Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Проверка контрагентов
Управление HR‑процессами
Коммуникации
Обучение
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Утечка API-ключа может привести к тому, что злоумышленники получат к нему доступ. В результате лимит проверок будет израсходован, и вы можете потерять доступ к сервису. Чтобы избежать этого, соблюдайте правила безопасности.
Правила безопасного использования ключей API Фокуса и API Комплаенс
Не передавайте полный ключ, используйте только префикс.
При передаче информации о ключе, в том числе менеджеру или в клиентскую поддержку, используйте только префикс ключа — первые 20 символов. Это позволит идентифицировать ключ, сохраняя его в безопасности.
Пример
Полный ключ (никогда не передавайте): 1234567890abcdef1234567890abcdef12345670 Префикс ключа, который можно передавать: 1234567890abcdef1234
Если требуется передача полного ключа, например, коллегам, используйте специализированные хранилища: HashiCorp Vault, AWS Secrets Manager, Doppler или другие программы, которые позволяют безопасно хранить ключи с возможностью передачи.
Удаляйте API-ключ из ссылок
Всегда удаляйте ключ из URL перед тем, как поделиться им с кем-либо:
- Следите, чтобы случайно не скопировать его из адресной строки браузера или из таких программ, как Postman;
- Не отправляйте ключ в письмах и мессенджерах, даже при обращении в техподдержку.
Используйте заголовки запросов
При обращении к методам API передавайте ключ как заголовок (HTTP Headers), а не как параметр запроса.
Пример
«key»: «1234567890abcdef1234567890abcdef12345670» — для API Фокуса
«X-KYC-APIKEY»: «1234567890abcdef1234567890abcdef12345670» — для API Комплаенс
Почему это безопаснее:
- URL с query-параметрами часто логируются браузерами, прокси-серверами, серверами и другими промежуточными компонентами, сохраняются в истории браузера;
- Заголовки не регистрируются так широко.
Добавьте второй фактор аутентификации для ключа API Фокуса
- Сделайте привязку к IP-адресу
Обратитесь в клиентскую поддержку с просьбой привязать к вашему ключу указанные IP-адреса или диапазон IP-адресов. Любые запросы, поступившие с других IP-адресов, будут автоматически блокироваться. - Используйте цифровой сертификат для подписи запросов
Если у вас динамические IP-адреса, рекомендуем использовать для каждого запроса электронную подпись:
- Сгенерируйте пару криптографических ключей (открытый и закрытый);
- Предоставьте открытый ключ в клиентскую поддержку для привязки к API-ключу;
- Настройте интеграцию, чтобы каждый ваш запрос к API Фокуса содержал параметр &sign=<подпись>, где <подпись> — строка, сгенерированная с помощью вашего закрытого ключа.
Что делать, если ключ API Фокуса и API Комплаенс скомпрометирован
- Обратитесь в клиентскую поддержку Фокуса focus-api@kontur.ru или Комплаенса prism-help@skbkontur.ru для получения нового ключа.
- После получения нового ключа замените старый ключ во всех системах, куда интегрирован API Фокуса или API Комплаенс.
Обратите внимание, что при перевыпуске ключа важно заменить его во всех системах: использование старого ключа может привести к сбою бизнес-процессов. - Когда вы убедитесь, что ключ везде заменен, снова обратитесь в поддержку для удаления старого ключа и подключения второго фактора аутентификации для нового API-ключа.
Соблюдение этих правил защитит ваш API-ключ от несанкционированного доступа и финансовых потерь.
