Seguridad y privacidad de nivel empresarial

Cifrado AES-256-GCM

• AES-256-GCM para todas las columnas de credenciales en reposo
• Tokens de Meta y Facturapi cifrados
• Aislamiento de datos por tenant en cada consulta

Enmascaramiento PII / PCI

• Tarjetas de crédito (validación Luhn) → ****-****-****-1234
• CURP (identidad nacional) → [CURP PROTEGIDO]
• RFC (identificación fiscal) → [RFC PROTEGIDO]
• CLABE (cuenta bancaria) → [CLABE PROTEGIDA]
• 14 patrones de inyección de prompt eliminados

Verificación de webhooks

• Meta: HMAC-SHA256 con comparación timing-safe

Autenticación JWT

• Tokens con expiración de 24 horas
• Aislamiento de datos por tenant (cada consulta filtrada por tenantId)
• Control basado en roles: propietario vs. agente

Límites de tasa

• 100 solicitudes por minuto (límite global)
• 5 intentos de login cada 15 minutos por IP
• Protección automática contra ataques de fuerza bruta

4 circuit breakers

Apertura automática ante fallos sostenidos, recuperación gradual con backoff y health check cada 5 minutos.