¿Por dónde empiezo con Chaindoc?

Ve a la guía de Inicio Rápido. Te guía paso a paso para crear una cuenta, subir tu primer documento y enviarlo para firma. Toma unos cinco minutos si ya tienes un documento listo.

¿Hay una referencia de API?

Sí. La referencia de API cubre todos los endpoints, incluyendo autenticación, subida de documentos, gestión de firmantes y configuración de webhooks. Cada endpoint incluye ejemplos de petición y respuesta que puedes probar en el sandbox.

¿Qué SDKs están disponibles para Chaindoc?

Chaindoc tiene SDKs para JavaScript/TypeScript, Python y Go. La página de SDKs y bibliotecas tiene instrucciones de instalación y ejemplos de código. Si tu lenguaje no está listado, la REST API funciona con cualquier cliente HTTP.

¿Cómo funcionan los webhooks en Chaindoc?

Chaindoc envía peticiones POST a tu endpoint cuando ocurren eventos: documento firmado, visto, expirado, etc. La guía de webhooks muestra cómo configurar endpoints, verificar firmas y manejar reintentos.

¿Necesito una cuenta para usar el sandbox de Chaindoc?

Sí, pero es gratis. Regístrate en chaindoc.io y obtendrás acceso al sandbox automáticamente. No se necesita tarjeta de crédito. El sandbox refleja producción, así que todo lo que construyas allí funcionará igual cuando cambies.

¿Dónde puedo encontrar ejemplos de código de Chaindoc?

Cada página de documentación tiene fragmentos de código inline. Para ejemplos completos funcionales, la sección de guías incluye flujos de firma end-to-end, operaciones masivas y flujos basados en plantillas con código copiar-pegar.

Mejores prácticas de seguridad

Chaindoc cifra documentos en reposo (AES-256) y en tránsito (TLS 1.3), verifica la integridad en blockchain y registra cada acción. Aquí te explicamos qué viene incluido y qué deberías configurar antes de salir a producción.

La mayoría de las funciones de seguridad funcionan automáticamente. Pero hay configuraciones que deberías activar (MFA, restricciones de IP) y hábitos que tu equipo debería adoptar (rotación de claves, revisiones de acceso). Esta guía cubre ambos aspectos.

Autenticación

Autenticación multifactor

Actívalo para todos. No solo para administradores. Es la medida más efectiva que puedes tomar. Chaindoc soporta:

Apps de autenticación (TOTP) — Google Authenticator, Authy, 1Password
Códigos SMS — funciona pero es menos seguro. Usa apps de autenticación cuando sea posible.
Llaves de seguridad físicas (FIDO2/WebAuthn) — la opción más robusta
Autenticación biométrica en dispositivos móviles

Políticas de contraseñas

Si no usas SSO, exige contraseñas fuertes. Chaindoc te permite configurar longitud mínima (12+ caracteres recomendados), requisitos de complejidad, intervalos de expiración y bloqueo tras intentos fallidos. También puedes impedir el reuso de las últimas 10 contraseñas.

Control de acceso basado en roles

Dale a cada persona solo el acceso que necesita. Chaindoc tiene roles predefinidos (Owner, Admin, Manager, Member, Guest, Auditor) y soporta roles personalizados con permisos por acción. Revisa las asignaciones trimestralmente y elimina lo que ya no se necesite. Consulta la documentación de gestión de equipos para saber cómo configurarlo.

Cifrado

En reposo

Todos los documentos se cifran con AES-256 en almacenamiento. Las copias de seguridad se cifran con claves separadas. Las claves de cifrado se gestionan a través de un servicio KMS dedicado y se rotan trimestralmente.

En tránsito

Todas las conexiones usan TLS 1.3. Los cipher suites débiles están desactivados. Las cabeceras HSTS aseguran que los navegadores nunca retrocedan a HTTP. Esto aplica al app web, a la API y a las transacciones blockchain.

Seguridad de claves API

Las claves API son la fuente más común de problemas de seguridad. Una clave secreta filtrada otorga acceso total a tu cuenta de Chaindoc.

Reglas de gestión de claves

Nunca pongas claves secretas (`sk_`) en código del lado del cliente. Solo van en tu backend. Almacénalas en variables de entorno o un gestor de secretos (no en tu repo). Usa claves de prueba (`sk_test_`) en desarrollo. Rota las claves de producción cada 90 días. Si se filtra una clave, revócala inmediatamente en tu panel.

Las claves públicas (`pk_`) están diseñadas para uso en frontend y tienen acceso de solo lectura, así que son seguras de incluir en bundles del cliente. Para más información sobre tipos de claves, consulta la guía de integración API.

Verificación blockchain

Cada documento publicado recibe un hash escrito en blockchain. Esta es la parte a prueba de manipulaciones. Incluso si alguien accediera directamente a la base de datos, no podría modificar un documento sin que el hash blockchain resultara inválido.

Los hashes de documentos se registran al publicar y en cada cambio de estado (firmas, anulación, etc.)
Los recibos de transacciones se almacenan con el documento para fácil verificación
Cualquiera puede verificar independientemente un documento contra el registro blockchain
El registro es permanente — sobrevive incluso si Chaindoc desaparece

Para documentos de alto valor, vale la pena verificar el registro blockchain después de firmar para confirmar que todo coincide.

Seguridad de webhooks

Si usas webhooks, verifica la firma HMAC en cada solicitud entrante. Sin esto, alguien podría enviar eventos falsos a tu endpoint. La guía de webhooks incluye el código de verificación.

Cumplimiento normativo

La infraestructura de Chaindoc está certificada SOC 2 Tipo II. Dependiendo de tu industria, puede que necesites configurar opciones adicionales:

GDPR — opciones de residencia de datos (UE, US, Asia), derecho al olvido, portabilidad de datos. Las políticas de retención documental gestionan la eliminación automática.
HIPAA — registro de auditoría y controles de acceso para documentos sanitarios. Contacta con soporte para un BAA.
SOC 2 — los controles de seguridad están documentados. Se realizan auditorías externas anuales.
eIDAS / ESIGN Act / UETA — el cumplimiento de firmas está integrado para los tres tipos de firma.
ISO 27001 — las prácticas de gestión de seguridad de la información están alineadas con ISO 27001.

Registro de auditoría

Chaindoc registra cada acción: inicios de sesión, acceso a documentos, ediciones, eventos de firma, cambios de permisos y llamadas API. Los registros se almacenan en un sistema a prueba de manipulaciones y se retienen durante al menos un año (más tiempo si tu política de retención lo requiere).

Puedes exportar registros de auditoría para revisiones de cumplimiento externas. Los intentos de inicio de sesión fallidos y actividad sospechosa activan alertas si has configurado el monitoreo.

Monitoreo y respuesta a incidentes

Configura alertas para intentos de inicio de sesión fallidos, actividad inusual de API y escalada de permisos. Chaindoc se integra con sistemas SIEM si tu equipo de seguridad usa uno.

Ten un plan de respuesta a incidentes listo. Saber quién contactar, qué desactivar y cómo comunicar una brecha. Prueba el plan al menos una vez al año. Para incidentes de seguridad relacionados con Chaindoc, contacta security@chaindoc.com.

Lista de verificación pre-producción

Revisa esto antes de salir a producción:

MFA habilitado para todas las cuentas
Políticas de contraseñas configuradas (12+ caracteres, bloqueo tras 5 fallos)
Roles asignados con acceso de mínimo privilegio
Cifrado AES-256 confirmado (habilitado por defecto)
TLS 1.3 forzado en todos los endpoints
Claves API almacenadas en variables de entorno o gestor de secretos
Claves de prueba reemplazadas por claves de producción
Rate limiting configurado para endpoints API
Verificación HMAC de webhooks implementada
Registro de auditoría habilitado y período de retención definido
Monitoreo de seguridad y alertas configurados
Plan de respuesta a incidentes documentado
Copias de seguridad probadas (intenta una restauración)
Requisitos de cumplimiento documentados y cumplidos

Qué hacer a continuación

Gestión de equipos — configura roles y control de acceso
Firmas — entiende los tipos de firma y cumplimiento
Integración API — asegura tu implementación de API
Webhooks — verificación HMAC y gestión de eventos
Documentos — control de acceso y políticas de retención

Documentación