Webhook con firma HMAC platform

Cuando cifraHQ Enterprise emite eventos a sistemas externos (factura posteada, período cerrado, embarque despachado), lo hace por webhook: una llamada HTTP POST al endpoint que el cliente registró. El problema es la confianza: ¿cómo sabe el receptor que el POST viene realmente de cifraHQ y no de un atacante? La respuesta es HMAC: cada payload incluye un header X-Signature con HMAC-SHA256(secret, body). El cliente registra un secret al configurar el webhook, recibe el header, recalcula la firma con su secret, y compara. Si no coincide, descarta. cifraHQ Enterprise también firma el timestamp para prevenir replays y permite rotar el secret sin downtime. Es estándar; lo notable es hacerlo bien.