search
Ctrlk
githubEditar

lock-openAcesso a Contas de Clientes

circle-info

Base legal: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), Arts. 6º, 37, 39, 46 e 48. Princípios de finalidade, necessidade, segurança, prevenção e responsabilização.

hashtag
Visão geral

Estamos implementando um novo sistema de controle de acesso a contas de clientes. O objetivo é aumentar a segurança, a transparência e o controle sobre quem acessa as contas dos seus clientes e por quanto tempo.

Este documento detalha todas as mudanças, como elas afetam o dia a dia da equipe do parceiro e o que é necessário para se preparar.

hashtag
O que muda?

hashtag
1. Níveis de permissão por usuário

Cada membro da sua equipe agora possui um nível de acesso a contas individual, configurável no painel de administração de usuários. São três níveis:

Nível
Descrição

Bloqueado

O usuário não pode acessar nenhuma conta de cliente. Este é o padrão para usuários com perfil Financeiro.

Mediante aprovação

O usuário pode acessar contas, mas precisa de autorização prévia de um responsável pela conta. Este é o padrão para novos usuários (exceto Financeiro).

Completo

O usuário pode acessar contas com ou sem aprovação. Apenas o administrador principal do parceiro recebe este nível por padrão.

O administrador principal do parceiro pode alterar o nível de acesso de qualquer membro da equipe a qualquer momento, na tela de edição do usuário, no campo "Acesso a contas".

circle-exclamation

Importante: Usuários com perfil Financeiro não podem acessar contas de clientes. O campo de permissão ficará bloqueado automaticamente.

hashtag
2. Fluxo de aprovação obrigatório

Para contas que já estão em produção, usuários com nível "Mediante aprovação" precisarão obrigatoriamente solicitar autorização antes de acessar a conta. O fluxo funciona assim:

Passo 1 — Selecionar o usuário Ao clicar para acessar uma conta, o sistema exibirá a lista de usuários da conta. Selecione com qual usuário deseja acessar.

Passo 2 — Solicitar autorização O sistema exibirá a lista de pessoas que podem aprovar o acesso. Essa lista inclui:

  • O próprio usuário da conta que você deseja acessar

  • O administrador principal da conta

  • Outros administradores da conta

Selecione uma ou mais pessoas para receber a solicitação e defina o tempo de acesso desejado (de 30 minutos a 15 dias).

Passo 3 — Aguardar aprovação Os aprovadores selecionados receberão uma notificação em tempo real dentro da plataforma, com os botões "Aprovar" e "Negar". Enquanto aguarda, você verá um indicador de status na tela.

Passo 4 — Acessar a conta Assim que um dos aprovadores autorizar, você receberá a confirmação e poderá clicar em "Acessar" para abrir a conta em uma nova janela. O acesso será válido pelo tempo que você definiu na solicitação.

circle-info

Se a solicitação não for respondida em 5 minutos, ela expirará automaticamente e você precisará enviar uma nova.

hashtag
2.1. Duração configurável do acesso

Ao solicitar acesso a uma conta, agora é possível definir por quanto tempo o acesso ficará ativo. As opções disponíveis são:

  • 30 minutos (padrão)

  • 1 hora

  • 3 horas

  • 8 horas

  • 1 dia

  • 3 dias

  • 7 dias

  • 15 dias

O tempo começa a contar a partir da aprovação. Ao final do período, o acesso é encerrado automaticamente e todos os tokens de sessão são invalidados.

hashtag
2.2. Reutilização de aprovações vigentes

Se você já possui uma aprovação ativa para acessar um determinado usuário em uma conta, não precisará solicitar novamente. O sistema identificará automaticamente as permissões vigentes e permitirá o acesso direto.

Na tela de seleção de usuários, aqueles para os quais você já tem uma aprovação ativa serão sinalizados com a mensagem "Permissão concedida até [data/hora]", junto com a opção de revogar essa permissão caso deseje.

Esta funcionalidade se aplica apenas a acessos que passaram pelo fluxo de aprovação. Acessos diretos (sem solicitação de aprovação) não geram permissões reutilizáveis.

hashtag
3. Revogação de acesso a qualquer momento

Os aprovadores podem revogar o acesso a qualquer momento, mesmo antes do prazo expirar. Ao aprovar uma solicitação, o botão da notificação muda para "Revogar acesso". Ao clicar:

  • Todas as sessões ativas do acesso são encerradas imediatamente

  • O usuário que estava acessando a conta será desconectado

  • O acesso não poderá ser reutilizado

O próprio solicitante também pode revogar suas permissões ativas diretamente na tela de seleção de usuários, através do link "Revogar" exibido ao lado da data de expiração.

hashtag
4. Registro completo de ações (Log de auditoria)

Todas as ações relacionadas ao acesso a contas são agora registradas em um log detalhado:

  • Quando a solicitação foi criada e por quem

  • Quando foi aprovada ou negada e por quem

  • Quando o acesso foi revogado e por quem

  • Quando a sessão expirou

Esse registro garante total rastreabilidade e permite auditar quem acessou qual conta, quando e por quanto tempo.

hashtag
5. Contas que ainda não estão em produção

Para contas que ainda estão em fase de configuração (status diferente de "Produção"), o acesso direto continua permitido sem necessidade de aprovação, independente do nível de permissão do usuário. Isso garante que a implantação e configuração de novas contas não seja impactada pelo novo fluxo.

hashtag
6. Acesso administrativo Helena

Para usuários da Helena, a lista de aprovadores para acesso ás contas também trará os usuários do parceiro. O usuário do parceiro poderá nos autorizar a acessar uma conta.

hashtag
7. Migração

Assim que as novas regras forem aplicadas, todos os usuários do parceiro passam a ter acesso apenas à acessar as contas solicitando permissão e o usuário principal do parceiro podem sempre acessar sem pedir permissão.

Atualizado