Assinatura de Notificação

Assinatura de Segurança em Postbacks

A segurança desempenha um papel crucial em qualquer sistema de comunicação entre aplicações, especialmente quando se trata de transmissão de dados sensíveis ou críticos. No contexto de postbacks, onde informações são enviadas de um servidor para outro em resposta a eventos específicos, a garantia da integridade e autenticidade dos dados é essencial. É aqui que a assinatura de segurança entra em cena.

  1. Verificação de Autenticidade:
    A assinatura de segurança, na forma de um hash gerado a partir dos dados da mensagem, serve como uma marca digital única que identifica a fonte da mensagem. Ao receber um postback acompanhado por uma assinatura de segurança, o receptor pode verificar se a mensagem foi realmente enviada pelo remetente esperado. Isso ajuda a mitigar ataques de spoofing, nos quais um atacante tenta falsificar a identidade do remetente.

  2. Integridade dos Dados:
    Além de verificar a autenticidade, a assinatura de segurança também garante a integridade dos dados transmitidos. Ao gerar o hash a partir dos dados da mensagem, qualquer modificação não autorizada nos dados resultaria em uma assinatura diferente. Portanto, o receptor pode comparar a assinatura recebida com uma assinatura recalculada a partir dos dados para garantir que a mensagem não tenha sido alterada durante a transmissão.

  3. Proteção contra Ataques de Manipulação:
    Os postbacks, especialmente aqueles que envolvem transações financeiras ou atualizações críticas de dados, são alvos potenciais para ataques de manipulação de dados. A assinatura de segurança adiciona uma camada adicional de proteção contra tais ataques, pois qualquer tentativa de manipulação nos dados resultaria em uma falha na validação da assinatura, alertando assim o receptor sobre a possível tentativa de adulteração.

  4. Conformidade com Padrões de Segurança:
    Em muitos setores, como finanças e saúde, existem regulamentos rígidos que exigem a implementação de medidas de segurança robustas para proteger dados confidenciais e pessoais. O uso de assinaturas de segurança em postbacks é uma prática recomendada para garantir a conformidade com esses padrões de segurança e minimizar o risco de violações de dados.

Em resumo, a inclusão de assinaturas de segurança em postbacks é uma prática fundamental para garantir a autenticidade e integridade dos dados transmitidos entre sistemas. Essa medida não apenas fortalece a segurança das integrações entre aplicações, mas também ajuda a proteger contra uma variedade de ataques cibernéticos, proporcionando assim maior confiança e tranquilidade tanto para remetentes quanto para receptores de postbacks.

Nas aplicações de BaaS, além da assinatura padrão, gerada com a soma dos dados da transação convertidos em hash, damos a possibilidade ao cliente de escolher informar um dado da sua preferência que também vai constituir a assinatura, fortalecendo assim, ainda mais os meios de segurança.

🔐

Notificações via postback com assinatura

Os Postbacks Transacionais oferecem uma maneira segura e confiável de integrar sistemas e trocar informações transacionais. Ao seguir as diretrizes de integração e segurança fornecidas nesta documentação, os clientes podem aproveitar ao máximo essa solução para melhorar a eficiência e confiabilidade de suas operações.

Nossa solução adere aos mais altos padrões de segurança, utilizando protocolos criptográficos robustos e práticas recomendadas de segurança de dados para proteger a integridade e confidencialidade das informações transmitidas.

Todas as mensagens enviadas são assinadas digitalmente usando chaves de segurança exclusivas para cada cliente. Isso garante que apenas as mensagens autenticadas sejam processadas, protegendo contra tentativas de falsificação ou interceptação.

📘

Como criar a assinatura da notificação:

Ao criar uma nova Wallet, através do nosso portal do Cliente (dados fornecidos no processo de "Onboarding"), em >Lista de wallets > Criar nova wallet, haverá um campo chamado "Chave de Assinatura", onde o ID pode ser gerado através da plataforma, ou pode ser informado pelo próprio Cliente.

Para as wallets já criadas, as informações de assinatura podem ser atualizadas a qualquer momento, também através do Portal do Cliente. Em >Lista de wallets> Ações> Editar wallet, no mesmo botão "Chave de Assinatura":

📘

Como validar a assinatura da notificação:

A integração requer a configuração de endpoints em seu sistema para receber e processar notificações assinadas. É necessário validar a assinatura das mensagens recebidas para garantir a integridade dos dados.

  • O algoritmo utilizado para construir a assinatura é o SHA256;
  • Os dados da Chave de Assinatura, Data, Hora , Headers personalizados (cliente) e Payload da transação, formam a criptografia da assinatura;