Skip to Content
v1.0Documentación oficial de la API LX CloudPos · estable en producción
V1ApendicesChecklist producción

Checklist producción

Antes de poner la integración en producción, valida:

Auth y seguridad

  • La API key vive solo en backend, nunca en frontend.
  • La key está en un gestor de secretos (no en código ni .env commiteados).
  • El webhookSecret está guardado seguro.
  • Solo tienes los scopes necesarios (principio de menor privilegio).
  • Implementaste verificación HMAC en el webhook receiver.
  • Usas timingSafeEqual (no ===) para comparar firmas.

Manejo de errores

  • Reintentas 429, 5xx con backoff exponencial.
  • No reintentas 4xx (excepto 429).
  • Logueas errores con suficiente contexto para debugging.
  • Tienes alertas para errores de Hacienda.

Idempotencia y duplicados

  • Usas Idempotency-Key en todos los POST /facturas.
  • Generas la key antes del primer intento, no dentro del loop.
  • Tu webhook receiver dedup con nonce.

Performance

  • Timeouts apropiados (30 s en POST, 10 s en GET).
  • Procesas webhooks de forma asíncrona (respondes 2xx rápido).
  • Reusas conexiones HTTP (keep-alive).
  • Respetas rate limit (no haces bursts).

Operación

  • Tienes monitoring (latencia, error rate).
  • Tienes alertas (5xx, comprobantes rechazados).
  • Tienes dashboards básicos.
  • Logueas el prefijo de la key para soporte.
  • Sabes cómo rotar la key sin downtime.

Datos

  • Persistes la clave de cada emisión en tu BD.
  • Manejas el caso rechazado con notificación al usuario.
  • Almacenas PDFs/XMLs si los necesitas localmente (no dependas solo de LX).

Conformidad

  • Sabes qué hacer en caso de rechazo (informar al cliente, re-emitir, etc.).
  • Conoces la política de retención de tu jurisdicción.
  • Has consultado a tu contador sobre flujos especiales (NC, ND, contingencia).