O reCAPTCHA é um serviço de segurança usado para verificar se uma determinada ação é realizada por um usuário real ou por uma automação mal-intencionada, protegendo os sites contra fraudes e abusos. Ao ativar o reCAPTCHA no checkout, além de seguir as melhores práticas contra ataques virtuais, você reduz o risco de sua loja ser explorada para fins fraudulentos.

Para proteger ainda mais nossos clientes, a VTEX agora aplicará a configuração de reCAPTCHA do orderForm definida em cada conta a todas as solicitações da API de Checkout, independentemente dos perfis de acesso associados ao usuário ou à chave de aplicação.

Os lojistas que usam a API de Checkout para fazer pedidos de aplicativos móveis, ambientes de loja headless e aplicativos semelhantes devem revisar e ajustar suas integrações antes de 1 de setembro de 2023.

Antes, a verificação reCAPTCHA não era necessária para pedidos feitos por usuários e chaves de aplicação com o recurso Shopping Cart Full Access no License Manager. Isso inclui perfis de acesso como Owner (Admin Super) e User Admin - RESTRICTED, bem como o usuário Titular.

Agora, a verificação do reCAPTCHA seguirá a configuração do orderForm definida em cada conta para todas as solicitações da API de Checkout, independentemente dos perfis de acesso associados ao usuário ou à chave de aplicação.

Esta ação foi necessária para reduzir os riscos de fraude e abuso, como testes de cartões, em nossas lojas. Apesar de as boas práticas para o uso de chaves de aplicação recomendarem que as lojas criem chaves individuais para cada integração e apliquem perfis de acesso restritivos a elas, alguns lojistas estavam se expondo a riscos ao usar chaves de aplicação com perfis de acesso administrativos.

Como entendemos que pode haver um motivo legítimo para que algumas integrações tenham acesso a mais recursos e informações, nossa decisão foi exigir que os lojistas implementem o reCAPTCHA nessas integrações. Se isso não for possível, existe a alternativa de desativar a validação do reCAPTCHA em sua conta (recaptchaValidation="never") e implementar medidas de proteção alternativas contra ataques automatizados por conta própria.

Sabemos que essas mudanças terão um impacto nas operações de nossos clientes, mas aderir às melhores práticas de segurança é sempre necessário e benéfico para todo o nosso ecossistema.

Peça à sua equipe de desenvolvimento para revisar as integrações que usam a API de Checkout para fazer pedidos em sua loja VTEX, usando os seguintes endpoints:

• Place order from an existing cart
• Place order

Ela poderá seguir o diagrama abaixo para avaliar se uma integração precisa ser ajustada, de acordo com a configuração de reCAPTCHA do orderForm da sua loja e como as solicitações feitas a esses endpoints são autenticadas:

• Caso 1: não são necessárias alterações na integração, mas sua loja pode estar em risco.

  Sua loja não usa o reCAPTCHA no Checkout e, portanto, está vulnerável a ataques automatizados, a menos que outras medidas de proteção sejam implementadas na sua integração.

• Caso 2: sua integração precisa ser ajustada, caso contrário, ela poderá parar de funcionar.

  Sua loja usa o reCAPTCHA no Checkout, mas não está pronta para exibi-lo corretamente na interface do usuário. Sua equipe de desenvolvimento deve ajustar suas integrações.

• Caso 3: não são necessárias alterações na integração.

  Sua loja usa o reCAPTCHA no Checkout e está pronta para exibi-lo corretamente na interface do usuário. Parabéns por seguir as melhores práticas de segurança!

Se sua equipe de desenvolvimento identificou que sua integração requer atenção, ela deve seguir as instruções fornecidas no guia para desenvolvedores Implementing reCAPTCHA in integrations (em inglês).

Para implementar o reCAPTCHA em um aplicativo mobile nativo, use reCAPTCHA v3. Para outros casos de integração, use reCAPTCHA v2.

Ao usar a chave do reCAPTCHA (recaptchaKey) retornada pelo Checkout, o widget reCAPTCHA deve ser renderizado na interface do usuário do seu aplicativo móvel/storefront headless (ou similar), conforme descrito na documentação do reCAPTCHA v2 ou reCAPTCHA v3 fornecida pelo Google.

Depois que o comprador tiver concluído o desafio do reCAPTCHA, sua resposta (recaptchaToken) deverá ser enviada para a API de Checkout para finalizar a compra, conforme descrito na seção Final validation do guia Implementing reCAPTCHA in integrations (em inglês). Em seguida, a API de Checkout verificará a resposta do usuário usando o token fornecido.

Todas as integrações que usam a API de Checkout para fazer pedidos devem ser revisadas e ajustadas antes de 1 de setembro de 2023. Os aplicativos que não conseguirem renderizar o widget reCAPTCHA e verificar a resposta do usuário não poderão fazer pedidos após essa data.

Consulte a documentação a seguir para saber mais sobre o reCAPTCHA e as melhores práticas para garantir que sua loja esteja protegida:

• reCAPTCHA no Checkout
• Boas práticas contra ataques virtuais
• Boas práticas na utilização de chaves de aplicação
• Recursos do License Manager