Checklist de 25 puntos antes de subir tu app IA a producción

Lanzar una app es emocionante. También es aterrador si no sabes si está lista.

He ayudado a más de 20 founders a llegar a producción. Esta es la checklist que uso para verificar que todo está en orden antes de pulsar el botón de deploy.

✅ Seguridad (9 puntos)

[ ] Autenticación implementada — ¿Hay login? ¿Las contraseñas están hasheadas con bcrypt o argon2?
[ ] Autorización correcta — ¿Los usuarios solo ven sus propios datos? ¿No hay acceso cruzado entre cuentas?
[ ] Secrets en variables de entorno — ¿API keys, passwords de BD y tokens están en .env? ¿No en el código?
[ ] HTTPS obligatorio — ¿La app redirige HTTP a HTTPS automáticamente?
[ ] CORS configurado — ¿Solo tus dominios pueden acceder a tu API?
[ ] Validación de inputs — ¿Todos los formularios validan en backend (no solo en frontend)?
[ ] SQL Injection prevenido — ¿Usas queries parametrizadas o un ORM? ¿Nunca concatenas variables?
[ ] XSS prevenido — ¿Nunca usas dangerouslySetInnerHTML sin sanitizar?
[ ] Rate limiting activo — ¿Tienes límites para evitar ataques de fuerza bruta?

✅ Base de Datos (4 puntos)

[ ] Backups configurados — ¿Se hace backup automático cada día?
[ ] Usuario de BD con permisos mínimos — ¿La app no se conecta como root?
[ ] Conexión encriptada — ¿Usas SSL para conectar a la BD?
[ ] Índices optimizados — ¿Las queries más frecuentes tienen índices?

✅ Infraestructura (5 puntos)

[ ] Variables de entorno correctas — ¿Dev y prod tienen configuraciones diferentes?
[ ] Logs configurados — ¿Se capturan errores? ¿Dónde están los logs (Vercel, Sentry)?
[ ] Monitoreo de errores — ¿Sabrás si algo falla en producción? (Sentry, DataDog, etc.)
[ ] Proceso de rollback definido — ¿Sabes cómo volver a la versión anterior si algo sale mal?
[ ] Performance testeado — ¿La app carga en menos de 3 segundos? ¿Usaste Lighthouse o PageSpeed?

✅ Legal y Privacidad (4 puntos)

[ ] Política de privacidad publicada — ¿Explica qué datos guardas y por qué?
[ ] Términos de servicio publicados — ¿Defines lo que los usuarios pueden y no pueden hacer?
[ ] GDPR/LOPD cumplido — ¿Los usuarios pueden descargar o borrar sus datos?
[ ] Aviso de cookies — ¿Si usas Google Analytics, notificas al usuario?

✅ Testing (2 puntos)

[ ] Flujos críticos testeados — ¿Probaste login, pago y registro en producción antes del lanzamiento?
[ ] Navegadores testeados — ¿Probaste en Chrome, Safari y Firefox?

✅ Comunicación (1 punto)

[ ] Página de estado — ¿Tendrás un lugar donde los usuarios puedan ver si la app está caída?

Las preguntas difíciles

Además de la checklist, hazte estas preguntas:

¿Qué pasa si alguien intenta hackearme?

¿Tengo alertas configuradas para accesos anormales?
¿Mi equipo sabe qué hacer en caso de incidente?

¿Qué pasa si mi BD se corrompe?

¿Puedo recuperar datos de un backup?
¿Cuántos días sin datos sería un desastre para el negocio?

¿Qué pasa si la carga es 10x mayor de lo esperado?

¿Tengo forma de escalar rápido?
¿Mi proveedor (Vercel, Railway, etc.) tiene SLA garantizado?

Herramientas que ayudan

| Herramienta | Para qué | Precio | |-------------|----------|--------| | OWASP ZAP | Escaneo de vulnerabilidades | Gratis | | Snyk | Detectar dependencias vulnerables | Gratis + pago | | Lighthouse | Auditoría de performance y seguridad | Gratis | | Sentry | Monitoreo de errores | Gratis + pago | | Vercel Analytics | Performance monitoring | Gratis (con Vercel) |

Próximos pasos

Descarga esta checklist — Guárdala en un documento o imprímela
Completa los 25 puntos — Debería llevarte entre 1 y 2 horas
Pide ayuda si necesitas — Si no sabes cómo hacer algo, agenda una auditoría

¿No pasas algunos puntos? No es el fin del mundo. Pero mejor arreglarlo antes de que explote en producción, no después.

Recursos

¿Necesitas que alguien revise tu app antes de lanzar? Contacta conmigo — ofrezco auditoría completa desde 1.900€.