Autenticação multifatorial (MFA)

Proteja seu login com um segundo fator. Além da senha, um código baseado em tempo de um aplicativo autenticador - por exemplo, Microsoft Authenticator, Google Authenticator ou 1Password - é solicitado toda vez que você faz login. A ativação ocorre em „Your Settings” → „Security”: digitalize o código QR, insira o código gerado e confirme com „Verify & Enable”.

Como proprietário da conta, você também pode tornar a MFA obrigatória para todos os usuários da conta. Isso garante que nenhum membro da equipe possa acessar o painel sem um segundo fator, independentemente de os próprios usuários individuais terem ativado a MFA.

Documentação: MFA · Aplicar MFA

Proteção contra sequestro de sessão por meio de reautenticação

Mesmo que uma sessão ativa seja comprometida, por exemplo, por meio do sequestro de cookies, a reautenticação impede que um invasor faça alterações críticas.

Esse recurso pode ser configurado em três níveis:

Ações protegidas - Você decide para quais ações é necessária uma nova confirmação, por exemplo: iniciar e pausar experimentos, alterações em variantes, arquivamento de experimentos, alterações na segmentação de página ou alterações na segmentação de público-alvo.

Janela de tempo - Você define por quanto tempo uma confirmação única permanece válida: desde uma consulta para cada ação individual até intervalos livremente selecionáveis, como 30 minutos ou várias horas.

Método de autenticação - Você decide se a senha, um segundo fator (MFA) ou os dois juntos são necessários para a confirmação.

Para a documentação: Proteção contra sequestro de sessão

Proteção de login do Captcha da Cloudflare

A área de login da Varify é protegida pelo Cloudflare Turnstile. A cada tentativa de login, uma verificação automática é realizada em segundo plano para bloquear bots e ataques automatizados (como ataques de força bruta ou de preenchimento de credenciais), sem que os usuários reais tenham que resolver um captcha clássico.

Sessões ativas

A visão geral „Active Sessions” (Sessões ativas) mostra todas as sessões ativas no momento em sua conta, incluindo dispositivo, navegador e local. Isso permite que você verifique a qualquer momento se há sessões desconhecidas ou não autorizadas ativas e encerre imediatamente as sessões suspeitas.

Para a documentação: Sessões ativas

Histórico de login

O histórico de login oferece uma visão geral completa de todos os logins na sua conta: quando qual usuário fez login, de qual dispositivo e local e se houve alguma anomalia ou tentativa de acesso não autorizado. Esse recurso garante transparência e permite que você reconheça rapidamente atividades incomuns.

Para a documentação: Histórico de login

Registro de atividades

O log de atividades registra todas as alterações feitas na sua conta - uma trilha de auditoria completa. Isso permite que você rastreie quem fez qual alteração e quando, a qualquer momento.

As seguintes atividades são rastreadas: Experimentos (criar, editar, excluir), alterações em variantes, segmentação de público-alvo, segmentação de navegador, segmentação de dispositivo, segmentação de geolocalização, segmentação de IP, segmentação de JavaScript, segmentação de página do seletor CSS, segmentação de armazenamento local, segmentação de armazenamento de sessão, segmentação de página de correspondência de URL, segmentação de parâmetro de consulta de URL, segmentação de página, segmentação de segmentos, gerenciamento de equipe e convites.

Para documentação: Registro de atividades

Funções e autorizações

A Varify usa um modelo de acesso baseado em função que restringe especificamente o acesso a funções e dados. Quais funções e se o gerenciamento de permissões está disponível dependem do plano Varify selecionado.

Proprietário da conta - Cada conta tem exatamente um proprietário. Esse proprietário tem acesso total a todas as funções, incluindo assinatura, métodos de pagamento, gerenciamento de equipe, chaves de API e configurações de segurança (aplicar MFA, configurar reautenticação). Somente o proprietário pode alterar ou finalizar a assinatura. O proprietário sempre tem direitos de administrador e pode ser alterado enviando uma solicitação ao Suporte da Varify.

Rodízios do sistema - Três funções padrão estão disponíveis a partir do plano Pro: Admin, Publisher e Editor. Elas podem ser usadas para controlar de forma granular quem está autorizado a iniciar experimentos, gerenciar membros da equipe ou alterar configurações. No plano Growth, apenas Account Owner e Publisher estão disponíveis.

Gerenciamento de permissões (Enterprise) - No Enterprise Plan, você também pode criar suas próprias funções com autorizações individuais por meio do Permission Management.

Agency Account - Há um nível de autorização adicional no modelo de agência. Os membros da equipe no nível da agência têm acesso a todos os domínios e clientes na conta da agência. Os membros da equipe no nível do cliente veem apenas o painel de seu cliente atribuído, sem acesso a outros clientes da agência.

Os membros da equipe são adicionados por convite por e-mail e podem ser removidos a qualquer momento. Se um funcionário sair, o acesso será bloqueado imediatamente.

Para a documentação: Gerenciamento de funções e permissões

Documentação: Conta da agência

Gerenciamento de chaves de API

As chaves de API podem ser criadas em Configurações da equipe para usar a API de experimentos. A criação é reservada para o proprietário da conta. Após a criação, são exibidas uma chave de cliente e uma chave secreta. O segredo do cliente só fica visível por um curto período de tempo após a criação e não pode mais ser visualizado depois - comparável a um token que é exibido uma vez.

Documentação: API de experimentos