Cifrado de extremo a extremo en WhatsApp Business
WhatsApp utiliza cifrado de extremo a extremo para todos los mensajes, incluidos los enviados a traves de la Business API. El contenido de los mensajes solo puede ser leido por el remitente y el destinatario.
Nota: el cifrado E2E protege los mensajes en transito, pero no protege los datos que almacenas en tu propio sistema.
Seguridad en el acceso a la API
Las credenciales de la API (clave API o token Bearer) deben tratarse como contrasenas: nunca las incluyas directamente en el codigo fuente, nunca las compartas por correo o chat, y rotalas periodicamente.
Aplica el principio de minimo privilegio y monitoriza los patrones de uso de la API.
Seguridad en los webhooks
Los webhooks de Chat API incluyen una firma en la cabecera que permite verificar que el mensaje realmente proviene de Chat API. Verifica siempre esta firma antes de procesar el payload del webhook.
GDPR y cumplimiento para empresas europeas
Para las empresas europeas, el GDPR exige que los datos personales de los clientes (numeros de telefono, contenido de conversaciones) se gestionen con medidas de seguridad adecuadas. Chat API, con alojamiento en la UE y cumplimiento del GDPR, simplifica el cumplimiento normativo.
Los datos personales contenidos en las conversaciones deben eliminarse cuando el cliente lo solicite (derecho al olvido).
