Seguridad

Yoyaku usa HTTPS, Caddy con cabeceras de seguridad, controles CORS, limites de tamano de cuerpo, rate limits para rutas sensibles, autenticacion, separacion por tenant y permisos por rol.

Los secretos de proveedores de pago se almacenan cifrados con AES-256-GCM usando una llave de entorno. Las fotos y adjuntos usan S3 con permisos separados para contenido publico y privado.

La infraestructura de produccion esta pensada para EC2, RDS PostgreSQL, S3, Redis local para trabajos y GitHub Actions para despliegue. RDS no debe exponerse publicamente y solo debe aceptar conexiones desde el servidor de aplicacion.

Los proveedores deben usar contrasenas seguras, limitar accesos de asistentes, cerrar sesion en equipos compartidos y revisar que la informacion publicada sea correcta.

Reporta problemas de seguridad a [email protected]. Incluye pasos de reproduccion, impacto posible y cualquier evidencia util.