Secrets Policy

Regla central

No documentar secretos.

Se permite documentar

• nombre del secreto
• servicio al que pertenece
• path o sistema donde vive
• owner
• fecha de revision
• impacto si falta

No se permite documentar

• valores de .env
• tokens
• passwords
• API keys
• private keys
• cookies
• contenido de backups

Tratamiento operativo

• Los backups pueden contener secretos operativos y deben quedar fuera de Git.
• Si un cambio toca secretos, CHANGE-GATES.md debe marcar si y el servicio debe registrar solo metadatos, nunca valores.
• Si aparece un secreto en un documento, debe removerse antes de cerrar el cambio.