SECURITY_PROTOCOL // CLOUDFLARE

Security.

La version estatica no debe contener secretos. Credenciales, sesiones, tokens y persistencia de leads pertenecen a servicios externos que se conectarian fuera de este build.

Reglas base

• No publicar tokens en HTML, JS, CSS, imagenes o archivos publicos.
• No guardar credenciales ni leads reales en el frontend estatico.
• Usar Cloudflare Access, OAuth o magic link para login real.
• Activar Turnstile antes de abrir registro publico.
• Conectar un proveedor externo si se decide persistir solicitudes.

Registro y credenciales

El formulario publico valida email, nombre y caso de uso, y confirma la solicitud en pantalla. No envia datos a un backend en esta version; si se requiere persistencia, debe conectarse un proveedor externo.

Hardening recomendado

• Validacion de longitud y formato antes de aceptar payloads.
• Turnstile si el formulario se conecta a un servicio real.
• Headers de seguridad desde public/_headers.
• Logs sin secretos y con retencion limitada.
• Politica clara de retencion si se activa persistencia.

Datos minimos si se conecta persistencia

• name: nombre visible para seguimiento comercial.
• email: destino de credenciales o invitacion.
• organization: empresa, equipo o workspace solicitado.
• stack: contexto tecnico para preparar onboarding.
• useCase: descripcion corta de la necesidad operativa.
• createdAt: fecha de recepcion para auditoria y limpieza.

Checklist pre-produccion

• Revisar politica de privacidad y terminos legales.
• Conectar proveedor de identidad o Cloudflare Access.
• Configurar dominio, TLS, headers y redirects.
• Probar registro, dominio, responsive y flujo de contacto.
• Documentar proceso de baja y eliminacion de datos.