Autenticación y seguridad
La seguridad es un requisito fundamental en toda integración con la API de YAPU. Esta página ofrece una descripción general de cómo las APIs de YAPU gestionan la autenticación y el cifrado.
Las credenciales específicas, los tokens y las URLs de los entornos nunca se publican en este portal. Son proporcionados de forma segura por tu contacto en YAPU durante la fase de incorporación y especificación.
Método de autenticación
Las APIs de YAPU utilizan autenticación mediante Bearer token / API key. Cada solicitud debe incluir un token de autenticación válido en la cabecera de la solicitud.
El formato exacto de la cabecera y la estructura del token se definen en la documentación técnica de la API proporcionada por YAPU durante la fase de especificación.
:::warning Seguridad de las credenciales Tu API key otorga privilegios significativos. Trátala con el máximo cuidado:
- Nunca compartas tu API key en áreas de acceso público como GitHub, código del lado del cliente o documentación.
- Nunca incluyas credenciales directamente en el código fuente de tu aplicación.
- Nunca confirmes credenciales en sistemas de control de versiones.
- Almacena los tokens de forma segura mediante variables de entorno o un sistema de gestión de secretos.
- Rota las credenciales de inmediato si han sido expuestas accidentalmente.
Para obtener o cambiar tu API key, contacta a tu administrador de YAPU. :::
Arquitectura de seguridad
| Capa | Mecanismo | Notas |
|---|---|---|
| Cifrado en tránsito | TLS | TLS 1.2 como mínimo; TLS 1.3 recomendado |
| Cifrado de payload | RSA (opcional) | Disponible como capa adicional a TLS para payloads sensibles |
| Datos en reposo | AES-256 | Todos los datos de solicitudes/respuestas almacenados se cifran en reposo |
| Aplicación del protocolo | Solo HTTPS | Las solicitudes HTTP simple reciben una redirección 301 Moved Permanently |
| Registro de auditoría | En el servidor | Todas las solicitudes quedan registradas; detección de anomalías activa sobre los patrones de uso |
:::note Cifrado RSA de payload El cifrado RSA de payload es una capa opcional adicional a TLS. Tu especialista de incorporación de YAPU te informará si es necesario para tu integración. :::
Aplicación de HTTPS
Toda la comunicación con las APIs de YAPU debe usar HTTPS. Esto se aplica a nivel de infraestructura — las solicitudes HTTP simple reciben una redirección 301 Moved Permanently y no son procesadas.
Buenas prácticas de seguridad
Aplica estas prácticas durante toda tu integración:
| Práctica | Orientación |
|---|---|
| Usa variables de entorno | Almacena todas las credenciales en variables de entorno, nunca en el código |
| Limita el acceso | Solo los sistemas que necesiten acceso a la API deben tener credenciales |
| Usa credenciales de staging por separado | Las credenciales de staging y producción son distintas — nunca las mezcles |
| Monitoriza accesos no autorizados | Registra y genera alertas ante fallos de autenticación inesperados |
| Solicita solo lo necesario | Llama únicamente a los endpoints de la API relevantes para tu bundle de integración |
Ciclo de vida de las credenciales
- Las credenciales son emitidas por YAPU durante la fase de especificación e incorporación.
- Las credenciales para los entornos de staging y producción son independientes.
- Si sospechas que una credencial ha sido comprometida, contacta a tu representante de YAPU de inmediato.
Resumen
| Elemento de seguridad | Implementación |
|---|---|
| Autenticación | Bearer token / API key |
| Cifrado | RSA |
| Transporte | HTTPS (aplicado — sin HTTP) |
| Gestión de credenciales | Proporcionadas por YAPU durante la incorporación |
| Exposición pública de credenciales | Nunca — no se publican en este portal |