Saltar al contenido principal
Tracer mantiene un rastro de auditoria completo e inmutable de todas las decisiones de validacion. Esta guia explica como funciona el sistema de auditoria y como consultar el historial de validaciones para informes de cumplimiento.

Vision general del cumplimiento

Tracer esta disenado para cumplir con los requisitos de auditoria de regulaciones financieras incluyendo:
RegulacionRequisitoComo Tracer cumple
SOX (Sarbanes-Oxley)Rastro de auditoria completo de decisiones financierasCada validacion se registra con contexto completo
GLBA (Gramm-Leach-Bliley)Proteccion de datos financieros del clienteDatos encriptados en reposo y en transito
Auditoria generalCapacidad de reconstruir decisionesRegistros inmutables con instantaneas de entrada/salida

Arquitectura del rastro de auditoría

Tracer registra cada decisión de validación con contexto completo para cumplimiento e investigación.

Qué se registra

Cada validacion crea un registro de auditoria inmutable que contiene:
DatoDescripcion
Instantanea de solicitudPayload de entrada completo como se recibio
Instantanea de respuestaRespuesta completa incluyendo decision y detalles
DecisionALLOW, DENY o REVIEW
MotivoPor que se tomo la decision
Reglas evaluadasTodas las reglas que fueron evaluadas
Reglas coincidentesReglas que se dispararon (si las hay)
Detalles de limitesInformacion de uso para los limites verificados
Tiempo de procesamientoCuanto tomo la validacion
Marca de tiempoCuando ocurrio la validacion

Garantias de inmutabilidad

Los registros de auditoria son de escritura unica:
  • Los registros no pueden modificarse despues de la creacion
  • Los registros no pueden eliminarse (excepto por politica de retencion)
  • Cada registro tiene un ID de validacion unico para referencia
El rastro de auditoria esta disenado para auditorias de cumplimiento. Puedes reconstruir exactamente lo que sucedio para cualquier validacion, incluso anos despues.

Retención de datos

Tracer retiene datos según los requisitos regulatorios y las necesidades operativas.

Períodos de retención

Tipo de datoPeriodo de retencionMotivo
Registros de validacion7 anos minimoRequisito de cumplimiento SOX/GLBA
Reglas (activas/inactivas)IndefinidoContinuidad operacional
Reglas (eliminadas)No se retienenEliminadas permanentemente
LimitesIndefinidoContinuidad operacional
Logs de aplicacion90 diasDepuracion y resolucion de problemas

Consideraciones de cumplimiento

  • Requisito SOX: Mantener registros por 7 anos desde la fecha del informe de auditoria
  • Requisito GLBA: Retener registros que demuestren cumplimiento con las reglas de privacidad
  • Exportacion de datos: Los registros pueden exportarse para sistemas de auditoria externos

Consultando el historial de validaciones

Usa el endpoint GET /v1/validations para consultar validaciones historicas.

Consulta basica

GET /v1/validations
X-API-Key: {api_key}
Devuelve las validaciones mas recientes (ultimos 90 dias por defecto).

Consulta filtrada

GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-01-31T23:59:59Z&decision=DENY
X-API-Key: {api_key}

Filtros disponibles

ParametroTipoDescripcion
startDateRFC3339Inicio del rango de fechas (inclusivo)
endDateRFC3339Fin del rango de fechas (exclusivo)
decisionenumFiltrar por ALLOW, DENY o REVIEW
accountIdUUIDFiltrar por cuenta
segmentIdUUIDFiltrar por segmento
portfolioIdUUIDFiltrar por portafolio
transactionTypeenumFiltrar por CARD, WIRE, PIX, CRYPTO
matchedRuleIdUUIDFiltrar por regla que coincidio
exceededLimitIdUUIDFiltrar por limite que fue excedido

Requisito de formato de fecha

Los parametros de fecha deben usar formato RFC3339 con zona horaria obligatoria. Los formatos de solo fecha son rechazados.
Valido: 
startDate=2026-01-01T00:00:00Z
startDate=2026-01-01T00:00:00-03:00
Invalido: 
startDate=2026-01-01  (rejected - missing time and timezone)

Paginación

Los resultados usan paginación basada en cursor. La respuesta incluye campos nextCursor y hasMore para navegar a través de los resultados.
ParámetroPredeterminadoMáximoDescripción
limit1001000Resultados por página
cursor--Cursor de paginación de la respuesta anterior
Al usar paginación con cursor, sortBy y sortOrder se fijan desde la consulta original.

Ordenamiento

GET /v1/validations?sortBy=createdAt&sortOrder=DESC
ParametroOpcionesPredeterminado
sortBycreatedAt, processingTimeMscreatedAt
sortOrderASC, DESCDESC

Obteniendo detalles de validación

Recupera detalles completos para una validación específica usando GET /v1/validations/{validationId}. La respuesta contiene todo lo necesario para entender una decisión de validación:
  • Instantánea de solicitud: El payload de entrada completo como se recibió
  • Instantánea de respuesta: Respuesta completa incluyendo decisión y motivo
  • Reglas evaluadas: Todas las reglas que fueron verificadas
  • Reglas coincidentes: Reglas que se dispararon (si las hay)
  • Detalles de límites: Información de uso para los límites verificados
  • Timestamps: Cuándo ocurrió la validación y tiempo de procesamiento

Escenarios de informes de cumplimiento

Consultas comunes para informes de auditoría y cumplimiento.

Escenario 1: Investigación de auditoría

“Por que fue denegada esta transaccion el 15 de enero?” 
GET /v1/validations/{validationId}
La respuesta muestra la solicitud exacta recibida, todas las reglas evaluadas, que regla o limite causo la denegacion, y la marca de tiempo.

Escenario 2: Informe de cumplimiento mensual

“Mostrar todas las transacciones denegadas para cuentas corporativas en enero” 
GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-02-01T00:00:00Z&decision=DENY&segmentId=corporate-segment-uuid&limit=1000

Escenario 3: Analisis de efectividad de reglas

“Que transacciones fueron denegadas por una regla de fraude especifica?” 
GET /v1/validations?matchedRuleId=fraud-rule-uuid&decision=DENY&limit=1000

Escenario 4: Revision de utilizacion de limites

“Que transacciones excedieron limites de gasto este mes?” 
GET /v1/validations?startDate=2026-01-01T00:00:00Z&endDate=2026-02-01T00:00:00Z&exceededLimitId=daily-limit-uuid

Mejores prácticas para cumplimiento

Recomendaciones para mantener la preparación para auditorías.

Mantenimiento de registros

  • Almacena los IDs de validacion en tus registros de transacciones para facil referencia cruzada
  • Registra el requestId que envias a Tracer para correlacion
  • Exporta regularmente si necesitas registros en sistemas de auditoria externos

Preparacion para auditoria

  • Prueba las consultas antes de la temporada de auditorias para asegurar que puedes recuperar los datos necesarios
  • Verifica los rangos de fechas funcionen correctamente con tus requisitos de zona horaria
  • Documenta tu politica de retencion alineada con la retencion de 7 anos de Tracer

Flujo de trabajo de investigacion

Al investigar una transaccion especifica:
  1. Encuentra el ID de validacion desde tus logs de transacciones o el historial de Tracer
  2. Recupera los detalles completos usando GET /v1/validations/
  3. Revisa la instantanea de la solicitud para ver que datos fueron proporcionados
  4. Verifica las reglas coincidentes para entender por que se tomo la decision
  5. Verifica el estado de los limites si los limites estuvieron involucrados

Comportamiento fail-open y auditoria

Tracer usa un enfoque fail-open configurable por defecto:
EscenarioComportamiento predeterminadoRegistro de auditoria
Ninguna regla coincideALLOWRegistrado con motivo “no_match”
Base de datos temporalmente no disponibleALLOW con advertenciaRegistrado si es posible; alerta generada
Tiempo de espera de evaluacionALLOW con advertenciaRegistrado con motivo “timeout”
El comportamiento fail-open puede configurarse a fail-closed para entornos de alta seguridad. Contacta a tu administrador para opciones de configuracion.
Todas las decisiones, incluyendo aquellas tomadas durante operacion degradada, se registran en el rastro de auditoria cuando es posible. Si una decision no puede registrarse (falla catastrofica), se generan alertas para revision manual.

Referencia rápida

Endpoints clave e información de retención.

Endpoints

OperaciónMétodoEndpoint
Listar validacionesGET/v1/validations
Obtener validaciónGET/v1/validations/{validationId}

Resumen de retención

DatoRetencion
Registros de validacion7+ anos
Reglas/limites activosIndefinido
Logs de aplicacion90 dias