Política de Segurança e Responsabilidade sobre Tokens de Acesso

Este documento estabelece as regras de segurança e responsabilidade relacionadas ao uso do token de autenticação Authorization: Bearer <token> utilizado para acesso à API.

1. Definição

O token de acesso é uma credencial secreta que identifica e autoriza chamadas à API em nome do cliente. Qualquer pessoa ou sistema que possua o token pode realizar requisições com as mesmas permissões associadas a esse token.

2. Responsabilidade do cliente

O cliente é o único responsável por:

guardar o token em sigilo

controlar quem tem acesso ao token

impedir a divulgação do token em qualquer meio

aplicar práticas de segurança compatíveis com o risco de acesso concedido

monitorar o uso e investigar anomalias

3. Regras de armazenamento e uso

Requisitos mínimos recomendados

armazenar o token apenas em gerenciadores de segredo, vault, secret manager, ou variáveis de ambiente protegidas

restringir acesso por menor privilégio, limitar quem pode ler o segredo

não embutir token em código fonte, artefatos compilados, imagens de container, arquivos de configuração versionados, repositórios Git

não expor token em logs de aplicação, prints, mensagens de erro, ferramentas de observabilidade, tickets e chats

em integrações cliente, evitar expor token no frontend, o token deve permanecer no backend do cliente

4. Proibições

É proibido

compartilhar o token com terceiros não autorizados

publicar o token em documentação pública, exemplos, screenshots ou vídeos

reutilizar o mesmo token em ambientes que não sejam os acordados, por exemplo produção e testes sem segregação

5. Incidentes, suspeita de vazamento e resposta

Se houver suspeita de vazamento, uso indevido ou exposição do token, o cliente deve

interromper imediatamente a distribuição do token nos seus sistemas

revisar logs e acessos internos para identificar origem e impacto

solicitar rotação, revogação ou substituição do token o mais rápido possível

corrigir a causa raiz antes de reintroduzir o token em produção

6. Isenção de responsabilidade da RoadRunner

A RoadRunner fornece o token para integração e autenticação conforme o acordo aplicável. A guarda, confidencialidade e controle de acesso ao token são de responsabilidade exclusiva do cliente.

A RoadRunner não se responsabiliza por danos, perdas, acessos indevidos, custos, interrupções ou qualquer efeito decorrente de

divulgação voluntária do token pelo cliente

armazenamento inseguro do token

vazamento por falhas no ambiente do cliente ou de seus fornecedores

uso do token por terceiros que tenham obtido a credencial a partir do ambiente do cliente

7. Auditoria e conformidade

O cliente deve manter controles internos e evidências mínimas de segurança, por exemplo

política de gestão de segredos

rastreabilidade de quem teve acesso ao token

segregação de ambientes e credenciais

processo de rotação periódica quando aplicável

8. Vigência

Estas regras se aplicam enquanto o token estiver ativo, e continuam válidas para registros e incidentes relacionados ao período de uso do token.

Política de Segurança e Responsabilidade sobre Tokens de Acesso

1. Definição#

2. Responsabilidade do cliente#

3. Regras de armazenamento e uso#

4. Proibições#

5. Incidentes, suspeita de vazamento e resposta#

6. Isenção de responsabilidade da RoadRunner#

7. Auditoria e conformidade#

8. Vigência#