Las reservas confirman por estado del servidor, no por páginas de retorno del navegador.
Seguridad
Estado de seguridad y confianza
Consulta se construye para confianza práctica: clientes necesitan saber dónde van los datos de reserva, pago, calendario, notificación y video. Esta página dice qué está live, qué se protege por diseño y qué sigue gated.
Clientes usan pases de confirmación y enlaces Beam sin exponer acceso crudo al dashboard.
WOP, SMTP, pagos live, calendarios conectados y garantías reguladas quedan gated hasta prueba.
Pagos y tarjetas
Consulta mantiene creación y confirmación de pagos en el servidor. Redirecciones y páginas de retorno son solo navegación; una reserva pagada confirma solo después de estado confiable de pago del servidor.
- Consulta no recoge ni guarda números de tarjeta.
- Tokens del proveedor de pago quedan server-side en el servicio API.
- Checkout simulador sigue separado de la prueba live del proveedor de pago.
Acceso y recuperación
La recuperación de reservas es estrecha a propósito. Búsquedas de enlace usan el contacto de reserva, fallos son genéricos y clientes vuelven al pase de confirmación como entrega durable.
- Los pases evitan exigir cuenta con contraseña para clientes MVP.
- Recuperación por ID sigue como fallback cuando el cliente tiene la referencia.
- Reservas privadas, referencias de proveedor y rutas dashboard no son objetivos públicos.
Enlaces de video
El acceso Beam usa tokens y no depende del producto. Consulta no debe poner notas de consultoría, datos de pago o campos privados de reserva en contratos de sala Beam.
- Pre-entrada mantiene cámara, micrófono, nombre y dispositivo en el navegador.
- Enlaces vencidos o inválidos vuelven a recuperación sin exponer internals de sala.
- Prueba en dispositivos reales y media de 30 minutos siguen como gates de aceptación.
Integraciones proveedor
Notificaciones y enlaces de pago usan adaptadores para que credenciales WOP, SMTP y Silvatech Payments no entren al web app. La entrega live sigue gated hasta tener credenciales y prueba.
- Secretos pertenecen solo al runtime API, nunca al bundle del navegador.
- WhatsApp y correo deben apuntar al mismo pase de confirmación.
- Fallas de proveedor no deben inventar prueba de pago ni exponer tokens privados.
Límite de uso regulado
Consulta no reclama HIPAA, manejo PHI, SOC 2, certificación ISO ni preparación healthcare en este MVP. Telemedicina o usos regulados necesitan su propio trabajo de política, consentimiento, proveedor y cumplimiento.
- No ingreses información de salud regulada en notas genéricas de reserva.
- Texto legal/privacidad aún necesita aprobación humana final antes de lanzamiento amplio.
- Calendario conectado sigue como gate posterior con sus propias reglas de acceso.