Paso 1
Validar límites de autorización
Confirma que cada endpoint exige autenticación y controles de rol explícitos, con límites de acceso por workspace en los filtros de consulta.
- Verifica la aplicación de RBAC para operaciones de lectura y escritura.
- Confirma que el acceso a datos del tenant se limite al workspace activo.
- Revisa flujos solo para administradores y sus protecciones de privilegio elevado.
Paso 2
Validar protecciones contra abuso
Comprueba que los flujos sensibles incluyan limitación de solicitudes y que las operaciones de alto costo no puedan abusarse.
- Revisa límites de tasa en autenticación y comportamiento 429.
- Revisa límites de tasa en ciclo de vida de tenant y gestión de identidad.
- Revisa controles de equidad por tenant para cargas de ingesta intensas.
Paso 3
Validar inventario y control de cambios
Usa un inventario versionado de API y un plan de deprecación para mantener los controles alineados con el alcance de endpoints activo.
- Revisa entradas del inventario con modelo de auth y límites de acceso.
- Registra deprecaciones con fechas objetivo concretas.
- Repite esta revisión al menos una vez por trimestre.