WCUTS Docs Seguridad operativa Operational security
Seguridad Security

Prácticas mínimas para operar WCUTS como un CRM serio. Minimum practices to run WCUTS like a serious CRM.

Roles claros, credenciales individuales, secretos protegidos y baja ordenada de accesos. La seguridad acá es operativa, no decorativa. Clear roles, individual credentials, protected secrets, and clean offboarding. Security here is operational, not decorative.

1. Roles y principio de mínimo acceso 1. Roles and least privilege

El owner conserva el control total. Cada barbero debe usar su propia cuenta; no se recomienda compartir el usuario del dueño para operar turnos o responder mensajes.

The owner keeps full control. Each barber should use their own account; sharing the owner's account to work appointments or reply to messages is not recommended.

2. Contraseñas 2. Passwords

  • Usar contraseñas largas y únicas por usuario.
  • No reutilizar la misma contraseña entre owner y barberos.
  • Cambiar contraseñas iniciales después del primer login.
  • Resetear acceso cuando un empleado deja de trabajar con la barbería.
  • Use long, unique passwords per user.
  • Do not reuse the same password between owner and barbers.
  • Rotate initial passwords after the first login.
  • Reset access whenever an employee leaves the shop.

3. Secretos de Meta y WhatsApp 3. Meta and WhatsApp secrets

Los secretos de la app de Meta no deben circular por chat interno ni quedar en notas compartidas sin control. El owner solo necesita operar el popup y el panel; la configuración técnica debe quedar protegida.

Meta app secrets should not float around internal chat or end up in uncontrolled shared notes. The owner only needs the popup and the panel; technical credentials should remain protected.

4. Alta y baja de personal 4. Onboarding and offboarding staff

  1. Crear usuario individual del barbero.
  2. Dar contraseña inicial fuerte.
  3. Verificar ingreso desde su teléfono.
  4. Si deja el equipo: desactivar acceso, cambiar contraseñas compartidas que existan, revisar conversaciones asignadas y credenciales en posesión.
  1. Create an individual barber account.
  2. Provide a strong initial password.
  3. Verify login from their phone.
  4. If they leave: disable access, rotate any shared credentials, review assigned conversations, and reclaim any credentials they held.

5. Respuesta ante incidentes 5. Incident response

  • Si sospechás acceso indebido: resetear contraseña del usuario afectado.
  • Si se expuso un token de WhatsApp: rotarlo en Meta y volver a guardar la credencial.
  • Si un barbero usaba el usuario del owner: crear su login propio y cortar el compartido.
  • If you suspect unauthorized access: reset the affected user's password.
  • If a WhatsApp token was exposed: rotate it in Meta and save the new credential.
  • If a barber was using the owner's login: create an individual login and stop the shared one.