Segurança

Práticas de seguranças na Woovi!

Por Gilberto Filho and 2 outros

• 9 artigos

Auditoria

A auditoria é um meio de identificar todas as ações realizadas na empresa. Todas as atividades do sistema são registradas e armazenadas, incluindo o endereço de IP, a localização de onde a ação foi executada (cidade, estado e país), a data e o horário, além do usuário responsável pela ação dentro da empresa. Para acessar, você precisa ter permissão de administrador e acessar a aba de Configurações da Empresa. Após isso, na parte superior da tela, a aba Auditoria ficará visível. Nesta aba, você poderá visualizar um histórico completo das ações realizadas dentro da sua empresa. Link para auditoria

Última atualização em Jan 13, 2026

Como garantir a segurança de sua conta OpenPix com os Gerenciadores de Senhas: Bitwarden, Google Passwords e 1Password

Como garantir a segurança de sua conta OpenPix com os Gerenciadores de Senhas: Bitwarden, Google Passwords e 1Password A segurança online se tornou uma preocupação crescente nos últimos anos, e uma das melhores práticas recomendadas é o uso de gerenciadores de senhas. Esses aplicativos ajudam a criar, armazenar e gerenciar senhas complexas, reduzindo o risco de senhas fracas ou reutilizadas. Nesse artigos, vamos apresentar três dos principais gerenciadores de senhas disponíveis: Bitwarden, Google Passwords e 1Password, explicando como utilizá-los efetivamente. Bitwarden O que é o Bitwarden? Bitwarden é um gerenciador de senhas de código aberto que permite armazenar senhas, notas seguras, informações de cartões de crédito e outros dados confidenciais de forma segura. Ele oferece suporte para várias plataformas, incluindo Windows, macOS, Linux, Android e iOS, além de extensões para navegadores como Chrome, Firefox e Safari. Além disso é possível utilizar o Bitwarden para gravar seu código de dupla autenticação (2FA) e gerar senhas fortes. Como Usar o Bitwarden 1. Criação da Conta: Visite o site do Bitwarden e crie uma conta fornecendo um e-mail e uma senha mestre forte. 2. Instalação: Baixe e instale o aplicativo Bitwarden em seus dispositivos e as extensões para os navegadores que você usa. 3. Armazenamento de Senhas: Adicione suas senhas manualmente ou importe-as de outro gerenciador de senhas ou navegador. 4. Gerador de Senhas: Use o gerador de senhas do Bitwarden para criar senhas fortes e únicas para cada conta. 5. Sincronização: A sincronização entre dispositivos é automática, garantindo que você tenha acesso às suas senhas onde quer que esteja. 6. Autenticação de Dois Fatores (2FA): Ative a 2FA para adicionar uma camada extra de segurança à sua conta Bitwarden. Vantagens - Código aberto e transparente. - Suporte para várias plataformas. - Planos gratuitos robustos e opções premium acessíveis. Google Passwords O que é o Google Passwords? Google Passwords é um gerenciador de senhas integrado ao navegador Google Chrome e ao sistema operacional Android. Ele armazena senhas em sua Conta Google, permitindo que sejam usadas em vários dispositivos sincronizados. Como Usar o Google Passwords 1. Utilização do Chrome: Certifique-se de que o seu navegador padrão é o Google Chrome e que você está logado na sua Conta Google. 2. Ativação: Certifique-se de que a sincronização de senhas está ativada na sua Conta Google. Isso pode ser feito acessando as configurações do Chrome ou do Android. 3. Armazenamento Automático: Sempre que você fizer login em um site, o Google Passwords oferecerá a opção de salvar a senha automaticamente. 4. Gerenciador de Senhas: Acesse passwords.google.com para ver, editar e excluir suas senhas salvas. 5. Gerador de Senhas: O Chrome pode sugerir senhas fortes quando você está criando uma nova conta online. 6. Autenticação de Dois Fatores (2FA): Ative a 2FA na sua Conta Google Gmail para maior segurança. Vantagens - Integração profunda com o ecossistema Google. - Armazenamento automático e sincronização sem esforço. - Gratuito e fácil de usar. 1Password O que é o 1Password? 1Password é um gerenciador de senhas premium que oferece uma vasta gama de funcionalidades, incluindo armazenamento seguro para senhas, notas, documentos e mais. Está disponível para Windows, macOS, Android, iOS e como extensão de navegador. Como Usar o 1Password 1. Criação da Conta: Inscreva-se no site do 1Password e escolha um plano de assinatura adequado às suas necessidades. 2. Instalação: Baixe e instale o aplicativo 1Password em todos os seus dispositivos e as extensões de navegador. 3. Armazenamento de Senhas: Adicione senhas manualmente, importe-as de outro gerenciador de senhas ou navegador, ou use o 1Password para capturar senhas automaticamente quando você fizer login em novos sites. 4. Gerador de Senhas: Utilize o gerador de senhas do 1Password para criar senhas fortes e exclusivas. 5. Sincronização: As senhas e outros dados são sincronizados através do 1Password, garantindo acesso universal. 6. Autenticação de Dois Fatores (2FA): Configure a 2FA para maior proteção da sua conta 1Password. Vantagens - Interface intuitiva e rica em recursos. - Sincronização perfeita entre dispositivos. - Excelente suporte ao cliente e segurança robusta. Considerações Finais Cada um desses gerenciadores de senhas tem suas vantagens únicas. O Bitwarden é excelente para quem busca uma solução de código aberto e altamente customizável. O Google Passwords é ideal para quem já está profundamente integrado ao ecossistema Google e busca simplicidade e conveniência. O 1Password é perfeito para usuários que querem um serviço premium com uma ampla gama de funcionalidades e suporte dedicado. Independentemente da escolha, usar um gerenciador de senhas é um passo essencial para melhorar a segurança online. Eles ajudam a manter suas contas protegidas contra ataques, facilitam o gerenciamento de senhas complexas e reduzem o risco de comprometer suas informações pessoais.

Última atualização em Jan 12, 2026

Segurança Woovi

Uso da Autentificação de 2 fatores A plataforma requer uso do two factor para ações mais críticas como alteração de dados do usuário, saques, alterações de senha, até mesmo login com email + senha em alguns casos. Caso não tenha, siga este passo a passo para adicionar a autentificação de 2 fatores. Limitação de Transações com PIX A plataforma possui controles sobre limites de transações com Pix, tanto Pix In quanto Pix Out, com diferenciação entre transações realizadas pela mesma titularidade ou titularidades diferentes. Além disso, a plataforma define limites por transação, limites totais diários, e noturnos. Circuit Breaker A plataforma já possui um circuit breaker implementado para bloquear fluxos críticos de pagamento, como Pix In, Pix Out e reembolsos. Auditoria Completa Todos os fluxos de ação dentro da plataforma, incluindo alterações de dados e transações, são auditados. A plataforma realiza a coleta de IP e geolocalização dos usuários, garantindo que todas as ações sejam registradas para eventuais revisões ou investigações. Conheca nossa AUDITORIA Rate Limits para API e Fluxos Críticos Limitações de taxa de requisição (rate limits) são aplicadas tanto para as APIs quanto para fluxos críticos como login e autenticação de dois fatores. Monitoramento de Sessões A plataforma monitora todas as sessões, com a configuração de alertas por e-mail para o caso de sessões desconhecidas ou tentativas de login de locais ou dispositivos não reconhecidos. Isso permite ação imediata contra acessos não autorizados. Rotação de API Key (appID) A plataforma permite a rotação de chaves de API diretamente pelo painel do usuário. Chaves de API são disponibilizadas apenas no momento da sua criação e podem ser alteradas a qualquer momento, garantindo maior segurança na comunicação do sistema. Além disso, é possível definir escopos específicos para cada applicationID, restringindo o acesso apenas às rotas que possuam o escopo correspondente. Essa abordagem garante maior controle de permissões e reforça a segurança, assegurando que cada aplicação acesse somente os recursos estritamente necessários. Restrição de Chamadas API por IP A plataforma tem a funcionalidade de adicionar endereços de IP para chamadas de API, caso o IP que fez a requisição não esteja no escopo cadastrado, a requisição é inválida. Autenticação PIX para Fallback Uma funcionalidade de segurança adicional está presente na plataforma, o Pix Authentication. O Pix Authentication é a forma de validarmos que um usuário é ele mesmo. Para isso geramos um Pix no valor de R$ 0,01 no CPF cadastrado na plataforma, e para termos certeza de que é o usuário, esse Pix só pode ser pago por um banco que esteja cadastrado no CPF do usuário. Anti-DDoS com Cloudflare Proteção contra ataques DDoS com o uso do Cloudflare, que oferece mitigação automática de tráfego malicioso, preservando a integridade e disponibilidade do sistema mesmo em casos de ataques distribuídos. Restrição de Saques por Titularidade CNPJ A plataforma tem a opção de restrição de saques para que sejam realizados exclusivamente pelo titular do CNPJ cadastrado, evitando que saques sejam feitos por terceiros não autorizados.

Última atualização em Jan 14, 2026

Adicionando IP a uma Aplicação

Na Woovi, tratamos a aplicação como uma forma de acesso à API. Uma das funcionalidades de segurança que oferecemos é a restrição por endereço IP vinculada à aplicação. Com essa configuração, apenas os endereços IP previamente cadastrados podem acessar a API utilizando aquela aplicação, o que torna a comunicação significativamente mais segura. Para adicionar IPs ao seu aplicativo, acesse os detalhes do aplicativo e clique na opção IPs permitidos, conforme ilustrado nas imagens abaixo. Após adicionar um IP, somente ele terá permissão para acessar a API por meio dessa aplicação.

Última atualização em Jan 15, 2026

Adicionado escopos no AppID

Agora, na Woovi, é possível adicionar escopos ao AppID. Com isso, você pode definir exatamente quais endpoints cada AppID está autorizado a acessar. Por exemplo: se você precisa de um AppID exclusivamente para gerar charges (cobranças), basta atribuir o escopo CHARGE_POST. Dessa forma, esse AppID terá permissão apenas para acessar esse endpoint específico, adicionando uma camada extra de segurança à sua operação. Cada escopo possui uma breve descrição explicando sua finalidade. Além disso, um AppID pode conter múltiplos escopos — inclusive todos, caso seja necessário. Criando uma nova integração com escopos Adicionando escopos a um AppID existente Lista de todos os escopos disponíveis ACCOUNT - ACCOUNT_GET — Obter uma conta - ACCOUNT_GET_LIST — Obter lista de contas - ACCOUNT_POST — Duplicar uma conta - ACCOUNT_DELETE — Encerrar uma conta - ACCOUNT_WITHDRAW_POST — Realizar saque de uma conta ACCOUNT_REGISTER - ACCOUNT_REGISTER_POST — Registrar uma nova conta - ACCOUNT_REGISTER_PATCH — Atualizar o cadastro de uma conta - ACCOUNT_REGISTER_GET — Consultar cadastro de conta pelo CPF/CNPJ - ACCOUNT_REGISTER_DELETE — Excluir cadastro de conta - ACCOUNT_REGISTER_UNLOCKED_POST — Registrar uma nova conta (modo desbloqueado) APPLICATION - APPLICATION_POST — Criar uma nova aplicação - APPLICATION_DELETE — Excluir uma aplicação AUTH - TOKEN_VALIDATE_GET — Validar um token de API CASHBACK_FIDELITY - CASHBACK_FIDELITY_BALANCE_GET — Consultar saldo de cashback disponível por CPF/CNPJ - CASHBACK_FIDELITY_POST — Criar ou consultar cashback de um cliente CHARGE - CHARGE_GET — Consultar uma cobrança - CHARGE_GET_LIST — Consultar lista de cobranças - CHARGE_POST — Criar uma nova cobrança - CHARGE_PATCH — Editar data de expiração da cobrança - CHARGE_DELETE — Excluir uma cobrança - CHARGE_BRCODE_IMAGE_GET — Obter imagem do QR Code da cobrança em base64 - CHARGE_IMAGE_GET — Obter imagem do QR Code da cobrança CHARGE_REFUND - CHARGE_REFUND_GET_LIST — Consultar estornos de uma cobrança - CHARGE_REFUND_POST — Criar estorno para uma cobrança COMPANY - COMPANY_GET — Consultar dados da empresa CUSTOMER - CUSTOMER_GET — Consultar um cliente - CUSTOMER_GET_LIST — Consultar lista de clientes - CUSTOMER_POST — Criar um novo cliente - CUSTOMER_PATCH — Atualizar dados de um cliente DECODE - DECODE_EMV_POST — Decodificar QR Code EMV (PIX) e resolver cobranças COB/REC DISPUTE - DISPUTE_POST — Enviar nova evidência de contestação - DISPUTE_GET — Consultar uma contestação - DISPUTE_GET_LIST — Consultar lista de contestações GIFTBACK - GIFTBACK_BALANCE_GET — Consultar saldo de giftback por CPF/CNPJ PARTNER - PARTNER_COMPANY_POST — Criar pré-cadastro de empresa com referência de parceiro - PARTNER_COMPANY_GET — Consultar pré-cadastro específico por CPF/CNPJ - PARTNER_COMPANY_GET_LIST — Consultar todos os pré-cadastros gerenciados - PARTNER_APPLICATION_POST — Criar aplicação para empresa pré-cadastrada PAYMENT - PAYMENT_GET — Consultar um pagamento - PAYMENT_GET_LIST — Consultar lista de pagamentos - PAYMENT_POST — Criar solicitação de pagamento - PAYMENT_APPROVE_POST — Aprovar solicitação de pagamento PIX_QRCODE - PIX_QRCODE_GET — Consultar um QR Code Pix - PIX_QRCODE_GET_LIST — Consultar lista de QR Codes Pix - PIX_QRCODE_POST — Criar um QR Code Pix - PIX_QRCODE_DELETE — Excluir um QR Code Pix PSP - PSP_GET_LIST — Consultar lista de PSPs (Provedores de Serviço de Pagamento) REFUND - REFUND_GET — Consultar um estorno - REFUND_GET_LIST — Consultar lista de estornos - REFUND_POST — Criar um estorno STATEMENT - STATEMENT_GET — Consultar extrato da empresa SUBACCOUNT - SUBACCOUNT_GET — Consultar detalhes de uma subconta - SUBACCOUNT_GET_LIST — Consultar lista de subcontas - SUBACCOUNT_POST — Criar uma subconta - SUBACCOUNT_WITHDRAW_POST — Realizar saque de uma subconta - SUBACCOUNT_TRANSFER_POST — Transferir entre subcontas - SUBACCOUNT_DELETE — Excluir uma subconta - SUBACCOUNT_DEBIT_POST — Debitar valor da subconta para a conta principal SUBSCRIPTION - SUBSCRIPTION_GET — Consultar uma assinatura - SUBSCRIPTION_GET_LIST — Consultar lista de assinaturas - SUBSCRIPTION_POST — Criar uma nova assinatura - SUBSCRIPTION_VALUE_PUT — Atualizar valor das próximas parcelas da assinatura - SUBSCRIPTION_CANCEL_PUT — Cancelar uma assinatura - SUBSCRIPTION_INSTALLMENT_GET_LIST — Consultar parcelas da assinatura - SUBSCRIPTION_INSTALLMENT_GET — Consultar uma parcela - SUBSCRIPTION_INSTALLMENT_COBR_POST — Cobrar uma parcela - SUBSCRIPTION_INSTALLMENT_COBR_RETRY_POST — Reprocessar cobrança de parcela TRANSACTION - TRANSACTION_GET — Consultar uma transação - TRANSACTION_GET_LIST — Consultar lista de transações TRANSFER - TRANSFER_POST — Transferir entre contas da empresa WEBHOOK - WEBHOOK_GET — Consultar um webhook - WEBHOOK_GET_LIST — Consultar lista de webhooks - WEBHOOK_POST — Criar um webhook - WEBHOOK_DELETE — Excluir um webhook - WEBHOOK_IPS_GET — Consultar lista de IPs de webhook - WEBHOOK_EVENTS_GET_LIST — Consultar eventos de webhook - WEBHOOK_TOGGLE_ACTIVATION_GET — Ativar ou desativar webhook

Última atualização em Jan 26, 2026

Adicionando IPs a minha empresa

Uma funcionalidade muito interessante e segura é o uso de restrição por IP para acessar a API — algo que a Woovi já oferece. No entanto, pode ser trabalhoso precisar configurar os IPs sempre que um novo AppID é criado. Agora isso ficou mais simples: é possível definir IPs no nível da empresa. Dessa forma, todos os AppIDs vinculados a ela ficam automaticamente protegidos, garantindo mais segurança e menos esforço na configuração. Configurando os IPs na empresa Na página de API/Plugins, agora é possível definir os IPs permitidos para a empresa. Ao acessar, a configuração é bem simples. Vale lembrar que os IPs definidos nesse nível serão válidos para todos os AppIDs da empresa. Caso necessário, ainda é possível adicionar IPs específicos por aplicação, de forma individual.

Última atualização em Jan 29, 2026

Painel de Segurança

Na Woovi, a segurança é um fator primordial. Pensando nisso, criamos uma página dedicada aos administradores para facilitar a identificação dos pontos que precisam ser aprimorados e, assim, fortalecer a segurança da sua empresa. No menu lateral esquerdo, você encontrará a nova aba “Segurança”, que reúne diferentes visões importantes: 1. Usuários sem autenticação em duas etapas A primeira página exibe todos os usuários da empresa que ainda não possuem a autenticação em duas etapas (2FA) ativada. Essa funcionalidade é essencial para aumentar a proteção das contas e reduzir riscos de acesso indevido. 2. Application IDs desatualizados Na segunda página, são listados todos os Application IDs que não são atualizados há mais de 90 dias. Manter a rotação dos App IDs em dia é extremamente importante para garantir a segurança das integrações e evitar possíveis vulnerabilidades. 3. Restrição de acesso por IP A terceira página permite configurar uma lista de IPs autorizados a acessar a API por meio da company. Dessa forma, apenas endereços IP previamente definidos poderão realizar chamadas à API, aumentando ainda mais o controle de acesso. Para entender melhor essa funcionalidade, consulte este artigo com mais detalhes: Adicionando IPs a minha empresa Com essas informações centralizadas, você tem visibilidade contínua dos pontos de atenção e consegue agir rapidamente para manter sua empresa sempre protegida

Última atualização em Feb 04, 2026

Autenticação de múltiplos fatores em empresas

Agora é possível forçar o uso da autenticação de múltiplos fatores (MFA) ao realizar login em uma empresa. Essa funcionalidade adiciona uma camada extra de segurança, ajudando a proteger o acesso e a operação da sua empresa. Como funciona? A autenticação de múltiplos fatores já estava disponível para as contas Woovi. Com essa nova funcionalidade, quando ela estiver ativa em uma empresa, qualquer usuário que acessar essa empresa precisará realizar a autenticação de múltiplos fatores ao menos uma vez. Após a autenticação ser concluída com sucesso, ela será válida por toda a sessão do usuário, não sendo necessário repetir o processo enquanto a sessão permanecer ativa. Em resumo: - A empresa ativa a exigência de MFA - O usuário acessa a empresa - Caso ainda não tenha feito MFA naquela sessão, o fluxo será exigido - A sessão passa a ser considerada segura Como ativar a autenticação de múltiplos fatores na empresa Para ativar essa funcionalidade: 1. Acesse a página de Segurança da empresa (essa página só pode ser visualizada por um administrador da empresa) 2. Vá até a seção de Ajustes 3. Ative a opção de exigir autenticação de dois fatores para todos os usuários 4. Salve as alterações Ou, se preferir, clique aqui para ser redirecionado. O que acontece após a ativação? Depois que a configuração for salva, sempre que um usuário tentar acessar a empresa sem ter realizado o fluxo de autenticação de múltiplos fatores naquela sessão, o processo de MFA será exigido automaticamente. O fluxo de autenticação será exibido conforme demonstrado na imagem abaixo:

Última atualização em Feb 09, 2026

Pix Authentication

O Pix Authentication é um sistema de segurança disponível na Woovi que facilita a alteração de dados pessoais, como e-mail, número de telefone, informações de segurança e TOTP (Authenticator). Ele funciona como uma alternativa segura para atualização desses dados, especialmente em casos de perda de dispositivo móvel ou perda de acesso ao código de autenticação em dois fatores. O Pix Authentication está disponível para: - Alterar número de celular - Alterar e-mail - Ativar ou desativar a autenticação multifactor Como o Pix Authentication funciona? É gerada uma cobrança Pix no valor de R$ 0,01, emitida em nome da Woovi. Esse valor é posteriormente reembolsado. Para validar que a pessoa que está realizando a solicitação é realmente a titular da conta, o pagamento deve ser feito por uma conta bancária com a mesma titularidade da conta cadastrada na Woovi. Exemplo: alterando o número de telefone Após a realização do pagamento, e com a confirmação de que a transação foi concluída com sucesso, conforme explicado acima, será exibido um botão para continuar. Ao clicar nesse botão, você poderá atualizar suas informações normalmente.

Última atualização em Feb 13, 2026