A VTEX dispõe de diversas APIs para que clientes e parceiros possam desenvolver integrações altamente personalizáveis com a plataforma. Chaves de API são usadas para fornecer acesso seguro a dados consumidos por integrações, sem expor sua conta a usuários ou aplicativos não autorizados.

Este tipo de credencial é utilizado para autenticação de identidade via API.

O manuseio inadequado de chaves de API pode gerar vazamentos e, consequentemente, situações de acesso indevido. Conheça abaixo boas práticas que recomendamos para o gerenciamento destas credenciais, as quais você pode implementar para aumentar a segurança da sua loja.

É aconselhável que você desative chaves antigas e crie novas ao longo do tempo. Assim você garante que suas chaves de API tenham duração determinada.

Essa prática se assemelha a definição de uma política de senha com configurações de trocas de senhas periódicas.

Revise as chaves de API existentes periodicamente. Confira se as integrações relativas a cada chave estão ativas e se ainda são necessárias. Um processo proativo de revisão de acesso permite com que cada usuário ou integração tenha acesso apenas aos recursos que sejam realmente necessários, diminuindo as chances de ocorrer qualquer tipo de acesso indevido.

Se a recomendação anterior é semelhante a definição de trocas de senha periódicas, essa recomendação pode ser comparada ao processo de revisão de acesso com periodicidade definida.

Restrinja o acesso de cada chave a recursos e informações pela respectiva função e necessidade. Ao reduzir a quantidade de informações compartilhadas entre usuários ou integrações, você reduz o risco de vazamento por ameaças internas.

Note que o gerenciamento de permissões para chaves de API é realizado com perfis de acesso e recursos do License Manager.

A realização de campanhas de conscientização em segurança da informação é uma prática sustentável e eficiente para educar e mudar a relação das pessoas com a tecnologia. Inclua a importância da gestão responsável de acessos na pauta de treinamentos e comunicações, assim como o valor das credenciais de cada membro da companhia.

Note que parte do código que compõe a sua loja, é executado no cliente, ou seja, no navegador de usuários. Portanto, é normal que esta parte do código fique exposta a pessoas de fora da sua operação.

Dessa forma, é essencial instruir seu time de desenvolvimento que não utilize este código para fazer integrações, já que este uso costuma incluir no código as chaves de API.

Proteja os seus pares de chaves e tokens de API com o mesmo nível de sigilo que aplicaria a credenciais de login, como nomes de usuário e senhas. Para reduzir riscos, evite compartilhá-los por emails, tickets, chats ou outros canais de comunicação.