad API
- Las integraciones deben ejecutarse en servidor, nunca desde JavaScript público con el token visible.
- Un token válido no concede acceso global: el negocio solicitado debe estar dentro de su scope.
- Los consumidores deben diferenciar 401, 403 y 400 para evitar reintentos inseguros o bucles ruidosos.
- Mantén inventario de integraciones activas y responsable de cada token, siguiendo el principio de menor privilegio.
Buenas prácticas operativas
- Usa contraseñas largas y únicas.
- Revoca tokens API no utilizados.
- Revisa periódicamente la auditoría.
- Evita compartir cuentas entre personas del equipo.
- Revisa usuarios y permisos cuando alguien cambie de rol o salga del equipo.
- Si detectas un acceso inesperado, cambia credenciales, revoca tokens y revisa auditoría antes de continuar.
La seguridad de una herramienta de facturación depende tanto de controles técnicos como de operación diaria: permisos mínimos, trazabilidad, secretos bien guardados y exportes tratados como datos sensibles.