Skip to main content

Validações e Requisitos de Segurança

Nesta página você encontra práticas e requisitos essenciais para garantir a segurança da sua integração com a API Joviplanet.

Autenticação

A autenticação garante a identidade digital do usuário. Recomenda-se:

  • Sempre exigir autenticação para acessar recursos privados.
  • Utilizar múltiplos fatores de autenticação quando possível (senha, token, biometria).

Autorização

Controle o acesso a recursos com base nas permissões do usuário autenticado:

  • Implemente checagens de autorização no backend.
  • Utilize modelos como RBAC, ABAC ou ACL para definir permissões.

Validação de Dados

Valide todos os dados recebidos, tanto sintática quanto semanticamente:

  • Validação sintática: garanta que o dado está no formato correto (ex: número, e-mail, data).
  • Validação semântica: verifique se o valor faz sentido no contexto (ex: valor não negativo, datas válidas).
  • Realize validação no backend, mesmo que já exista no frontend.
  • Prefira allow list (valores permitidos) a block list (valores proibidos).

Auditoria e Logs

  • Registre ações relevantes para rastrear "quem fez o quê, quando e com que resultado".
  • Evite logar informações sensíveis ou pessoais.

Proteção contra Ataques Automatizados

  • Implemente mecanismos para evitar abuso de funcionalidades (ex: rate limiting, captcha).

Segredos

  • Nunca armazene segredos (senhas, tokens, chaves) no código-fonte.
  • Use mecanismos seguros para armazenamento e acesso a segredos.

Dependências de Terceiros

  • Utilize apenas bibliotecas confiáveis e mantenha-as atualizadas.
  • Revise vulnerabilidades conhecidas.

Criptografia

  • Use algoritmos e técnicas adequadas para cada caso: criptografia, hashing, assinatura digital.
  • Certifique-se de que dados sensíveis estejam protegidos em trânsito e em repouso.

Checklist de Segurança

ControleDescrição
AutenticaçãoValidar que todas as funcionalidades exigem autenticação.
AutorizaçãoValidar permissões de acesso/modificação de recursos.
Validação de dadosValidar sintaxe e semântica dos dados recebidos.
Auditoria e logsRegistrar ações relevantes e evitar log de dados sensíveis.
Proteção contra ataques automatizadosImplementar rate limiting, captcha, etc.
SegredosGarantir armazenamento seguro de credenciais e tokens.
Dependências de terceirosUtilizar versões seguras e confiáveis.
CriptografiaAplicar técnicas corretas para proteger dados.

Implemente estas práticas para fortalecer a segurança da sua integração com a API Joviplanet!