VTEX dispone de varias API para que los clientes y partners puedan desarrollar integraciones altamente personalizables con la plataforma. Las claves de API se utilizan para proporcionar acceso seguro a los datos consumidos por las integraciones, sin exponer la cuenta a usuarios o aplicaciones no autorizados.

Este tipo de credencial se utiliza para la autenticación de la identidad a través de la API.

El manejo inadecuado de las claves de API puede generar fugas y, en consecuencia, situaciones de acceso indebido. A continuación, puedes ver las buenas prácticas que recomendamos para la gestión de estas credenciales que puedes implementar para aumentar la seguridad de tu tienda.

Es aconsejable que desactives las claves antiguas y crees claves nuevas a lo largo del tiempo. De esta forma te aseguras de que tus claves de API tengan una duración determinada.

Esta práctica se asemeja a la definición de una política de contraseñas con ajustes para los cambios periódicos de contraseñas.

Revisa las claves de API existentes periódicamente. Comprueba que las integraciones relativas a cada clave están activas y si siguen siendo necesarias. Un proceso proactivo de revisión de accesos permite que cada usuario o integración acceda solo a los recursos que realmente necesita, lo que disminuye las posibilidades de que se produzca cualquier tipo de acceso indebido.

Si la recomendación anterior es similar a la definición de cambios de contraseña periódicos, esta recomendación puede compararse con el proceso de revisión de acceso con periodicidad definida.

Restringe el acceso de cada clave a los recursos y a la información según su respectiva función y necesidad. Al reducir la cantidad de información compartida entre los usuarios o las integraciones, se reduce el riesgo de fuga por amenazas internas.

Ten en cuenta que la gestión de permisos para las claves de API se realiza mediante los roles de acceso y los recursos de License Manager.

Las campañas de concienciación sobre la seguridad de la información son una práctica sostenible y eficaz para educar y cambiar la relación de las personas con la tecnología. Incluye la importancia de la gestión responsable del acceso en la agenda de capacitación y comunicación, así como el valor de las credenciales de cada miembro de la empresa.

Ten en cuenta que parte del código que compone tu tienda, se ejecuta en el cliente, es decir, en el navegador del usuario. Por lo tanto, es normal que esta parte del código esté expuesta a personas ajenas a tu operación.

Luego, es esencial instruir a tu equipo de desarrollo para que no utilice este código al realizar integraciones, ya que este uso suele incluir en el código las claves de API.

Protege los pares de claves y tokens de API con el mismo nivel de confidencialidad que aplicas a las credenciales de inicio de sesión, como nombres de usuario y contraseñas. Para reducir el riesgo, evita compartirlos a través de emails, tickets, chats u otros canales de comunicación.