Changelog del producto

Formulario público de cotización restaurado + n8n → Odoo reparado

• Nuevo endpoint /public/cotizacion sin autenticación: el formulario de la web guarda las cotizaciones sin exponer API keys.
• Corrección del flujo n8n de leads: ahora usa /jsonrpc (acepta API keys) en lugar de /web/session/authenticate, que fallaba silenciosamente.
• Script de recuperación recover_n8n_cotizaciones.py que extrae históricos del n8n → Postgres.
• Orden cronológico descendente en la tabla del panel, soporta ambos formatos de fecha (es-CO e ISO).

Notificaciones de seguridad por email

Ahora cada evento sensible de tu cuenta dispara un email automático al usuario afectado y al administrador.

• Notificaciones para login exitoso, 5 intentos fallidos consecutivos, activación/desactivación de 2FA, cambio de contraseña, rotación de API key y aprobación/rechazo de signup.
• Cliente SMTP fire-and-forget construido con stdlib (sin nuevas dependencias).
• Arquitectura por event bus: los endpoints de auth nunca importan código de email.
• 13 tests unitarios nuevos — cero regresiones.

Doble factor (2FA) y audit logs extendidos

• 2FA basado en TOTP (Google Authenticator, Authy, 1Password) con 10 códigos de respaldo por usuario.
• Endpoints /auth/2fa/setup, /confirm, /disable + rate-limit específico de TOTP.
• Tabla audit_logs con historial consultable desde el panel superadmin.
• Reset administrativo de 2FA cuando el usuario pierde el dispositivo.

Auth hardening — bcrypt, rate-limit y security headers

• Todas las contraseñas migran a bcrypt al hacer login (SHA-256 legacy se re-hashea automáticamente).
• Rate-limit por IP y por email en /auth/login y /auth/setup.
• Headers de respuesta: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.

22 plantillas de email pre-cargadas al aprobar una agencia

• Cada agencia nueva recibe automáticamente el catálogo completo de plantillas de turismo general (cotización, bienvenida, pre-check-in, follow-up, post-viaje, reactivación, cumpleaños, etc.).
• Endpoint de admin para re-sembrar plantillas si se borran accidentalmente.
• Proceso idempotente: no duplica si ya existen.

Wizard de onboarding para nuevas agencias

• Onboarding guiado: elección de subdominio único, subida de logo con validación de formato/tamaño, color de marca y nombre.
• Módulo dedicado de almacenamiento de logos con validación MIME + dimensiones.
• Banner persistente hasta completar el wizard.

Rotación de API keys + gestión de signups pendientes

• Panel de Seguridad del tenant con opciones Rotar (key nueva + 24h de gracia) y Revocar anterior con confirmación tipeada.
• Panel de admin para aprobar/rechazar solicitudes de nuevas agencias con razón obligatoria en el rechazo.
• Landing pública de signup con honeypot anti-bot y verificación en 2 pasos.

Fundamentos multi-tenant + integraciones clave

• Arquitectura multi-tenant: aislamiento por empresa_id con Row-Level Security de Postgres.
• Resolución de tenant por hostname (subdominio o dominio personalizado).
• Tres portales rediseñados: agencia, cliente y corporativo.
• 7 secuencias de email en producción (Odoo + n8n): cotización, check-in previo 7 días, recordatorio visa 30 días, feedback post-viaje, cumpleaños, reactivación 6 meses, aniversario de viaje.
• Event bus interno que conecta saas-panel y agent para invalidación de cache y bridges de contabilidad/WhatsApp/documentos.
• Integración con Google Ads, Duffel (vuelos) y Twilio (mensajería).

En desarrollo activo

• Status page público (live).
• Centro de ayuda con búsqueda.
• Detección de IP nueva en notificaciones de login.