Checklist producción
Antes de poner la integración en producción, valida:
Auth y seguridad
- La API key vive solo en backend, nunca en frontend.
- La key está en un gestor de secretos (no en código ni
.envcommiteados). - El
webhookSecretestá guardado seguro. - Solo tienes los scopes necesarios (principio de menor privilegio).
- Implementaste verificación HMAC en el webhook receiver.
- Usas
timingSafeEqual(no===) para comparar firmas.
Manejo de errores
- Reintentas
429,5xxcon backoff exponencial. - No reintentas
4xx(excepto429). - Logueas errores con suficiente contexto para debugging.
- Tienes alertas para errores de Hacienda.
Idempotencia y duplicados
- Usas
Idempotency-Keyen todos losPOST /facturas. - Generas la key antes del primer intento, no dentro del loop.
- Tu webhook receiver dedup con
nonce.
Performance
- Timeouts apropiados (30 s en POST, 10 s en GET).
- Procesas webhooks de forma asíncrona (respondes
2xxrápido). - Reusas conexiones HTTP (keep-alive).
- Respetas rate limit (no haces bursts).
Operación
- Tienes monitoring (latencia, error rate).
- Tienes alertas (
5xx, comprobantes rechazados). - Tienes dashboards básicos.
- Logueas el prefijo de la key para soporte.
- Sabes cómo rotar la key sin downtime.
Datos
- Persistes la
clavede cada emisión en tu BD. - Manejas el caso
rechazadocon notificación al usuario. - Almacenas PDFs/XMLs si los necesitas localmente (no dependas solo de LX).
Conformidad
- Sabes qué hacer en caso de rechazo (informar al cliente, re-emitir, etc.).
- Conoces la política de retención de tu jurisdicción.
- Has consultado a tu contador sobre flujos especiales (NC, ND, contingencia).