Volver a recursos
Checklist

Checklist de pre-lanzamiento: lo que debes verificar antes de ir a producción

32 puntos críticos que todo equipo de desarrollo debería revisar antes de lanzar un sistema a producción. Desde seguridad hasta observabilidad.

Para qué sirve este checklist

Un lanzamiento a producción mal preparado puede suponer horas de caída, pérdida de datos o exposición de información sensible. Este checklist recorre los 32 puntos que el equipo de Polaris Technologies revisa en cada proyecto antes de pasar a producción.

Está pensado para proyectos de software empresarial (SaaS, intranets, APIs, apps móviles). Adapta las secciones que no apliquen a tu contexto.

1. Seguridad

  • [ ] Todas las dependencias están auditadas (npm audit, pip audit, trivy, etc.) y sin vulnerabilidades críticas.
  • [ ] Los secretos (API keys, credenciales, tokens) están almacenados en un gestor de secretos (Vault, Secret Manager, AWS Secrets Manager) y nunca en el código o en .env versionado.
  • [ ] HTTPS está configurado con certificado válido y renovación automática.
  • [ ] Las cabeceras de seguridad HTTP están configuradas: Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, X-Content-Type-Options.
  • [ ] Las rutas administrativas están protegidas por autenticación y, si aplica, por IP allowlist.
  • [ ] Se ha realizado al menos una revisión de código orientada a seguridad (OWASP Top 10).
  • [ ] Los logs no contienen datos personales, contraseñas ni tokens.

2. Infraestructura y disponibilidad

  • [ ] El entorno de producción está documentado: regiones, instancias, servicios externos, versiones.
  • [ ] Los recursos están dimensionados para el tráfico esperado con margen del 30% mínimo.
  • [ ] Existe un mecanismo de autoescalado o al menos alertas de saturación de recursos.
  • [ ] Los balanceadores de carga o proxies están configurados y probados.
  • [ ] Las zonas de disponibilidad o regiones están configuradas para alta disponibilidad si el SLA lo requiere.
  • [ ] El plan de disaster recovery está documentado y se ha probado al menos una vez.

3. Base de datos

  • [ ] Las migraciones de base de datos son reversibles (rollback probado).
  • [ ] Los backups automáticos están configurados y se ha restaurado uno de prueba.
  • [ ] Las consultas críticas tienen índices y se han probado con volumen de datos real o aproximado.
  • [ ] Las conexiones a base de datos usan pooling y tienen límites configurados.
  • [ ] Los datos de producción están separados de los de staging. Nunca se usan datos reales en entornos de desarrollo.

4. Observabilidad

  • [ ] Existe logging centralizado (CloudWatch, Datadog, Loki, etc.) con retención mínima de 30 días.
  • [ ] Hay alertas configuradas para errores 5xx, latencia elevada y uso de recursos (CPU, memoria, disco).
  • [ ] Las alertas tienen destinatarios definidos y un runbook mínimo de actuación.
  • [ ] Existe trazabilidad de peticiones con request IDs o distributed tracing.
  • [ ] El equipo sabe cómo consultar los logs en producción sin acceso directo al servidor.

5. Despliegue y CI/CD

  • [ ] El despliegue es reproducible desde cero con un único comando o pipeline.
  • [ ] El pipeline de CI ejecuta los tests antes de desplegar y bloquea si fallan.
  • [ ] El proceso de rollback está documentado y se puede ejecutar en menos de 15 minutos.
  • [ ] Se ha probado el despliegue completo en un entorno de staging idéntico a producción.
  • [ ] Las variables de entorno de producción están documentadas y su origen es conocido.

6. Funcionalidad y calidad

  • [ ] Los tests críticos de integración y e2e pasan al 100%.
  • [ ] Se ha hecho una prueba de aceptación de usuario (UAT) con personas reales del cliente.
  • [ ] Los casos de error están manejados y muestran mensajes comprensibles al usuario.
  • [ ] Las validaciones de formularios y APIs devuelven errores descriptivos y seguros.

7. Cumplimiento y legal

  • [ ] La política de privacidad está actualizada y refleja todos los tratamientos de datos del sistema.
  • [ ] El sistema cumple con los requisitos de la normativa aplicable (RGPD, HIPAA, MDR, PCI-DSS…).
  • [ ] Los contratos con subencargados de tratamiento están firmados (DPA con proveedores cloud, etc.).
  • [ ] Los datos de usuarios de la UE se procesan en servidores dentro de la UE o con garantías adecuadas.

Plantilla de firma de lanzamiento

Guarda este bloque en el ticket de lanzamiento o documento de release:

Proyecto: ___________
Versión:  ___________
Fecha:    ___________

Checklist revisado por: ___________
Aprobado por (responsable técnico): ___________
Aprobado por (responsable producto/negocio): ___________

Puntos pendientes aceptados con riesgo:
-

¿Necesitas ayuda para aplicarlo en tu empresa?

Nuestro equipo puede acompañarte en la implementación de las mejores prácticas técnicas para tu proyecto.

Hablar con nuestro equipo