Skip to main content
A segurança é nossa prioridade máxima. A API Vexy Bank implementa múltiplas camadas de proteção para garantir que suas transações e dados estejam sempre seguros.

Autenticação

Credenciais API

Utilizamos um sistema de dupla chave para máxima segurança:
  • API Key (Chave Pública): pk_live_* ou pk_test_*
  • API Secret (Chave Secreta): sk_live_* ou sk_test_*
Importante: Nunca exponha sua API Secret em código client-side, repositórios públicos ou logs. Mantenha-a sempre em ambiente seguro.

Tokens Bearer

Todos os endpoints protegidos requerem autenticação via token Bearer JWT: 
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Características dos tokens:
  • Tempo de vida: 30 minutos (1800 segundos)
  • Renovação: Automaticamente antes da expiração
  • Escopo: Limitado às permissões da empresa

Proteção de dados

Criptografia

  • TLS 1.3: Todas as comunicações são criptografadas
  • AES-256: Dados sensíveis em repouso
  • RSA-4096: Chaves de criptografia assimétrica

Conformidade

Estamos em total conformidade com a LGPD brasileira:
  • Minimização de dados coletados
  • Transparência no processamento
  • Direito ao esquecimento
  • Consentimento explícito
Certificação PCI DSS Level 1 para proteção de dados de pagamento:
  • Ambientes segregados
  • Monitoramento 24/7
  • Testes de penetração regulares
  • Auditoria contínua
Seguimos todas as diretrizes do PIX e do Sistema de Pagamentos Brasileiro:
  • Padrões de segurança PIX
  • Proteção contra fraudes
  • Monitoramento de transações
  • Relatórios regulatórios

Monitoramento e prevenção

Detecção de Fraudes

Nossa plataforma monitora continuamente:
  • Padrões anômalos de transação
  • Velocidade de transações
  • Geolocalização suspeita
  • Dispositivos não reconhecidos

Rate Limiting

Protegemos contra ataques de força bruta e DDoS:
  • Limites por endpoint
  • Throttling inteligente
  • Bloqueio automático de IPs suspeitos
  • Alertas em tempo real

Boas práticas de implementação

Armazenamento Seguro

Recomendação: Use variáveis de ambiente para armazenar credenciais:
# .env
VEXY_BANK_API_KEY=pk_live_abc123def456ghi789
VEXY_BANK_API_SECRET=sk_live_xyz789uvw012mno345

Validação de Webhooks

SEMPRE valide a assinatura dos webhooks: 
const crypto = require('crypto')

function verifyWebhookSignature(payload, signature, secret) {
  const computedSignature = crypto
    .createHmac('sha256', secret)
    .update(JSON.stringify(payload))
    .digest('hex')

  return signature === computedSignature
}

// Uso no seu endpoint
app.post('/webhooks/vexy-bank', (req, res) => {
  const signature = req.headers['vexy-signature']
  const secret = process.env.WEBHOOK_SECRET
  
  if (!verifyWebhookSignature(req.body, signature, secret)) {
    return res.status(401).send('Unauthorized')
  }
  
  // Processar webhook seguramente
  res.status(200).send('OK')
})

Idempotência

Use chaves de idempotência para evitar transações duplicadas: 
X-Idempotency-Key: operacao_unica_20241201_12345

Auditoria e logs

Logs de Segurança

Mantemos logs detalhados de:
  • Tentativas de autenticação
  • Acessos à API
  • Transações processadas
  • Alterações de configuração

Retenção de Dados

Tipo de DadoPeríodo de Retenção
Logs de acesso12 meses
Dados de transação5 anos
Logs de auditoria7 anos
Dados pessoaisConforme LGPD

Incidentes de segurança

Resposta a Incidentes

Em caso de suspeita de comprometimento:
  1. Imediato: Revogue suas chaves API no dashboard
  2. Notificação: Entre em contato conosco imediatamente
  3. Investigação: Nossa equipe iniciará investigação
  4. Resolução: Implementaremos medidas corretivas

Contato de Emergência

Emergência de segurança

Para incidentes de segurança críticos

Suporte 24/7

WhatsApp para emergências (24h)

Checklist de segurança

Antes de ir para produção, verifique:
  • API Keys armazenadas em variáveis de ambiente
  • Chaves de produção separadas das de teste
  • Acesso às chaves limitado aos desenvolvedores necessários
  • Rotação periódica das chaves planejada
  • Sempre usar HTTPS em produção
  • Validar certificados SSL
  • Implementar timeout adequado nas requisições
  • Usar TLS 1.2 ou superior
  • Validação de assinatura implementada
  • Endpoint webhook protegido
  • Processamento idempotente
  • Rate limiting no endpoint
  • Logs de transações ativados
  • Alertas para falhas configurados
  • Monitoramento de performance
  • Dashboard de métricas

📞 Suporte de Segurança

Email: [email protected]
Emergência: +55 11 99999-9999
Bug Bounty: Temos programa de recompensas para vulnerabilidades
Nossa equipe de segurança está disponível 24/7 para responder a incidentes críticos.