TAPI Logo

Referencia API

Medidas de Seguridad

Múltiples mecanismos de seguridad para requests e invocaciones hacia los endpoints

Descripción General

Tapi ofrece múltiples mecanismos de seguridad para las requests e invocaciones hacia los endpoints que expone el cliente. Estas medidas garantizan que los servicios del cliente reciban únicamente requests auténticas y seguras provenientes de nuestros sistemas.

Medidas de Seguridad Disponibles

1Header API Key

Incluimos un header HTTP personalizado en cada request con una clave de autenticación proporcionada por el cliente.

Características:

  • Header configurable: Header configurable: El cliente define el nombre del header (ej. x-api-key, etc.)
  • Valor secreto: Valor secreto: El cliente nos proporciona el valor que debe incluirse en el header
  • Validación simple: Validación simple: Permite una verificación rápida de autenticidad en el lado del cliente

2Atributo Hash Firmado

El campo hash se incluye en el request body (payload) como mecanismo de autenticación criptográfica robusto.

Funcionamiento:

  • Clave pública requerida: Clave pública requerida: El cliente nos proporciona una clave pública RSA en formato PKCS1 (formato ----BEGIN RSA PUBLIC KEY-----)
  • Proceso de cifrado: Proceso de cifrado: Encriptamos información específica utilizando la clave pública del cliente
  • Verificación asimétrica: Verificación asimétrica: El cliente utiliza su clave privada asociada para verificar la autenticidad del hash

Estructura del hash:

const hash = encrypt(
  JSON.stringify({
    clientUsername,
    operationId
  }),
  publicKey
)

Consideraciones importantes:

  • El contenido específico del hash es secundario; lo fundamental es la capacidad de verificación asimétrica
  • Este mecanismo garantiza tanto autenticidad como integridad del mensaje

3Whitelisting de IPs

Proporcionamos una lista de direcciones IP desde las cuales se envían nuestras requests, permitiendo al cliente implementar filtros de red.

Características:

  • Lista de IPs seguras: Lista de IPs seguras: Compartimos las direcciones IP de nuestros servidores (tanto en sandbox como en producción).
  • Implementación del cliente: Implementación del cliente: El cliente puede añadir estas IPs a su whitelist o WAF.
  • Filtrado a nivel de red: Filtrado a nivel de red: Proporciona una capa adicional de seguridad antes de que las requests lleguen a la aplicación
⚠️

Limitaciones actuales:

Importante: Este mecanismo está disponible únicamente para webhooks de "Confirmación de Pago". No se encuentra habilitado para requests hacia endpoints de "Autorización de Pago".