Seguridad y Control de Acceso

Aspectos clave

• Autenticación JWT: Los tokens de acceso de corta duración (minutos) con tokens de actualización de larga duración (días) minimizan la ventana de exposición si un token se ve comprometido.
• Autenticación de dos factores (TOTP): Todos los usuarios pueden habilitar 2FA usando cualquier app TOTP (Google Authenticator, Authy). La configuración usa un código QR y genera códigos de recuperación.
• Control de acceso basado en roles (RBAC): Cinco roles integrados — USUARIO, CHÓFER, SOPORTE, ADMIN, SUPER_ADMIN — proporcionan una estructura predeterminada sensata.
• Más de 200 permisos nombrados: Permisos detallados como leer:descripción-vehículo y crear:viaje te permiten controlar exactamente lo que cada rol o usuario puede hacer.
• SAML 2.0 SSO: Los clientes empresariales integran su propio IdP — Azure AD, Okta — para SSO con aprovisionamiento automático de usuarios.
• Hash de contraseñas Argon2: Las contraseñas se hashean con Argon2id, el ganador de la Password Hashing Competition, resistente a ataques de fuerza bruta basados en GPU.
• Límite de velocidad por clave API: Cada clave API tiene su propio límite de velocidad configurable. El tráfico pico de una integración defectuosa se contiene sin afectar a otros consumidores.
• Seguimiento de errores y registro de solicitudes: Todas las solicitudes API se registran. Los errores se reportan a Sentry en tiempo real con trazas de pila completas y contexto de solicitud.