Chave API e seu ciclo de vida

A autenticação central da nossa API é baseada em uma chave única. Embora a chave por si só seja segura, caso ela caia em mãos erradas, dá acesso total à conta, por isso adotamos mecanismos de proteção e controle de ciclo de vida:

• Geração: a API Key é criada diretamente pelo cliente no dashboard, na área de configurações.

• Exclusividade ativa: apenas uma API Key pode estar ativa por vez. Quando uma nova chave é gerada, a anterior não é desativada imediatamente: ela permanece válida por uma janela de transição de 20 minutos para permitir “cut-over” suave. Após esse período, a chave anterior é automaticamente desativada.

• Revogação imediata: em caso de comprometimento ou suspeita de uso indevido (por exemplo, ataque hacker), o cliente pode desativar imediatamente todas as chaves existentes do dashboard, invalidando o acesso com efeito quase instantâneo.

• Boas práticas recomendadas: armazenar a API Key de forma segura (não expor em repositórios, logs públicos ou front-ends), rotacionar periodicamente e monitorar uso atípico.

Whitelist IP

Como uma camada adicional de proteção, a Fire Banking suporta a configuração de uma lista de IPs autorizados (whitelist). Quando ativada, apenas requisições originadas dos endereços IP previamente cadastrados serão aceitas pela API, independentemente de a API Key estar correta. Isso reduz a superfície de ataque, limitando o acesso aos servidores que você controla.

• O cliente deve informar os IPs dos seus servidores ou proxies no dashboard.

• Requisições oriundas de IPs fora dessa lista são rejeitadas mesmo que a autenticação esteja correta.

• Ideal para ambientes controlados e produção, especialmente quando a infraestrutura de integração é estática ou conhecida.

Para configurar, entre em contato com o seu gerente de conta.

Restrição por documento (CPF/CNPJ) para saques via PIX

Existe um mecanismo de segurança adicional voltado para controle de movimentações: o cadastro de documento (CPF ou CNPJ) que limita os saques via PIX à conta que estiver associada a esse documento no momento da execução.

• Funcionalidade: ao cadastrar um CPF ou CNPJ no sistema, os saques via PIX passam a considerar esse filtro, permitindo que apenas transações com aquele documento validado sejam processadas para determinada conta.

• Objetivo: mitigar riscos de desvio de fundos ou uso indevido, garantindo que a operação financeira esteja vinculada a uma identidade fiscal esperada.

• Aplicação típica: contas de destino que só devem receber saques se estiverem identificadas com o CPF/CNPJ previamente autorizado.

Para configurar, entre em contato com o seu gerente de conta.

Recomendações gerais

• Ativar whitelist de IP sempre que possível, especialmente em produção.

• Rotacionar API Keys com periodicidade controlada e usar a janela de 20 minutos para migrações entre chaves.

• Monitorar padrões de uso anômalos (picos fora de horário, origens inesperadas, falhas repetidas de autenticação) e revogar chaves suspeitas imediatamente.

• Usar o cadastro de CPF/CNPJ para reforçar a validade das operações de saque quando houver correspondência esperada entre identidade e destino.

• Manter o dashboard de administração protegido com autenticação forte (login protegido, MFA se disponível) para evitar controle indevido das chaves e configurações.