Para obter sua Chave de API acesse a área de integrações em nossa interface web. Pelo aplicativo não tem a opção de gerar chave. Além disso, apenas usuários do tipo administrador, tem permissão para gerar a chave.

🚧

Atenção:

• Após a geração da chave de API em nossa interface, armazene-a diretamente em seu cofre de chaves, evitando que seja exposta em mensagens de qualquer tipo ou emails. Nunca deixe a chave de API diretamente no código fonte de seus sistemas.
• Não informe sua chave de API em atendimentos, a terceiros ou exponha no front-end da sua aplicação. Garanta que sua aplicação não exponha a chave em logs de sistema.
• Caso seu time de desenvolvimento utilize a chave de API de Produção nos ambientes de desenvolvimento ou homologação durante os testes finais da integração, é essencial renová-la antes da entrada em produção, garantindo que o menor número de pessoas possível tenha acesso a ela.
• Utilize pelo menos um dos mecanismos adicionais de segurança descritos aqui.
• A chave de API é irrecuperável, caso seja perdida, é necessário a geração de uma nova.

🔒

Gerenciando suas chaves de API

• Você pode criar até 10 chaves de API para uma conta Asaas.
• As chaves podem ser nomeadas, para facilitar a identificação.
• É possível definir uma data de expiração para cada chave.
• Você pode desabilitar/habilitar uma chave a qualquer momento, sem de fato inválida-la.
• Caso a chave seja excluída, não é possível restaura-la.

Armazenamento seguro para a Chave de API

A Chave de API do Asaas segue o modelo de chave “irrecuperável”, isto é, ela será exibida apenas uma vez quando criada. Sendo assim, você precisará copiá-la e salvá-la de modo seguro antes de sair da área de integrações.

• Nunca armazene chaves de API em texto claro dentro do código-fonte ou em arquivos de configuração acessíveis ao público.

• Utilize mecanismos de segurança, como variáveis de ambiente ou arquivos de configuração protegidos, para armazenar as chaves de API de forma segura.

• Utilize serviços de gerenciamento de segredos para armazenar e gerenciar as chaves de API de forma centralizada e segura, como AWS Secrets Manager, Google Cloud Secret Manager e Azure Key Vault, por exemplo.

Transmissão segura da sua Chave de API

• Utilize exclusivamente protocolos de comunicação seguros, como HTTPS, evitando métodos não criptografados, como HTTP.

Controle de acesso e rotação de chave

• O acesso à Chave de API deve ser concedido apenas a usuários ou sistemas autorizados que realmente necessitam de acesso aos recursos protegidos.
• Estabeleça um processo de monitoramento dos logs a fim de rastrear a origem e propósito das requisições, de modo a detectar atividades suspeitas ou uso indevido de sua Chave de API. Ferramentas como SIEM, Splunk, ELK Stack, AWS CloudWatch ou Azure Monitor podem auxiliar no processo.
• Estabeleça uma política de rotação regular das chaves de API para reduzir o impacto em caso de comprometimento ou vazamento.
• O armazenamento e segurança da chave apikey é de inteira responsabilidade do cliente, visto que o Asaas não detém dessa informação armazenada em nenhum local de nosso banco.

Ciclo de vida automático de chaves de API

Para fortalecer a segurança da plataforma e dos nossos clientes, o Asaas implementa um ciclo de vida automatizado para chaves de API. Chaves que permanecem inativas por longos períodos representam um risco de segurança e serão gerenciadas conforme as regras abaixo.

Este processo se aplica tanto a contas-pais quanto a subcontas

Regras de Inatividade

Após 3 meses de inatividade: A chave de API será desabilitada automaticamente.

• O que acontece? A chave para de funcionar, e qualquer requisição feita com ela retornará um erro 401
• Como resolver? Você pode reabilitar a chave a qualquer momento no seu painel Asaas, na seção "Integrações > Chaves de API".
• Notificações: Você será notificado por e-mail e pelo webhook ACCESS_TOKEN_DISABLED.

Após 6 meses de inatividade: A chave de API será permanentemente expirada.

• O que acontece? A chave é invalidada de forma definitiva e não pode ser reativada.
• Como resolver? Caso precise continuar a integração, você deverá gerar uma nova chave de API em seu painel.
• Notificações: Você será notificado por e-mail e pelo webhook ACCESS_TOKEN_EXPIRED.

🚧

Exceção para operações White Label

Em subcontas de operações White Label, a etapa de desativação (3 meses) não ocorrerá para não impactar a integração da conta-pai. No entanto, a regra de expiração (6 meses) continua válida.

Para estas contas, também não serão disparados os e-mails de alerta, apenas os Webhooks. Portanto, é fundamental que a conta-pai monitore o evento ACCESS_TOKEN_EXPIRED que deve ser configurado em suas subcontas.

Recuperação de chaves para Subcontas

Caso as chaves de suas subcontas sejam expiradas permanentemente devido à inatividade, você pode gerar novas chaves através da nossa API, garantindo a continuidade da operação sem acesso manual.

Consulte o guia: Gerenciamento de chaves de API de subcontas

Notificações de proximidade da expiração

Para garantir que você tenha tempo de agir antes que uma chave importante expire, enviaremos alertas nos seguintes momentos:

• 4 meses de inatividade: E-mail de aviso + Webhook [ACCESS_TOKEN_EXPIRING_SOON].
• 5 meses de inatividade: E-mail de aviso + Webhook [ACCESS_TOKEN_EXPIRING_SOON].
• 1 semana antes da expiração (5 meses e 3 semanas): E-mail de aviso + Webhook [ACCESS_TOKEN_EXPIRING_SOON].

Monitorando o ciclo de vida via webhooks

Você pode monitorar todas essas ações de forma automatizada configurando os novos eventos de webhook. Para mais detalhes sobre os payloads e como configurá-los, acesse nosso guia de Eventos de Webhook para Chaves de API.

Gerenciamento de chaves de subcontas via API

A conta-pai tem autonomia para gerenciar o ciclo de vida das chaves de API das suas subcontas. Com os novos endpoints, você pode criar, listar, atualizar e revogar chaves, garantindo a continuidade da sua operação sem depender do suporte.

Para mais detalhes, confira nosso guia sobre Gerenciamento das chaves de API de subcontas.