Seguridad

Controles actuales

• autenticacion separada para BC y tablet
• activacion por codigo temporal
• token de tablet hasheado en backend
• restriccion por deviceId en endpoints de tablet
• X-Trace-Id en respuestas
• rate limiting en activacion publica

Reglas operativas

• no publicar PostgreSQL
• no hornear secretos en el frontend
• usar HTTPS para API y tablet
• revocar y reactivar tablets comprometidas