Logo Portal do Desenvolvedor
Logo Credsystem

Menu

Pular para o conteúdo principal

🔐 Segurança e Compliance

As APIs Credsystem seguem os mais rigorosos padrões de segurança da indústria financeira:

  • 🛡️ PCI DSS Level 1 - Máximo nível de conformidade com padrões de segurança de cartões
  • 🔒 Criptografia AES-256 - Proteção de dados sensíveis em repouso e em trânsito
  • 🔑 Tokenização - Substituição de dados de cartão por tokens seguros
  • 📋 LGPD - Conformidade total com Lei Geral de Proteção de Dados
  • 🔐 TLS 1.2+ - Criptografia forte em todas as comunicações
  • Rate Limiting - Proteção contra uso abusivo e ataques DDoS
  • 🔍 Auditoria - Logs completos de todas as operações
🚨 Regra de Ouro da Segurança

NUNCA armazene dados completos de cartão (PAN, CVV, validade) em seus sistemas. Use sempre tokenização e criptografia fornecidas pelas APIs Credsystem.

Armazenar dados de cartão sem certificação PCI DSS é:

  • Ilegal - Viola regulamentações financeiras
  • Perigoso - Expõe seus clientes a fraudes
  • Caro - Multas podem chegar a milhões de reais

🔐 1. Autenticação e Autorização

OAuth 2.0 com Client Credentials

🔑 Padrão de Autenticação

Todas as APIs utilizam OAuth 2.0 com fluxo Client Credentials para autenticação server-to-server:

  1. Obtenha token JWT com client_id e client_secret
  2. Token válido por tempo limitado (normalmente 1 hora)
  3. Renove automaticamente antes da expiração
  4. Use token em header Authorization: Bearer <token>

Proteção de Credenciais

⚠️ Credenciais de Acesso

client_id e client_secret são equivalentes a usuário/senha:

✅ FAÇA:

  • Armazene em variáveis de ambiente
  • Use cofres de segredos (AWS Secrets Manager, Azure Key Vault)
  • Rotacione periodicamente (a cada 90 dias)
  • Restrinja acesso apenas a serviços autorizados

❌ NÃO FAÇA:

  • Commitar no Git/controle de versão
  • Incluir em código client-side (frontend/mobile)
  • Compartilhar por email ou chat
  • Logar em arquivos de texto plano

🛡️ 2. PCI DSS Compliance

O que é PCI DSS?

📋 PCI DSS - Payment Card Industry Data Security Standard

Conjunto de requisitos de segurança para qualquer organização que armazene, processe ou transmita dados de cartão de crédito/débito.

Credsystem é certificada PCI DSS Level 1 (nível mais alto).

Suas Responsabilidades

⚠️ Escopo de Compliance

Mesmo usando APIs tokenizadas, você tem responsabilidades:

✅ Você DEVE:

  • Usar HTTPS em 100% das comunicações
  • Validar certificados SSL/TLS
  • Implementar controle de acesso adequado
  • Manter logs de auditoria
  • Treinar equipe em segurança
  • Realizar testes de segurança periódicos

Se você processar dados de cartão brutos (mesmo temporariamente):

  • 🔴 Você precisa de certificação PCI DSS própria
  • 🔴 Custo: R$ 50.000 - R$ 500.000/ano
  • 🔴 Auditorias obrigatórias

Solução: Use apenas tokens fornecidos pelas APIs!

🔒 3. Criptografia de Dados

Dados em Trânsito

🔐 TLS 1.2+

Todas as APIs exigem TLS 1.2 ou superior:

Configurações aceitas:

  • ✅ TLS 1.2
  • ✅ TLS 1.3 (recomendado)

Configurações rejeitadas:

  • ❌ TLS 1.1
  • ❌ TLS 1.0
  • ❌ SSL 3.0
  • ❌ HTTP não criptografado

Dados em Repouso

💾 Armazenamento Seguro

Se você precisar armazenar dados sensíveis:

Use criptografia AES-256 para:

  • Tokens de acesso (embora sejam temporários)
  • Dados de identificação (CPF/CNPJ)
  • Informações financeiras
  • Logs com dados sensíveis

Chaves de criptografia devem:

  • Ter no mínimo 256 bits
  • Ser armazenadas separadamente dos dados
  • Ser rotacionadas periodicamente
  • Ter acesso restrito e auditado

📋 4. LGPD - Lei Geral de Proteção de Dados

Princípios LGPD

🇧🇷 Conformidade LGPD

As APIs Credsystem estão em conformidade com a LGPD:

Você deve garantir:

  • Consentimento - Obtenha permissão explícita para coletar dados
  • Finalidade - Use dados apenas para o propósito informado
  • Minimização - Colete apenas dados necessários
  • Transparência - Informe claramente como dados serão usados
  • Segurança - Proteja dados contra acessos não autorizados
  • Direitos - Permita acesso, correção e exclusão de dados

Dados Pessoais Sensíveis

⚠️ Dados Protegidos pela LGPD

Categorias de dados nas APIs:

Dados Pessoais (art. 5º, I):

  • Nome, CPF, RG, endereço, email, telefone

Dados Pessoais Sensíveis (art. 5º, II):

  • Dados financeiros (renda, score de crédito)
  • Dados biométricos (se aplicável)

Tratamento requer:

  • Consentimento específico do titular
  • Base legal adequada (execução de contrato, obrigação legal)
  • Medidas técnicas de segurança

🔍 5. Auditoria e Logs

O que Registrar

📝 Logs de Segurança

Registre para fins de auditoria:

✅ Registre:

  • Timestamp de todas as requisições
  • Request ID único
  • Endpoint acessado
  • Método HTTP (GET, POST, etc.)
  • Código de status da resposta
  • Tempo de resposta
  • IP de origem (se aplicável)
  • User-Agent
  • Tentativas de autenticação (sucesso/falha)

❌ NÃO Registre:

  • Tokens completos (máx: primeiros/últimos 4 chars)
  • Senhas ou secrets
  • CVV de cartões
  • Dados de cartão completos
  • CPF/CNPJ sem mascaramento

Retenção de Logs

⏱️ Período de Retenção

Recomendações:

  • Logs de aplicação: 90 dias mínimo
  • Logs de segurança: 1 ano mínimo
  • Logs de transação: 5 anos (conformidade fiscal)
  • Logs de auditoria: 5 anos

Use soluções de log centralizadas (ELK, Splunk, CloudWatch).

🚨 6. Detecção e Resposta a Incidentes

Monitoramento Contínuo

🔍 Alertas de Segurança

Configure alertas automáticos para:

🔴 Crítico (resposta imediata):

  • Taxa anormal de erros 401/403
  • Tentativas de acesso com credenciais inválidas
  • Aumento súbito de requisições (possível ataque)
  • Erros de validação de certificado SSL

🟡 Atenção (investigar):

  • Taxa de erro acima de 5%
  • Latência anormal
  • Uso próximo ao rate limit

Plano de Resposta

🚨 Em Caso de Incidente de Segurança
  1. Isolar: Suspenda credenciais comprometidas imediatamente
  2. Investigar: Analise logs para determinar escopo
  3. Notificar: Entre em contato com suporte Credsystem
  4. Remediar: Corrija vulnerabilidades identificadas
  5. Documentar: Registre incidente e ações tomadas

Contato Emergencial: security@credsystem.com.br

🧪 7. Testes de Segurança

Testes Obrigatórios

🧪 Security Testing

Antes de produção, realize:

Testes de Segurança:

  • ✅ Scan de vulnerabilidades (OWASP Top 10)
  • ✅ Teste de penetração (pentesting)
  • ✅ Análise de código estático (SAST)
  • ✅ Análise de dependências (vulnerabilidades conhecidas)
  • ✅ Teste de rate limiting
  • ✅ Validação de certificados SSL/TLS

Ferramentas Recomendadas:

  • OWASP ZAP
  • Burp Suite
  • Snyk (análise de dependências)
  • SonarQube (análise de código)

📊 8. Checklist de Segurança

Antes de ir para produção:

  • Credenciais armazenadas de forma segura (não em código)
  • HTTPS/TLS 1.2+ configurado e validado
  • Certificados SSL válidos e não expirados
  • Validação de certificados ativada (rejectUnauthorized: true)
  • Tokens com renovação automática implementada
  • Rate limiting respeitado com retry adequado
  • Logs implementados sem dados sensíveis
  • Monitoramento e alertas configurados
  • Plano de resposta a incidentes documentado
  • Testes de segurança realizados
  • Equipe treinada em práticas seguras
  • Documentação de segurança atualizada
  • Conformidade LGPD validada
  • Backup e recovery testados
  • Controle de acesso implementado (least privilege)

📚 Recursos e Referências

Documentação Oficial

Suporte

📞 Contatos de Segurança