Pular para o conteúdo principal

Boas Práticas de Segurança

Com o objetivo de promover um ambiente mais seguro e eficiente, reunimos recomendações para fortalecer a segurança das informações e reduzir riscos operacionais associados ao uso de APIs e serviços digitais.

Estas práticas são recomendadas para clientes, parceiros e integradores que consomem interfaces eletrônicas e realizam integrações com nossos ambientes.

Atenção

Nunca compartilhe chaves de API, tokens de acesso ou credenciais. Também não armazene dados sensíveis desnecessários em seus sistemas, bases de dados, logs ou arquivos temporários.

1. Proteção de credenciais e tokens

  • Nunca compartilhe chaves de API, tokens de acesso ou credenciais.
  • Armazene credenciais em ambientes seguros e protegidos, como Secret Managers ou Vaults.
  • Realize rotação periódica de credenciais e tokens.
  • Remova credenciais antigas, vencidas ou não utilizadas.

2. Controle de acesso

  • Utilize o Princípio do Menor Privilégio.
  • Restrinja acessos apenas a usuários e sistemas autorizados.
  • Revogue acessos imediatamente em casos de desligamento ou mudança de função.
  • Revise permissões regularmente.

3. Comunicação segura

  • Utilize exclusivamente conexões seguras via HTTPS/TLS.
  • Evite chamadas a partir de redes públicas ou ambientes não confiáveis.
  • Mantenha certificados digitais válidos e atualizados.
  • Valide URLs, domínios e ambientes antes de expor integrações em produção.

4. Monitoramento e auditoria

  • Monitore acessos, integrações e atividades suspeitas.
  • Mantenha logs de autenticação e consumo das APIs.
  • Analise periodicamente eventos de segurança.
  • Defina alertas para tentativas de acesso incomuns, falhas recorrentes e mudanças críticas.

5. Atualizações e vulnerabilidades

  • Mantenha sistemas, bibliotecas e aplicações atualizados.
  • Corrija vulnerabilidades conhecidas com agilidade.
  • Realize testes periódicos de segurança sempre que possível.
  • Implemente proteção contra ataques comuns, considerando referências como OWASP Top 10.

6. Proteção de dados

  • Trate informações sensíveis de acordo com a LGPD e demais regulamentações aplicáveis.
  • Evite armazenar dados desnecessários.
  • Nunca armazene dados sensíveis sem necessidade operacional e controles adequados.
  • Utilize criptografia para transmissão de dados sensíveis, quando aplicável.
  • Revise logs e integrações para evitar exposição indevida de informações.

7. Gestão de incidentes

  • Estabeleça procedimentos internos para identificação e resposta a incidentes de segurança.
  • Revogue credenciais afetadas imediatamente.
  • Comunique equipes responsáveis e parceiros envolvidos quando houver risco operacional.
  • Registre evidências, impactos e ações tomadas para apoiar análise posterior.
Compromisso com a segurança

A Segurança da Informação é tratada como um elemento essencial em todas as etapas operacionais. Mantenha seus processos e controles voltados à proteção da confidencialidade, integridade e disponibilidade das informações trafegadas em nossos ambientes e interfaces eletrônicas.