Author Image

weslly99

Aug 29, 2024

Implementação Segura de SaaS com Integrações Específicas

SaaSintegraçõesCertificadoswebhooksegurança de dadosmTLSHMAC

Boa tarde,
Estou construindo um pequeno SaaS com Tenent-Specific Integrations onde cada cliente deve inserir suas chaves da integração, e o sistema teria a responsabilidade de integrar e manter tais credenciais seguras. Porém lendo a documentação fiquei com dúvida se isso é realmente possível.
Algumas dúvidas são:
1. Cada cliente terá seu próprio certificado?
2. Devo ter uma url para cada cliente receber um webhook?
3. Quais outros cuidados devo ter?

(desculpa se estiver perguntando em um canal errado, sou novo aqui)

Respostas (1):
Avatar discord do usuario joaolucas_efi

joaolucas_efi

30/08/2024

Bom dia, @weslly99, tudo bem?
1. Sim, o certificado faz referencia a conta, funcionando de forma semelhante a uma credencial.
2. Você deve ser capaz de distinguir quem esta recebendo a notificação, você pode fazer isso tendo URL distintas, usando apenas query params para distinguir, etc.
3. É importante garantir que os usuários terão acesso apenas ao que é devido à eles, ou seja, que não consigam influenciar na cobrança de outros usuários. Restrinja ao máximo os acessos aos bancos que conterão as credenciais e os certificados para evitar que outras pessoas vazem estes dados. Ao implementar o webhook Pix, utilize o mTLS e/ou HMAC para garantir que a comunicação esteja sendo de fato feita pelos servidores da Efí.

Caso tenha alguma outra dúvida basta nos perguntar para que possamos lhe auxiliar da maneira mais assertiva possível.