Atualização de Segurança nas APIs de Gestão de Scripts

❗️

📢 Atualização de Segurança na API Pública

Com o compromisso contínuo de garantir a máxima segurança das operações e proteger o ecossistema contra possíveis ataques malware (como a injeção de scripts maliciosos e clonagem de cartões), foi implementada uma mudança vital nas regras de criação e edição de scripts via API.

A partir do dia 27/05/202, os endpoints do nosso Gestor de Scripts passarão a operar sob o princípio do privilégio mínimo. Isso significa que todo script entrará no ar após validação prévia via painel administrativo.

🛠️ O que muda na prática?

Para os endpoints abaixo, as tags de ativação e publicação passarão a ter valor false por padrão:

• POST/gestorscripts/scripts: ativo e publicado virão por padrão como false.
• PUT/gestorscripts/scripts/scriptId: ativo e publicado virão por padrão como false.
• POST/gestorscripts/scripts/scriptId/versoes: publicado virá por padrão como false.

🔐 Nova Regra de Validação

Apenas requisições autenticadas e originadas diretamente do painel administrativo (Admin) terão permissão para alterar os campos de ativação (ativo: true) e publicação (publicado: true).

Caso sua integração tente enviar ou atualizar um script forçando o status como ativo/publicado diretamente pela API Pública, a requisição será recusada e retornará o seguinte aviso:

⚠️

"Por motivos de segurança, não é permitido ativar ou publicar scripts diretamente via API Pública. Siga com a validação dos scripts no painel administrativo."

🚀 O que é preciso fazer?

1. Revisar suas integrações: Certifique-se de que o fluxo da sua aplicação esteja preparado para criar os scripts em modo "rascunho" (publicado: false).

2. Fluxo de Aprovação: A ativação final do script deverá ser feita manualmente por um usuário autorizado diretamente dentro do nosso painel Admin.

3. Consulte a Documentação: Detalhes técnicos e exemplos de payloads atualizados estão disponíveis em nossa documentação.