Skip to main content
A segurança é nossa prioridade máxima. A API Avantti Finance implementa múltiplas camadas de proteção para garantir que suas transações e dados estejam sempre seguros.

🔐 Autenticação Segura

Credenciais API

Utilizamos um sistema de dupla chave para máxima segurança:
  • API Key (Chave Pública): pk_live_* ou pk_test_*
  • API Secret (Chave Secreta): sk_live_* ou sk_test_*
Importante: Nunca exponha sua API Secret em código client-side, repositórios públicos ou logs. Mantenha-a sempre em ambiente seguro.

Tokens Bearer

Todos os endpoints protegidos requerem autenticação via token Bearer JWT: 
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Características dos tokens:
  • Tempo de vida: 30 minutos (1800 segundos)
  • Renovação: Automaticamente antes da expiração
  • Escopo: Limitado às permissões da empresa

🛡️ Proteção de Dados

Criptografia

  • TLS 1.3: Todas as comunicações são criptografadas
  • AES-256: Dados sensíveis em repouso
  • RSA-4096: Chaves de criptografia assimétrica

Conformidade

Estamos em total conformidade com a LGPD brasileira:
  • Minimização de dados coletados
  • Transparência no processamento
  • Direito ao esquecimento
  • Consentimento explícito
Certificação PCI DSS Level 1 para proteção de dados de pagamento:
  • Ambientes segregados
  • Monitoramento 24/7
  • Testes de penetração regulares
  • Auditoria contínua
Seguimos todas as diretrizes do PIX e do Sistema de Pagamentos Brasileiro:
  • Padrões de segurança PIX
  • Proteção contra fraudes
  • Monitoramento de transações
  • Relatórios regulatórios

🚨 Monitoramento e Prevenção

Detecção de Fraudes

Nossa plataforma monitora continuamente:
  • Padrões anômalos de transação
  • Velocidade de transações
  • Geolocalização suspeita
  • Dispositivos não reconhecidos

Rate Limiting

Protegemos contra ataques de força bruta e DDoS:
  • Limites por endpoint
  • Throttling inteligente
  • Bloqueio automático de IPs suspeitos
  • Alertas em tempo real

🔒 Boas Práticas de Implementação

Armazenamento Seguro

Recomendação: Use variáveis de ambiente para armazenar credenciais:
# .env
AVANTTI_FINANCE_API_KEY=pk_live_abc123def456ghi789
AVANTTI_FINANCE_API_SECRET=sk_live_xyz789uvw012mno345

Idempotência

Use chaves de idempotência para evitar transações duplicadas: 
X-Idempotency-Key: operacao_unica_20241201_12345

🔍 Auditoria e Logs

Logs de Segurança

Mantemos logs detalhados de:
  • Tentativas de autenticação
  • Acessos à API
  • Transações processadas
  • Alterações de configuração

Retenção de Dados

Tipo de DadoPeríodo de Retenção
Logs de acesso12 meses
Dados de transação5 anos
Logs de auditoria7 anos
Dados pessoaisConforme LGPD

🚨 Incidentes de Segurança

Resposta a Incidentes

Em caso de suspeita de comprometimento:
  1. Imediato: Revogue suas chaves API no dashboard
  2. Notificação: Entre em contato conosco imediatamente
  3. Investigação: Nossa equipe iniciará investigação
  4. Resolução: Implementaremos medidas corretivas

Contato de Emergência

🆘 Emergência de Segurança

Para incidentes de segurança críticos

📞 Suporte 24/7

WhatsApp para emergências (24h)

📋 Checklist de Segurança

Antes de ir para produção, verifique:
  • API Keys armazenadas em variáveis de ambiente
  • Chaves de produção separadas das de teste
  • Acesso às chaves limitado aos desenvolvedores necessários
  • Rotação periódica das chaves planejada
  • Sempre usar HTTPS em produção
  • Validar certificados SSL
  • Implementar timeout adequado nas requisições
  • Usar TLS 1.2 ou superior
  • Endpoint webhook protegido
  • Processamento idempotente
  • Rate limiting no endpoint
  • Logs de transações ativados
  • Alertas para falhas configurados
  • Monitoramento de performance
  • Dashboard de métricas

📞 Suporte de Segurança

Email: [email protected]
Emergência: +55 31 98266-2897
Bug Bounty: Temos programa de recompensas para vulnerabilidades
Nossa equipe de segurança está disponível 24/7 para responder a incidentes críticos.