# GESTIÓN DE CREDENCIALES

**Sistema TZZR - Manual de Arquitectura Técnica v5.0**
**Fecha:** 22 de diciembre de 2024

---

> ⚠️ **REPO PRIVADO** - Contiene información sensible

## Principio Fundamental: KEY VAULT

> *"Las llaves nunca viajan con los datos que protegen"*

---

## Estructura del Repo

```
credentials/
├── README.md                    # Este documento
├── inventario/
│   ├── 01-apis-ia.md           # OpenRouter, Groq, OpenAI, Anthropic
│   ├── 02-bases-datos.md       # PostgreSQL, Directus, Redis
│   ├── 03-almacenamiento.md    # Storj, R2, Arweave
│   ├── 04-infraestructura.md   # n8n, Nextcloud, Nginx, Windmill
│   ├── 05-blockchain.md        # Polygon, NOTARIO
│   ├── 06-comunicaciones.md    # Resend, Slack, ntfy
│   ├── 07-dns-cdn.md           # Cloudflare, Let's Encrypt
│   ├── 08-gpu-runpod.md        # GRACE, PENNY, THE FACTORY
│   ├── 09-servidores.md        # SSH credentials
│   └── 10-cifrado.md           # Master Key, KEKs
├── politicas/
│   ├── rotacion.md             # Matriz de rotación
│   ├── envelope-encryption.md  # Jerarquía de llaves
│   └── respuesta-incidentes.md # Procedimientos
└── infisical/
    └── configuracion.md        # Setup Infisical
```

---

## Gestor de Secretos: Infisical

| Parámetro | Valor |
|-----------|-------|
| **URL** | http://69.62.126.110:8082 |
| **Proyectos** | anthropic, servers, databases, r2 |
| **Acceso** | Machine Identities por cada Claude |

---

## Resumen Ejecutivo

| Métrica | Valor |
|---------|-------|
| **Total de credenciales gestionadas** | ~45 credenciales activas |
| **Gestor centralizado** | Infisical (4 proyectos) |
| **Servidores** | 4 (ARCHITECT, HST, DECK, CORP) |
| **Servicios de IA** | 4 (OpenRouter, Groq, OpenAI, Anthropic) |
| **Backends de almacenamiento** | 3 (Hostinger, Storj/R2, Arweave) |
| **Endpoints GPU** | 3 (GRACE, PENNY, THE FACTORY) |

---

## Matriz de Rotación (Resumen)

| Tipo | Rotación | Ejemplos |
|------|----------|----------|
| `API_KEY` | 90 días | OpenRouter, Groq, Cloudflare |
| `DB_CREDENTIAL` | 30 días | PostgreSQL, Redis |
| `SERVICE_TOKEN` | 7 días | n8n, Nextcloud, Slack |
| `CERTIFICATE` | 90 días | SSL/TLS (auto) |
| `SIGNING_KEY` | 180 días | JWT, KEK-SIGNING |
| `ENCRYPTION_KEY` | 365 días | AES-256, KEK-DATA |
| `SSH_CREDENTIAL` | 180 días | Llaves SSH |

---

*Sistema TZZR v5.0 - Documento Confidencial*