{"section":"tutorials","requestedLocale":"es","requestedSlug":"buenas-practicas-claves-de-api","locale":"es","slug":"buenas-practicas-claves-de-api","path":"docs/es/tutorials/seguridad/seguridad-para-comerciantes/buenas-practicas-claves-de-api.md","branch":"main","content":"VTEX dispone de varias API para que los clientes y partners puedan desarrollar integraciones altamente personalizables con la plataforma.  Las [claves de API](/es/docs/tutorials/claves-de-api) se utilizan para proporcionar acceso seguro a los datos consumidos por las integraciones, sin exponer la cuenta a usuarios o aplicaciones no autorizados.\n\n> ℹ️ Este tipo de credencial se utiliza para la autenticación de la identidad a través de la API.\n\nEl manejo inadecuado de las [claves de API](/es/docs/tutorials/claves-de-api) puede generar fugas y, en consecuencia, situaciones de acceso indebido. A continuación, puedes ver las buenas prácticas que recomendamos para la gestión de estas credenciales que puedes implementar para aumentar la seguridad de tu tienda.\n\n## Rotar las claves periódicamente\n\nEs aconsejable que desactives las claves antiguas y crees claves nuevas a lo largo del tiempo. De esta forma te aseguras de que tus [claves de API](/es/docs/tutorials/claves-de-api) tengan una duración determinada.\n\nEsta práctica se asemeja a la definición de una política de contraseñas con ajustes para los cambios periódicos de contraseñas.\n\n## Renovar los tokens de API regularmente\n\nRenueva los tokens de API de manera recurrente para reducir los riesgos de exposición y mantener tus integraciones protegidas. Configura alertas en **Claves de API > Configuración** para recibir recordatorios periódicos (cada 3 o 6 meses) y guarda el nuevo token de forma segura mediante el link de acceso único, eliminando el antiguo después de la migración.\n\nConsulta [Renovar token de API](/es/docs/tutorials/renovar-token-de-api) para saber más.\n\n## Reevaluar las claves y los accesos periódicamente\n\nRevisa las [claves de API](/es/docs/tutorials/claves-de-api) existentes periódicamente. Comprueba que las integraciones relativas a cada clave están activas y si siguen siendo necesarias. Un proceso proactivo de revisión de accesos permite que cada usuario o integración acceda solo a los recursos que realmente necesita, lo que disminuye las posibilidades de que se produzca cualquier tipo de acceso indebido.\n\nSi la recomendación anterior es similar a la definición de cambios de contraseña periódicos, esta recomendación puede compararse con el proceso de revisión de acceso con periodicidad definida.\n\n## Crear claves individuales para cada función e integración\n\nRestringe el acceso de cada clave a los recursos y a la información según su respectiva función y necesidad. Al reducir la cantidad de información compartida entre los usuarios o las integraciones, se reduce el riesgo de fuga por amenazas internas.\n\nTen en cuenta que la gestión de permisos para las claves de API se realiza mediante los [roles de acceso](/es/docs/tutorials/roles) y los [recursos de License Manager](/es/docs/tutorials/recursos-del-license-manager).\n\n## Mantener un programa de concienciación\n\nLas campañas de concienciación sobre la seguridad de la información son una práctica sostenible y eficaz para educar y cambiar la relación de las personas con la tecnología. Incluye la importancia de la gestión responsable del acceso en la agenda de capacitación y comunicación, así como el valor de las credenciales de cada miembro de la empresa.\n\n## Nunca utilizar el código _client side_ al realizar integraciones\n\nTen en cuenta que parte del código que compone tu tienda, se ejecuta en el cliente, es decir, en el navegador del usuario. Por lo tanto, es normal que esta parte del código esté expuesta a personas ajenas a tu operación.\n\nLuego, es esencial instruir a tu equipo de desarrollo para que no utilice este código al realizar integraciones, ya que este uso suele incluir en el código las [claves de API](/es/docs/tutorials/claves-de-api).\n\n## No compartas los tokens de API\n\nProtege los pares de claves y tokens de API con el mismo nivel de confidencialidad que aplicas a las credenciales de inicio de sesión, como nombres de usuario y contraseñas. Para reducir el riesgo, evita compartirlos a través de emails, tickets, chats u otros canales de comunicación."}