> ## Documentation Index
> Fetch the complete documentation index at: https://docs.atriby.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Segurança

> Práticas de segurança para tokens, Authorization, PII, webhooks e payloads de auditoria.

Esta página resume o que integradores devem observar ao operar a Atriby com segurança.

## Tokens e Authorization

* Use `Authorization: Bearer <api_token>` apenas no backend.
* Tokens novos usam `atb_live_*`; tokens legados `utmk_live_*` continuam compatíveis enquanto existirem.
* O valor completo do token aparece somente na criação.
* Nunca exponha token no script de UTMs, no HTML, em apps mobile públicos ou no console do navegador.
* Nunca logue o header `Authorization` ou o token completo.

## PII em pedidos

A Atriby aceita alguns dados de cliente no pedido, mas eles devem ser usados com cuidado. A sanitização remove campos sensíveis conhecidos em payloads de auditoria e webhook:

* `customer.email`
* `customer.phone`
* `customer.document`
* `customer.ip`
* headers de autorização
* token completo

Não envie PII em campos livres como `metadata` ou `trackingExtras`. A sanitização é por chaves conhecidas e não deve ser tratada como substituta de uma política de dados.

## Webhook secrets

Ao criar um webhook, o segredo `whsec_...` aparece somente uma vez. Salve em um cofre e use para validar o header `x-atriby-signature`.

A assinatura é:

```text theme={null}
sha256=<HMAC_SHA256(secret, timestamp + "." + rawBody)>
```

Recomendações:

* Compare assinatura com método timing-safe.
* Rejeite timestamps muito antigos.
* Use `x-atriby-delivery` para deduplicar retries.
* Mantenha HTTPS no endpoint consumidor.

## OrderEvent.payload

Criação e atualização de pedidos geram eventos internos. O payload é sanitizado antes de ser gravado e sanitizado novamente antes de aparecer em respostas de consulta por pedido.

Mesmo assim, envie apenas dados necessários para atribuição, reconciliação e auditoria operacional.

## Headers de segurança do app

O app aplica headers como HSTS, `X-Frame-Options=DENY`, `X-Content-Type-Options=nosniff`, `Referrer-Policy=strict-origin-when-cross-origin` e CSP em modo report-only.

## Responsabilidade do integrador

* Proteja o token como segredo de produção.
* Use idempotência em retries.
* Não misture dados reais e testes sem `isTest`.
* Não envie PII fora dos campos previstos.
* Valide webhooks antes de processar eventos.
