# Segurança

### Protocolos TLS <a href="#protocolos-tls" id="protocolos-tls"></a>

Toda a comunicação cliente/servidor é realizada através de HTTP sobre TLS (HTTPS). Requisições em HTTP resultam em redirecionamentos para o protocolo HTTPS.

A plataforma Blue Fleet é compatível apenas com o protocolo TLS 1.2. Foram encontradas falhas de segurança nas versões TLS 1.0 e TLS 1.1 e SSL, o que motivou o [conselho de segurança PCI](https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls) a emitir uma regra descontinuando o suporte à estas versões.

### Restrição de acesso <a href="#restricao-de-acesso" id="restricao-de-acesso"></a>

{% hint style="danger" %}
As chamadas a API de produção possuem bloqueio por IP de origem
{% endhint %}

O acesso a API no ambiente de produção é restrito por IP de origem, ou seja, para utilizar a API em produção você deverá enviar um e-mail para <suporte@bluefleet.com.br> e informar a lista de IPs que devem ser liberados para consumo da API.

### Ativação de CORS <a href="#ativacao-de-cors" id="ativacao-de-cors"></a>

{% hint style="danger" %}
Por questões de segurança não é possível a ativação de CORS para utilização da API
{% endhint %}

Não ativamos CORS, pois caso a API seja consumida diretamente do browser do cliente (utilizando Javascript, SPA ou similares) o `client_id` e `client_secret` ficarão expostos nas chamadas, fragilizando assim a segurança da API.

Recomendamos que a API da Blue Fleet seja abstraída no backend da sua aplicação. Desta forma, seu `client_id` e `client_secret` estarão protegidos e as chamadas a API da Blue Fleet serão realizadas a partir de IP's conhecidos.

<br>