Claves API
Las claves API permiten a aplicaciones externas e integraciones acceder a los datos de tu CRM de forma programática. Con ellas puedes conectar herramientas de terceros, automatizar flujos de trabajo desde sistemas externos y construir integraciones personalizadas sin comprometer las credenciales de ningún miembro del equipo.
Dónde encontrarlas
Dirígete a Configuración → Claves API en el panel lateral de ajustes. Solo los usuarios con rol de Administrador o Propietario pueden crear y revocar claves.
Crear una clave API
Haz clic en Nueva clave API.
Ingresa un nombre descriptivo que identifique el uso de la clave (por ejemplo,
Integración HubSpot,Script de importación,Zapier).Selecciona los permisos que necesita la clave. Sigue el principio de mínimo privilegio: otorga solo los permisos estrictamente necesarios para la integración.
Permiso Descripción contacts:readLeer contactos y sus datos contacts:writeCrear y actualizar contactos companies:readLeer empresas companies:writeCrear y actualizar empresas deals:readLeer negocios y pipelines deals:writeCrear, actualizar y mover negocios entre etapas activities:readLeer actividades y tareas activities:writeCrear y actualizar actividades products:readLeer el catálogo de productos y planes search:readAcceder al endpoint de búsqueda global (Opcional) Define una fecha de expiración. Las claves sin fecha de expiración son permanentes hasta que se revoquen manualmente.
Haz clic en Crear clave.
Copia tu clave inmediatamente
El valor completo de la clave API solo se muestra una vez, justo después de crearla. Una vez que cierres el diálogo, no podrás volver a verlo. Guárdala en un lugar seguro (un gestor de contraseñas o un vault de secretos) antes de continuar.
Si pierdes una clave, deberás revocarla y crear una nueva.
Tabla de claves existentes
La sección de Claves API muestra todas las claves creadas en tu espacio de trabajo con la siguiente información:
| Columna | Descripción |
|---|---|
| Nombre | El nombre descriptivo asignado al crear la clave |
| Permisos | Resumen de los permisos otorgados |
| Creada | Fecha en que se creó la clave |
| Último uso | Fecha y hora de la última solicitud autenticada con esta clave |
| Expiración | Fecha de expiración o "Sin expiración" si es permanente |
| Acciones | Botón para revocar la clave |
Las claves expiradas aparecen marcadas en la tabla y ya no pueden autenticar solicitudes, pero permanecen visibles para referencia hasta que las elimines.
Revocar una clave
Haz clic en el botón Revocar junto a la clave que deseas eliminar. Esta acción es inmediata e irreversible: cualquier sistema que use esa clave dejará de tener acceso al instante.
Revoca una clave cuando:
- Ya no necesites la integración.
- Sospechas que la clave fue comprometida o filtrada.
- Un colaborador que tenía acceso a la clave abandona el equipo.
- La clave ha caducado y quieres limpiar el registro.
Usar una clave API
Incluye la clave en el encabezado Authorization de cada solicitud HTTP:
Authorization: Bearer zk_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXTodas las claves de Zelta CRM tienen el prefijo zk_ seguido de 40 caracteres aleatorios. El servidor rechaza automáticamente solicitudes con claves malformadas o revocadas con un error 401 Unauthorized.
Para más detalles sobre los endpoints disponibles, los modelos de datos y ejemplos de código, consulta la .
Buenas prácticas de seguridad
- Nunca incluyas claves API en tu código fuente. Usa variables de entorno o un gestor de secretos para almacenarlas.
- Una clave por integración. Crea claves separadas para cada sistema o script que conectes, así puedes revocarlas de forma independiente sin afectar las demás integraciones.
- Otorga el mínimo de permisos necesario. Una clave de solo lectura no puede modificar datos aunque sea comprometida.
- Establece fechas de expiración para integraciones temporales o scripts de uso único.
- Rota las claves periódicamente en entornos de producción, especialmente si forman parte de un sistema crítico.
- Monitorea el campo "Último uso" para detectar claves inactivas que conviene revocar, o actividad inusual que podría indicar un acceso no autorizado.