PS PrestaShop Intermedio

Registro de auditoría del back-office — Guía completa

Instalar, configurar y explotar el registro de auditoría del back-office: trazabilidad de creaciones/modificaciones/eliminaciones con diff antes/después, rastreo de accesos, enmascarado de campos sensibles, retención y exportación CSV para PrestaShop 8 y 9.

Actualizado Versión del módulo 1.0.0

Presentación

El módulo Registro de auditoría del back-office registra quién cambió qué y cuándo en tu back-office de PrestaShop. Para cada creación, modificación o eliminación, conserva el empleado implicado, su perfil, la dirección IP, el controlador, el método HTTP, la URL, la marca de tiempo y —para las modificaciones— el detalle campo por campo (valor anterior → nuevo valor). También registra el inicio de sesión de cada empleado y, en PrestaShop 8, los intentos de acceso fallidos y los cierres de sesión.

El módulo se basa exclusivamente en los hooks nativos de ObjectModel y no realiza ningún override del núcleo. Es compatible con PrestaShop 8 y 9, en mono y multitienda, y multilingüe.

El registro está diseñado para la seguridad y la conformidad con el RGPD: ofrece una pista de auditoría fiable (responsabilidad y trazabilidad de los tratamientos) sin alterar el funcionamiento de tu tienda.

Instalación

  1. En el back-office, abre Módulos > Administrador de módulos.
  2. Haz clic en Subir un módulo y suelta el archivo ZIP del módulo.
  3. Una vez completada la instalación, haz clic en Configurar.

En la instalación, el módulo crea dos tablas dedicadas (el registro y el detalle de los campos modificados), registra sus hooks y añade la entrada de menú Parámetros avanzados > Registro de auditoría. No se requiere ninguna configuración para empezar: ya hay activado por defecto un conjunto pertinente de entidades.

Funcionamiento

El módulo escucha los hooks genéricos de ObjectModel presentes en PrestaShop 8 y 9 (creación, modificación y eliminación de objetos) así como el hook de visualización del back-office. En cada operación sobre una entidad vigilada:

  • identifica al empleado conectado, su perfil y la tienda activa;
  • para una modificación, compara el estado anterior y posterior y registra solo los campos realmente cambiados;
  • para una creación o una eliminación, registra (opcionalmente) todos los campos del objeto;
  • escribe la entrada directamente en la base de datos.

Las escrituras se hacen en SQL directo, sin volver a pasar por ObjectModel: no hay por tanto ningún riesgo de recursión de hooks, y la auditoría nunca puede interrumpir una operación de negocio.

Configuración

Entidades vigiladas

Marca las entidades a rastrear, agrupadas por dominio: Catálogo (productos, categorías, fabricantes, proveedores, combinaciones, precios específicos, imágenes, stock…), Clientes y pedidos (pedidos, estados de pedido, clientes, direcciones, grupos, reglas de carrito), Envío y localización (transportistas, países, zonas, divisas, impuestos), Contenido (páginas y categorías CMS, metadatos) y Administración y seguridad (empleados, perfiles, claves webservice, tiendas, configuración).

Solo se registran las entidades marcadas. Por defecto se activa un conjunto pertinente y poco verboso; la Configuración está desactivada por defecto porque es muy ruidosa.

Rastrear los accesos al BO

Cuando esta opción está activa, el módulo registra el inicio de sesión de cada empleado. En PrestaShop 8, también registra los intentos de acceso fallidos (con el correo introducido) y los cierres de sesión.

En PrestaShop 9, la página de login la gestiona Symfony: los accesos correctos se rastrean, pero los fallos y cierres de sesión en la pantalla de login no se capturan. Todos los cambios de datos siguen rastreándose en ambas versiones.

Conservar el detalle de creaciones/eliminaciones

Activa el registro de todos los campos en una creación o una eliminación. Desactiva esta opción para conservar solo el evento (quién, qué, cuándo) sin el detalle completo del objeto.

Rastrear también las acciones fuera del back-office

Por defecto, solo se registran las acciones realizadas por un empleado conectado al back-office. Activa esta opción para rastrear también los cambios desencadenados en el front-office, por una tarea CRON o a través del webservice. El volumen de entradas puede aumentar entonces sensiblemente.

Retención

Define el período de conservación en días (365 por defecto). Una purga automática diaria elimina las entradas más antiguas. Configura el valor en 0 para almacenamiento ilimitado.

Empleados excluidos

Introduce los identificadores de empleados (separados por comas) cuyas acciones no deban rastrearse — por ejemplo una cuenta técnica de integración.

Límites de volumen

Dos ajustes protegen la base de datos: el número máximo de campos almacenados por entrada y la longitud máxima de un valor (más allá de la cual el valor se trunca). Una salvaguarda interna limita además el número de entradas escritas por petición para preservar el rendimiento durante las importaciones masivas.

Consultar el registro

Ve a Parámetros avanzados > Registro de auditoría. La lista muestra, para cada entrada: la fecha, el tipo de acción (insignia de color), la entidad, el identificador y la etiqueta del objeto, el número de campos modificados, el empleado, el perfil, la dirección IP y el controlador. Puedes filtrar y ordenar por estas columnas.

Vista detallada

Haz clic en una entrada para abrir su vista detallada. Muestra el contexto completo (empleado, IP, controlador, método, URL, User-Agent) y, para una modificación, una tabla de diferencias campo por campo: el valor anterior (sobre fondo rosado, tachado) y el nuevo (sobre fondo verdoso).

Seguridad de los datos sensibles

Los campos sensibles nunca se almacenan en claro. Todo campo cuyo nombre contenga un término sensible (contraseña, secure_key, token, clave de API, clave webservice…) se reemplaza automáticamente por asteriscos. El registro indica que un campo sensible cambió sin revelar su valor.

Conformidad, retención y exportación

El registro conserva el nombre del empleado incluso tras su eliminación, garantizando una pista de auditoría duradera. Desde la pantalla del registro, el botón Exportar a CSV genera un archivo UTF-8 (compatible con Excel) que incluye todas las columnas: fecha, acción, entidad, objeto, empleado, perfil, IP, controlador, método y URL. El botón Purgar elimina todas las entradas (acción reservada a los perfiles con permiso de eliminación).

La exportación CSV es ideal para aportar tus pruebas de auditoría a un DPO, un auditor o un responsable de seguridad.

Desinstalación

La desinstalación elimina las tablas del registro, todo el historial, los hooks y la entrada de menú. Esta operación es definitiva: recuerda exportar el registro previamente si necesitas conservar una copia.

Preguntas frecuentes

¿El módulo ralentiza el back-office?

El impacto es mínimo: escrituras en SQL directo, filtrado por entidad y salvaguarda de volumen. Puedes reducir aún más la carga limitando las entidades vigiladas.

¿Se almacenan las contraseñas?

No. Los campos sensibles se enmascaran con asteriscos antes del almacenamiento.

¿El módulo modifica el núcleo de PrestaShop?

No, ningún override. El módulo usa únicamente los hooks oficiales de ObjectModel y un autoloader interno.

¿Se rastrean las acciones del front-office?

Por defecto no: el registro se centra en las acciones de los empleados en el back-office. Puedes activar el rastreo de las acciones de front-office, CRON y webservice en la configuración.

¿El módulo es compatible con PrestaShop 9?

Sí, compatible con PrestaShop 8.x y 9.x, en mono y multitienda y multilingüe.

¿Te ha resultado útil esta página?

¿Sigues atascado? Contacta con soporte