Tecnología · arquitectura · seguridad

SaaS serio. No legacy disfrazado.

Stack moderno, arquitectura BFF segura, despliegue cloud documentado y mismo stack en demo y producción. Lo que su CIO necesita ver antes de aprobar la compra — sin marketing inflado.

Next.js 16FastAPIPostgreSQLS3 / R2JWT cookieERP/DMS REST

Stack tecnológico

Tecnología actual. Decisiones explícitas.

Cada pieza del stack es una elección documentada con racional detrás. Sin frameworks legacy ni dependencias abandonadas.

Frontend

Next.js

v16 · App Router

React 19 con Server Components, ISR para reportes y RSC para UX consistente.

UI Layer

TypeScript

v5 · strict mode

TypeScript estricto en todo el frontend. Tipos compartidos entre cliente y server.

Backend

FastAPI

async · Python 3.12

Backend async con Pydantic v2 para validación. OpenAPI auto-generado.

Base de datos

PostgreSQL

v16 · Neon hosted

Esquema versionado, índices verificados en cada deploy, backups automáticos.

Object storage

S3 / R2

Cloudflare R2

Evidencia fotográfica con egress gratuito. Backup multi-región opcional.

Integración

ERP/DMS REST

REST · OData · SQL

Conector REST con OAuth2 o Basic Auth. Multi-conector vía perfiles versionados.

Hosting

Render

+ Cloudflare

Cloud-native con auto-deploy desde main. CDN global para assets estáticos.

Auth

JWT + Cookie

HttpOnly · SameSite

Patrón BFF: el token nunca llega al navegador como JS. SSO SAML/OIDC en roadmap.

Arquitectura BFF

El navegador nunca habla con su ERP/DMS. Por diseño.

Backend-for-Frontend: tres capas, JWT en cookie HttpOnly, API jamás expuesta al cliente. Las credenciales del ERP viven en el backend de Stocktech, no en el JS del navegador del usuario.

Usuario · Browser

UX

Browser · React 19 SSR

HTTPS · Cookie HttpOnly · CSP estricto

Capa BFF · Next.js

BFF

Next.js 16 · App Router

Server Actions · Middleware · Rate limit · CSRF token

Backend API

API

FastAPI async · Python 3.12

REST · OpenAPI · Pydantic v2 · RBAC · auditoría

Servicios internos

DB

PostgreSQL 16

Maestro + logs

S3

S3 / R2

Fotos · DUA · PDF

JOB

Jobs async

Sync ERP · reportes

Sistemas externos

ERP

ERP / DMS

REST · OAuth2

@

SMTP / Email

Resend · SES

WA

WhatsApp Business

Cloud API

Seguridad

Lo que pregunta IT antes de aprobar.

Patrón BFF, credenciales cifradas, RBAC granular, auditoría inmutable. Sin cajas negras.

Autenticación robusta

JWT en cookie HttpOnly, SameSite estricto, expiración configurable y refresh token. Verificado en el middleware en cada request.

  • JWT con expiración corta + refresh token
  • Verificado en el middleware en cada request
  • Rate limiting en login (429 ante abuso)
  • SSO SAML/OIDC en roadmap

Credenciales protegidas

Las credenciales del ERP nunca llegan al navegador. Cifradas en reposo con cifrado simétrico autenticado, accedidas solo por el backend autenticado.

  • Cifrado simétrico autenticado en reposo (Fernet)
  • TLS en tránsito · HSTS
  • Clave de cifrado en variable de entorno, fuera del código
  • Sin secretos en logs ni en backups

Auditoría inmutable

Cada cambio de estatus, cada llamada al ERP y cada login queda registrado con quién, cuándo y qué.

  • Log de cambios por vehículo (quién, cuándo, qué)
  • Errores y alertas en producción vía Sentry
  • Retención configurable
  • Búsqueda por usuario, evento o recurso

Backups y recovery

Point-in-Time Recovery (PITR) vía Neon. Backups diarios cifrados y plan de DR documentado.

  • Point-in-Time Recovery (PITR) vía Neon
  • RPO / RTO objetivo en contrato Enterprise
  • Procedimiento de restore documentado
  • Backups cifrados

Aislamiento de datos

Multi-tenant con aislamiento por sucursal a nivel de fila (RLS) y de almacenamiento. Tenants Enterprise pueden ser dedicados.

  • Row-Level Security (RLS) por sucursal en PostgreSQL
  • Almacenamiento de fotos separado por tenant
  • Opción de tenant dedicado (Enterprise)
  • QA de aislamiento RLS (demo + staging)

Control de acceso

Control de acceso por roles con 13 roles y 35 permisos granulares. Alcance por sucursal. Cambios de permisos auditados.

  • 13 roles preconfigurados
  • Alcance por sucursal
  • Permisos custom en Enterprise
  • Revocación inmediata

Modelos de despliegue

Cloud multitenant. O su nube. O la nuestra dedicada.

RECOMENDADO

Cloud Stocktech multitenant

Tenants aislados sobre infraestructura compartida. Render + Cloudflare + Neon. La elección por defecto: rápido de aprovisionar, costo eficiente, paridad demo-producción.

Aprovisionamiento
<1 día
Updates
Continuos, sin downtime
Aislamiento
Por organization_id + bucket dedicado
Regiones
US-East · EU-West · LATAM (próximo)
Costo
Incluido en licencia

ENTERPRISE · bajo demanda

Tenant dedicado · su cloud o el nuestro

Para clientes con políticas estrictas de aislamiento o residencia de datos: instancia dedicada en cloud propio (BYOC) o nuestro con infra separada. Mismo stack, mismas capacidades.

Aprovisionamiento
2–4 semanas
Cloud
AWS · Azure · GCP · su cuenta o la nuestra
Residencia de datos
Región específica garantizada
VPN / PrivateLink
Disponible para ERP/DMS on-prem
Costo
NRE + uplift mensual sobre Enterprise

Performance y escala

Cifras de referencia. Medidas y objetivos.

0.0%

Uptime SLA

Objetivo garantizado por contrato Enterprise.

<0ms

API P95

Endpoints OLTP en pruebas de carga (k6). P99 < 500ms.

0k

Vehículos / tenant

Validado en el demo cloud. Escalable bajo demanda.

<0min

RPO disaster recovery

Recovery Point Objective con PITR. RTO < 4h.

¿Quiere validar la arquitectura en un PoC técnico?

El PoC técnico de 2–4 semanas valida la integración, el rendimiento y la seguridad en su contexto, con su ERP/DMS real, antes de cualquier compromiso de licencia.