Owner (Admin Super) é um perfil de acesso que abarca praticamente todos os recursos necessários para acessar informações e realizar tarefas no dia a dia da sua loja VTEX.

Buscando melhorar as práticas de segurança do nosso ecossistema, redefinimos as permissões padrão de usuários e chaves na plataforma. Chaves são equivalentes a senhas e devem ser protegidas na mesma proporção.

Estas medidas visam facilitar aos lojistas restringir o número de usuários que dispõem do recurso Save user, proporcionando maior controle sobre ações sensíveis e, consequentemente, mais segurança para a sua loja VTEX.

A partir de hoje, o perfil de acesso Owner (Super Admin) não inclui mais o recurso Save user. Isso significa que usuários que tenham apenas este perfil perderão a capacidade de:

• Criar usuários.
• Atribuir perfis de acesso a usuários.
• Remover perfis de acesso de usuários.
• Editar dados de usuários.
• Criar chaves de aplicação.
• Alterar chaves de aplicação.

Além disso, a VTEX disponibiliza a partir de hoje o perfil de acesso User Administrator - RESTRICTED, que inclui apenas o recurso Save user, descrito acima.

Isso se faz necessário para reduzir as chances de pessoas mal intencionadas realizarem quaisquer tipos de alterações na plataforma que possam gerar prejuízos para sua loja, como alterações no checkout e gestão de usuários administrativos.

A partir de agora, os perfis das chaves de aplicação e dos usuários administrativos passam a ter por padrão permissões ainda mais limitadas, ficando algumas ações como criação de usuários administrativos e chaves de aplicação restritas a um perfil específico. Tornando mais fácil para nossos clientes monitorar e controlar quem pode realizar alterações na plataforma VTEX.

Sabemos que estas mudanças impactam as operações de nossos clientes, porém a adoção de melhores práticas de segurança é sempre necessária e um benefício para todo o ecossistema.

Esta mudança impacta de forma diferente a gestão de permissões de usuários e de chaves de aplicação.

O perfil User Administrator - RESTRICTED será automaticamente atribuído a todos os usuários que já têm o perfil Owner (Admin Super). Portanto, não haverá perda de permissões para usuários existentes, que terão ambos os perfis.

Entretanto, recomendamos que revise os usuários da sua loja e remova o perfil User Administrator - RESTRICTED de cada usuário que não precisa realizar as ações associadas ao recurso Save user descritas acima.

Usuários que, a partir de agora, venham a receber o perfil de acesso Owner (Admin Super) não terão o recurso Save user e não poderão realizar as suas ações associadas, como criação e alteração de usuários e chaves de aplicação.

Caso deseje que algum usuário da sua loja possa realizar as ações associadas ao recurso Save user citadas acima, você deverá garantir que este usuário tenha o perfil de acesso User Administrator - RESTRICTED ou criar um perfil de acesso customizado que inclua o recurso Save user.

Chaves de aplicação com o perfil de acesso Owner (Admin Super) não receberão o perfil User Administrator - RESTRICTED automaticamente. Portanto, caso deseje que alguma chave de aplicação possa realizar as ações associadas ao recurso Save user citadas acima, você deverá garantir que esta chave tenha o perfil de acesso User Administrator - RESTRICTED ou criar um perfil de acesso customizado que inclua o recurso Save user.

Note que, com as mudanças descritas acima, chaves de aplicação não têm mais o recurso Save user, então um usuário com este recurso deverá concedê-lo, caso seja necessário.

Siga as boas práticas na utilização de chaves de aplicação.

Incidentes ocorrem quando as chaves de aplicação de nossos clientes ficam expostas na internet ou são capturadas através de phishing. O vazamento dessas chaves pode ter diversas causas, como, por exemplo:

• Chaves incluídas em código-fonte e disponibilizadas em repositórios públicos.
• Compartilhamento da chave via meios não seguros, como e-mail para grupos de pessoas, canais de Slack ou outros meios de comunicação corporativa em massa.
• Compartilhamento de chaves de acesso com terceiros.
• Possível mau uso de credenciais por parte de funcionários ou subcontratados.
• Ausência de processo periódico de rotação de chaves.
• Ausência de revisão periódica de usuários e perfis.

Reforçamos a todos a importância de alterar periodicamente todas as senhas de usuários e chaves de aplicação, bem como revisar constantemente os usuários que possuem acesso à plataforma e suas permissões.

Confira as seguintes documentações para saber mais sobre a gestão de usuários e permissões na sua loja:

• Perfis de acesso
• Recursos do License Manager
• Gerenciar usuários
• Chaves de aplicação
• Boas práticas na utilização de chaves de aplicação