Rotación de API keys
Rotar una API key emite un nuevo valor sin invalidar el anterior de forma inmediata, lo cual permite migrar el tráfico sin caída de servicio.
Cuándo rotar
- Sospecha de exposición (commit accidental, salida de un empleado, etc.).
- Política interna de rotación periódica (cada 6 a 12 meses).
- Después de un incidente de seguridad.
Procedimiento sin downtime
💡 Tip: durante la transición, ambas API keys quedan activas. Esto te permite verificar que la nueva funciona antes de revocar la vieja.
🔒 El
webhook_secretse preserva durante la rotación, así que no necesitás reconfigurar la verificación HMAC de tus webhooks.