Skip to main content

Visão geral

Esta página consolida os mecanismos de segurança e privacidade da plataforma Vistum: autenticação por API Keys, limites de requisição, assinatura de webhooks de saída, proteção contra SSRF, idempotência e o tratamento de dados pessoais sob a LGPD. Base URL da API: https://crm.vistum.com.br

API Keys

A API é autenticada por API Keys no header Authorization (veja Autenticação).
ItemDetalhe
Formatovg_live_ seguido de 40 caracteres hexadecimais
Escopoleads:write (criar e atualizar contatos e cards)
CriaçãoDisponível a partir do plano Growth
Limite por plano0 (sem acesso) / 1 / 5 chaves, conforme o plano
ExibiçãoA chave é mostrada uma única vez na criação — não é recuperável
RevogaçãoPode ser revogada a qualquer momento em Configurações → Desenvolvedor → API Keys

Rotação e revogação

A chave não pode ser recuperada após a criação. Para rotacionar, gere uma nova chave, atualize a variável de ambiente da sua aplicação e revogue a chave antiga. Revogue imediatamente qualquer chave que suspeite estar comprometida.
Nunca exponha a chave em código frontend, repositórios públicos ou logs. Armazene sempre em variáveis de ambiente.

Rate limits

A API aplica dois níveis de limite, ambos controlados via Redis:
  • Por IP — limite pré-autenticação, antes de validar a chave, para mitigar força bruta
  • Por API Key — limite configurável por chave
Detalhes completos, headers de resposta e o comportamento do 429 Too Many Requests estão em Rate Limits.

Assinatura HMAC (webhooks outbound)

Todos os webhooks de saída (outbound) são assinados com HMAC-SHA256, permitindo que o seu sistema verifique que a requisição veio do Vistum e não foi adulterada. A assinatura chega no header:
X-Vistum-Signature: t=1746666000,v1=<hmac_sha256_hex>
A verificação usa o raw body da requisição e uma comparação timing-safe. O passo a passo, com exemplos em Node.js, Python e PHP, está em Verificação de Assinatura.
Inbound vs. outbound. Webhooks de saída (Vistum → seu sistema) são assinados via HMAC. Já o gatilho Webhook recebido de uma automação (seu sistema → Vistum) é protegido por um token único na URL — não há verificação HMAC no inbound. Trate a URL de entrada como um segredo.

Proteção SSRF (chamadas de saída)

Toda requisição HTTP que a plataforma faz para uma URL externa — o nó HTTP e a ação Enviar Webhook das automações — passa por proteção contra SSRF (Server-Side Request Forgery):
  • O host de destino é resolvido por DNS
  • Endereços de redes privadas e internas (localhost, faixas reservadas, IPs internos) são bloqueados
Isso impede que uma URL configurada seja usada para alcançar serviços internos da infraestrutura. A ação Enviar Webhook também tem timeout de 10 segundos e não faz retry — veja Enviar webhook por automação.

Idempotência

A criação de leads é idempotente por telefone (phone). Reenvios com o mesmo número não geram contatos duplicados — o lead existente é reaproveitado. Isso torna seguro o retry de chamadas de criação após falhas de rede ou 429/500.

Privacidade e LGPD

O Vistum trata dados pessoais em conformidade com a LGPD. Os principais controles:
ControleComo é aplicado
IPs mascaradosEndereços IP são mascarados nos logs
E-mails mascaradosE-mails são mascarados nos registros de auditoria
Criptografia de tokensTokens sensíveis são armazenados com criptografia AES-256-GCM
Sem dados de terceirosA plataforma não expõe dados de terceiros nas respostas e logs

Retenção e canal de contato

Registros de execução e auditoria são mantidos pelo período necessário à operação e às obrigações legais, com os dados pessoais mascarados conforme descrito acima. Para solicitações relacionadas a privacidade, dados pessoais ou segurança, use o canal oficial: vistumcrm@gmail.com.