Cómo mantener la seguridad de su cuenta

Qué aprenderás

Aprenda a asegurarse de que su cuenta de Klaviyo y sus datos están lo más seguros posible.

Configurar su comunicación y asignar los roles correctamente es fundamental, sobre todo cuando aumenta el tráfico a su sitio web y los mensajes de su marca.

Antes de empezar

Hay 2 comprobaciones de seguridad cruciales que revisar:

1. Comprobación de la seguridad de la clave API pública frente a la privada
2. Revisión de usuarios y control de acceso

Comprobación de la seguridad de la clave API pública frente a la privada

Para acceder a las claves API de su cuenta:

1. Haga clic en el nombre de su organización en la esquina inferior izquierda.
2. Seleccione Configuración > Claves API. 

Su clave pública, también llamada ID del sitio, se encuentra en la tabla de la primera sección de esta página, mientras que sus claves privadas figuran en la segunda tabla, denominada Claves API privadas.

• Clave de API pública
  Una API que puede compartir con otros para que puedan obtener cierta información de su API. Su clave API pública es el identificador de su cuenta. Utilice su clave de API pública, y no su clave de API privada, cuando configure y utilice la biblioteca JavaScript de Klaviyo.
• Clave API privada
  Una clave API que lee datos y manipula objetos sensibles (por ejemplo, listas en Klaviyo). Es importante mantener las claves API privadas. Trátelas como contraseñas, guardadas en un lugar seguro y nunca expuestas al público., 
  En Klaviyo, las claves API privadas comienzan todas con el prefijo "pk_" y van seguidas de 34 caracteres alfanuméricos. Por ejemplo, una clave privada tendrá el aspecto siguiente: pk_abc123def456ghi789jkl0mno123pqrst4.
  

  No podrá ver ninguna clave API privada después de crearla.

  

Verifique que todo el código del lado del cliente utiliza su clave de API pública

¿Ha escrito algún código personalizado utilizando los objetos Learnq, klOnsite o Klaviyo, código que llame a nuestros puntos finales de la API del lado del cliente, o instaló Klaviyo.js manualmente? En caso afirmativo, es importante que verifique que sólo utiliza su clave pública de API en estos casos. 

Deberá comprobar cada página de su sitio con código personalizado. Puede empezar por su página de inicio:

1. Abra su página web.
2. Haga clic con el botón derecho y seleccione Ver fuente de la página.
3. Cuando se abra la nueva página, seleccione Editar > Buscar > Buscar... y busque "pk_".

4. Asegúrese de que no se utilizan claves privadas como valor de company_id, "token" o, en casos excepcionales, de cuenta.

5. Si encuentra alguna clave API privada (el valor empieza por "pk_"), revise la sección siguiente sobre qué hacer cuando su clave API privada queda expuesta.

Qué hacer si su clave API privada ha quedado expuesta

Si se ha utilizado su clave API privada en lugar de su clave API pública:

1. Registre la clave API privada (la necesitará más adelante) y sustitúyala por su clave API pública. Esto permitirá que su código funcione como se espera dentro de la plataforma Klaviyo.
2. Elimine y sustituya la clave expuesta para proteger los datos de su empresa y de sus clientes de una exposición no autorizada.
3. Identifique todas las integraciones y aplicaciones de clave privada que pueda tener, incluido el código personalizado.
4. Para cada integración y aplicación que utilice una clave API privada expuesta, cree una nueva clave en la configuración de su cuenta seleccionando Crear clave API privada.
5. Asigne a la llave una etiqueta significativa para su rápida identificación, así como un ámbito específico. 
6. Después de crear una clave de API privada única para cada integración, actualice la(s) integración(es) con la nueva clave de API privada.
7. Una vez actualizadas todas las integraciones que utilizaban la clave expuesta, pase el ratón por encima de la clave expuesta y haga clic en Eliminar.
   • Tenga cuidado de seleccionar la tecla correcta para borrar, ya que no hay verificación cuando se selecciona el botón de borrar.

Una vez eliminados, habrá protegido sus datos del acceso no autorizado a través de la clave privada expuesta.

Para más información sobre la seguridad de las claves API, diríjase a Gestionar las claves API de sus cuentas.

Gestión de usuarios y comprobación del acceso a los datos

Es importante comprender quién tiene acceso a las diferentes funciones e información de su cuenta. Para ver todos los usuarios que tienen acceso a su cuenta:

1. Diríjase al nombre de su organización en la esquina inferior izquierda.
2. Seleccione Ajustes.
   

Revisar periódicamente los usuarios de su cuenta y su nivel de acceso es una actividad de seguridad importante. Hay tres actividades que le ayudarán a asegurar su cuenta:

• Revisión de usuarios
  Revise todos los usuarios de su cuenta e identifique a los que ya no necesiten acceso. Elimine los usuarios que ya no deban estar activos seleccionando la X junto a su correo electrónico. Las razones más comunes para eliminar el acceso incluyen:
  • Cambio de funciones en la empresa
  • Despido de un empleado
  • Vencimiento del contrato de un proveedor externo.
• Revisión de roles
  Asegúrese de que cada usuario dispone de los permisos adecuados y sólo puede acceder a los datos y funciones necesarios para ejecutar su trabajo. Para obtener información sobre a qué tienen acceso los roles de usuario, diríjase a Gestión de usuarios y privilegios.
• Autenticación multifactor
  La autenticación multifactor añade una capa adicional de seguridad para su cuenta al requerir una contraseña de un solo uso además de su nombre de usuario y contraseña estándar. Esto protege contra la adivinación de contraseñas y los ataques de phishing, y es una buena práctica general de seguridad. En la pestaña Usuarios (Configuración > Usuarios), active la opción Requerir autenticación en dos pasos para todos los usuarios. A continuación, se pedirá a los usuarios que configuren la autenticación multifactor para su cuenta si aún no lo han hecho.

Recursos adicionales

• Cómo gestionar las claves API de su cuenta
• Comprender la gestión de usuarios y sus privilegios