Integrações e API

Segurança em integrações com o Contact Desk

Checklist de segurança para integrar API, widget, webhooks e sistemas externos sem expor dados sensíveis.

Exemplo visual do Contact Desk para Integrações e API

Resposta rápida

Integrações seguras reduzem o risco de vazamento de tokens, dados pessoais, anexos e informações internas. A regra principal é manter credenciais no servidor, usar permissões mínimas e registrar somente o necessário para auditoria.

Passo a passo

  1. Use HTTPS em todos os ambientes.
  2. Mantenha tokens fora do navegador.
  3. Configure permissões mínimas.
  4. Valide origem e payload.
  5. Monitore logs e revogue credenciais suspeitas.

O que nunca deve ser enviado ao front-end

Credenciais de integração devem ficar no backend. Mesmo usuários autenticados não precisam receber tokens técnicos, senhas SMTP, segredos de webhook ou chaves administrativas.

  • Token Bearer da API pública.
  • Senhas de e-mail, SMTP ou IMAP.
  • Segredos de webhook e chaves privadas.
  • Dados internos de banco, servidor ou infraestrutura.
  • IDs sensíveis que não sejam necessários para a ação do usuário.

Padrão recomendado

O sistema do cliente chama o próprio backend. O backend valida a requisição, aplica regra de negócio e então chama o Contact Desk com token guardado em variável de ambiente ou cofre de segredos.

  • Cliente ou navegador chama API do sistema integrador.
  • Backend do integrador valida usuário e payload.
  • Backend chama Contact Desk com token secreto.
  • Contact Desk responde ao backend.
  • Backend retorna ao cliente apenas o resultado necessário.

Cuidados de segurança

  • Crie um token por integração para facilitar revogação.
  • Rotacione tokens periodicamente e sempre após troca de fornecedor ou suspeita de vazamento.
  • Aplique rate limit no sistema integrador antes de chamar o Contact Desk.
  • Não use exemplos de documentação com credenciais reais.
  • Revise logs para garantir que headers Authorization e cookies estejam mascarados.

Boas práticas

  • Revise permissões antes de liberar recursos para novos usuários.
  • Teste mudanças em um fluxo controlado antes de aplicar em toda a operação.
  • Use nomes claros para filas, categorias, automações e respostas prontas.
  • Consulte logs e auditoria quando uma ação precisar de rastreabilidade.

Quando acionar o administrador?

Acione um administrador quando a configuração envolver credenciais, permissões, integrações, filas compartilhadas, políticas de SLA, automações globais ou dados sensíveis.

Continue lendo

Artigos relacionados

Integrações e API

Microsoft 365, Teams e Spincare no Contact Desk

Entenda como as integrações Microsoft 365, Teams e Spincare conectam atendimento, notificações e contexto operacional.

Abrir
Integrações e API

Como integrar Microsoft 365 ao Contact Desk

Guia operacional para planejar integração do Microsoft 365, Outlook e Teams com segurança no Contact Desk.

Abrir
Integrações e API

Como integrar Microsoft Teams?

Use Teams para avisos e colaboração integrada ao fluxo de atendimento.

Abrir
Integrações e API

Como usar a API pública do Contact Desk?

Entenda como a API pública pode integrar sistemas externos ao fluxo de tickets.

Abrir
Integrações e API

Documentação da API pública do Contact Desk

Guia completo e seguro para integrar sistemas externos ao Contact Desk usando a API pública.

Abrir