Segurança

A Blue Fleet está sempre atenta e implementa os melhores padrões e práticas de segurança do mercado.

Protocolos TLS

Toda a comunicação cliente/servidor é realizada através de HTTP sobre TLS (HTTPS). Requisições em HTTP resultam em redirecionamentos para o protocolo HTTPS.

A plataforma Blue Fleet é compatível apenas com o protocolo TLS 1.2. Foram encontradas falhas de segurança nas versões TLS 1.0 e TLS 1.1 e SSL, o que motivou o conselho de segurança PCI a emitir uma regra descontinuando o suporte à estas versões.

Restrição de acesso

As chamadas a API de produção possuem bloqueio por IP de origem

O acesso a API no ambiente de produção é restrito por IP de origem, ou seja, para utilizar a API em produção você deverá enviar um e-mail para suporte@bluefleet.com.br e informar a lista de IPs que devem ser liberados para consumo da API.

Ativação de CORS

Por questões de segurança não é possível a ativação de CORS para utilização da API

Não ativamos CORS, pois caso a API seja consumida diretamente do browser do cliente (utilizando Javascript, SPA ou similares) o client_id e client_secret ficarão expostos nas chamadas, fragilizando assim a segurança da API.

Recomendamos que a API da Blue Fleet seja abstraída no backend da sua aplicação. Desta forma, seu client_id e client_secret estarão protegidos e as chamadas a API da Blue Fleet serão realizadas a partir de IP's conhecidos.

Last updated