[Orientação pública de segurança]

Documentação de Segurança

Orientação pública de segurança para integradores externos. Esta página foca divulgação, gestão segura de secrets, validação JWT e a fronteira pública do acesso revisto.

Práticas seguras de integração

Protege as credenciais do cliente

Guarda client secrets e service tokens no teu próprio secret manager e roda-os de forma deliberada.

Valida os JWT emitidos

Valida os tokens emitidos pela Knogin contra os endpoints JWKS públicos em vez de assumires detalhes privados de assinatura.

Trata o acesso revisto como uma fronteira separada

Não infiras rotas não publicadas, detalhes de schema ou workflows partner-only a partir da documentação pública.

Divulgação responsável

Se acreditas ter encontrado uma vulnerabilidade que afete o site público ou a superfície de integração documentada, reporta-a em privado.

1Envia uma descrição clara do problema, da superfície afetada e do impacto observado.
2Inclui passos de reprodução seguros e timestamps quando possível.
3Não tentes privilege escalation, persistência ou acesso a dados de clientes.
4Dá tempo para triagem, remediação e follow-up coordenado.

Contacto de segurança

Usa esta caixa apenas para divulgação de vulnerabilidades e assuntos de security reporting.

security@knogin.com

Se precisares de acesso de integração ou de uma buyer review, usa o guia de integração ou o formulário de contacto.

Precisas do percurso de integração revisto?

Usa o guia de integração para workflows revistos e a referência API pública para o contrato externo aprovado.