Menu
Feedback
Comece aqui
Tutoriais
Portal do desenvolvedor

Problemas conhecidos
Diretivas de suporte
Troubleshooting

Perguntas frequentes
Comunicados
Comunicados
Comunicados
A validação do reCAPTCHA agora seguirá a configuração do orderForm para todas as solicitações
Photo of the author
PedroAntunesCosta
Publicado em 04/07/2023
Última atualização em 05/07/2023

O reCAPTCHA é um serviço de segurança usado para verificar se uma determinada ação é realizada por um usuário real ou por uma automação mal-intencionada, protegendo os sites contra fraudes e abusos. Ao ativar o reCAPTCHA no checkout, além de seguir as melhores práticas contra ataques virtuais, você reduz o risco de sua loja ser explorada para fins fraudulentos.

Para proteger ainda mais nossos clientes, a VTEX agora aplicará a configuração de reCAPTCHA do orderForm definida em cada conta a todas as solicitações da API de Checkout, independentemente dos perfis de acesso associados ao usuário ou à chave de aplicação.

Os lojistas que usam a API de Checkout para fazer pedidos de aplicativos móveis, ambientes de loja headless e aplicativos semelhantes devem revisar e ajustar suas integrações antes de 1 de setembro de 2023.

O que muda?

Antes, a verificação reCAPTCHA não era necessária para pedidos feitos por usuários e chaves de aplicação com o recurso Shopping Cart Full Access no License Manager. Isso inclui perfis de acesso como Owner (Admin Super) e User Admin - RESTRICTED, bem como o usuário Titular.

Agora, a verificação do reCAPTCHA seguirá a configuração do orderForm definida em cada conta para todas as solicitações da API de Checkout, independentemente dos perfis de acesso associados ao usuário ou à chave de aplicação.

Por que estamos realizando esta mudança?

Esta ação foi necessária para reduzir os riscos de fraude e abuso, como testes de cartões, em nossas lojas. Apesar de as boas práticas para o uso de chaves de aplicação recomendarem que as lojas criem chaves individuais para cada integração e apliquem perfis de acesso restritivos a elas, alguns lojistas estavam se expondo a riscos ao usar chaves de aplicação com perfis de acesso administrativos.

Como entendemos que pode haver um motivo legítimo para que algumas integrações tenham acesso a mais recursos e informações, nossa decisão foi exigir que os lojistas implementem o reCAPTCHA nessas integrações. Se isso não for possível, existe a alternativa de desativar a validação do reCAPTCHA em sua conta (recaptchaValidation="never") e implementar medidas de proteção alternativas contra ataques automatizados por conta própria.

Sabemos que essas mudanças terão um impacto nas operações de nossos clientes, mas aderir às melhores práticas de segurança é sempre necessário e benéfico para todo o nosso ecossistema.

O que precisa ser feito?

Revise suas integrações

Peça à sua equipe de desenvolvimento para revisar as integrações que usam a API de Checkout para fazer pedidos em sua loja VTEX, usando os seguintes endpoints:

Ela poderá seguir o diagrama abaixo para avaliar se uma integração precisa ser ajustada, de acordo com a configuração de reCAPTCHA do orderForm da sua loja e como as solicitações feitas a esses endpoints são autenticadas:

{"base64":"  ","img":{"width":1157,"height":863,"type":"png","mime":"image/png","wUnits":"px","hUnits":"px","length":58709,"url":"https://raw.githubusercontent.com/vtexdocs/help-center-content/refs/heads/main/docs/pt/announcements/2023-07-04-validacao-recaptcha-agora-seguira-a-configuracao-do-orderform-para-todas-as-solicitacoes_1.png"}}

  • Caso 1: não são necessárias alterações na integração, mas sua loja pode estar em risco.

    Sua loja não usa o reCAPTCHA no Checkout e, portanto, está vulnerável a ataques automatizados, a menos que outras medidas de proteção sejam implementadas na sua integração.

  • Caso 2: sua integração precisa ser ajustada, caso contrário, ela poderá parar de funcionar.

    Sua loja usa o reCAPTCHA no Checkout, mas não está pronta para exibi-lo corretamente na interface do usuário. Sua equipe de desenvolvimento deve ajustar suas integrações.

  • Caso 3: não são necessárias alterações na integração.

    Sua loja usa o reCAPTCHA no Checkout e está pronta para exibi-lo corretamente na interface do usuário. Parabéns por seguir as melhores práticas de segurança!

Ajuste suas integrações

Se sua equipe de desenvolvimento identificou que sua integração requer atenção, ela deve seguir as instruções fornecidas no guia para desenvolvedores Implementing reCAPTCHA in integrations (em inglês).

Para implementar o reCAPTCHA em um aplicativo mobile nativo, use reCAPTCHA v3. Para outros casos de integração, use reCAPTCHA v2.

Ao usar a chave do reCAPTCHA (recaptchaKey) retornada pelo Checkout, o widget reCAPTCHA deve ser renderizado na interface do usuário do seu aplicativo móvel/storefront headless (ou similar), conforme descrito na documentação do reCAPTCHA v2 ou reCAPTCHA v3 fornecida pelo Google.

Depois que o comprador tiver concluído o desafio do reCAPTCHA, sua resposta (recaptchaToken) deverá ser enviada para a API de Checkout para finalizar a compra, conforme descrito na seção Final validation do guia Implementing reCAPTCHA in integrations (em inglês). Em seguida, a API de Checkout verificará a resposta do usuário usando o token fornecido.

Todas as integrações que usam a API de Checkout para fazer pedidos devem ser revisadas e ajustadas antes de 1 de setembro de 2023. Os aplicativos que não conseguirem renderizar o widget reCAPTCHA e verificar a resposta do usuário não poderão fazer pedidos após essa data.

Saiba mais

Consulte a documentação a seguir para saber mais sobre o reCAPTCHA e as melhores práticas para garantir que sua loja esteja protegida:

Isso foi útil?
Sim
Não
Sugerir edições (GitHub)
Nesta página
Ainda tem dúvidas?
Pergunte à comunidade
Encontre soluções e compartilhe ideias na comunidade VTEX.
Junte-se à nossa comunidade
Solicite suporte à VTEX
Para assistência personalizada, entre em contato com nossos especialistas.
Abra um ticket de suporte
GithubDeveloper portalComunidadeFeedback