👥 Permissões & Roles
A FastGivr Money utiliza um modelo avançado de Controle de Acesso Baseado em Perfis (RBAC - Role-Based Access Control). Isso garante que colaboradores, parceiros e chaves de API possuam apenas o nível mínimo de acesso necessário para desempenhar suas funções com total segurança.
🎭 Perfis de Acesso Disponíveis (Roles)
Ao convidar colaboradores para sua equipe no portal administrativo, você deve atribuir um dos quatro perfis padrão de acesso:
| Perfil (Role) | Escopo de Ação | Acesso à API | Descrição |
|---|---|---|---|
| Administrador (Owner) | 🟢 Total (Escrita/Leitura) | 🟢 Total | Acesso irrestrito a configurações de segurança, saques, convites de equipe e chaves de API secretas. |
| Financeiro (Finance) | 🟡 Parcial (Faturamento/Saque) | 🔴 Apenas Leitura | Permite solicitar saques, baixar relatórios e conciliar extratos. Não altera configurações de API ou equipe. |
| Suporte Operacional (Support) | 🟡 Parcial (Leitura/Reembolso) | 🔴 Bloqueado | Permite pesquisar transações, consultar status de boletos e realizar reembolsos de vendas. |
| Integrador (API Key / Developer) | 🟢 Apenas Ações de API | 🟢 Configurado por Chave | Acesso técnico a chaves de API e logs. Não visualiza relatórios contábeis gerais no painel. |
🔑 Lista de Permissões da API (API Scopes)
Quando você gera um Token JWT Bearer através da chamada /access/account/get-token, o token herda os escopos específicos de permissão atribuídos àquela credencial secreta. Abaixo está o catálogo completo de permissões disponíveis:
Módulo de Cobranças (QuickPay Charges)
charges.index: Permite listar e buscar cobranças (Pix, Boleto, Cartão).charges.show: Permite detalhar uma cobrança específica pelo seu ID único.charges.create: Permite emitir novas cobranças (gerar QR Codes Pix, linhas digitáveis de boleto e faturas de cartão).charges.refund: Permite solicitar o estorno/reembolso de cobranças confirmadas.
Módulo de Saques (Withdrawals)
withdrawals.index: Permite listar e auditar o histórico de saques realizados na conta.withdrawals.create: Permite disparar novas transferências de saldo disponível via chave Pix (altamente protegida).
Módulo de Links de Pagamento
payment_links.create: Permite criar novas URLs públicas de checkouts hospedados.payment_links.update: Permite inativar ou alterar configurações de links existentes.
Módulo de Relatórios e Auditoria (Ledger)
ledger.index: Permite listar e conciliar entradas e saídas de fundos na conta virtual.ledger.export: Permite gerar e fazer o download de relatórios em CSV e PDF de extratos consolidados.
🔒 Boas Práticas de Controle de Acesso
Para manter sua conta blindada contra fraudes ou acessos não autorizados:
- Princípio do Menor Privilégio: Conceda a perfil de Suporte apenas as permissões de leitura necessárias. Nunca compartilhe a senha de Administrador da empresa.
- Autenticação em Duas Etapas (2FA): Exija que todos os colaboradores com permissão de escrita/saque ativem o 2FA em suas contas no portal.
- Segregação de Chaves: Use chaves de API separadas para sistemas distintos. Se você possui um e-commerce e uma plataforma de suporte, gere credenciais diferentes no painel para facilitar auditorias de logs.