Passar para o conteúdo principal

Protegendo os dados que você envia via Messenger

Garantindo que você permita apenas atualizações de dados confiáveis através do seu Messenger com JWTs e atributos protegidos

Escrito por Penny Gray

Intercom ajuda você a entender e apoiar seus clientes permitindo enviar e atualizar dados dos users — como nomes, endereços de email, níveis de assinatura e mais — em tempo real. Esses dados são cruciais para alimentar automações, suporte personalizado e contexto para a equipe.

Para garantir que essas informações permaneçam confiáveis e seguras, o Intercom oferece controles que verificam a origem das atualizações de dados — usando JSON Web Tokens (JWTs) — e configurações opcionais para bloquear atualizações não assinadas.

Os riscos de dados inseguros

Se um atributo de dado não estiver protegido

  • Users mal-intencionados poderiam falsificar ou adulterar os dados enviados para o Intercom

  • Seu workspace pode refletir informações de user imprecisas ou manipuladas.

  • Workflows críticos (como mensagens direcionadas ou automações de suporte) podem ser acionados com base em entradas não confiáveis.

Assinando seus atributos de dados com JWTs

Para evitar adulterações, o Intercom suporta JSON Web Tokens (JWTs). JWTs permitem que você assine os dados do user que está enviando para o Intercom, provando que vieram do seu backend e não do navegador do user.

Isso se aplica a:

  • Atributos padrão como nome, email, data de inscrição, etc.

  • Atributos personalizados que você define para rastrear detalhes adicionais do user.

Ao usar JWTs:

  • Você gera um token no seu backend com todos os atributos que deseja atualizar.

  • Você assina o token usando uma chave secreta.

  • Você envia o JWT para o Intercom junto com a sessão do user.


Veja mais aqui:

Aplicando atualizações de atributos assinadas

Por padrão, o Intercom aceita atualizações de atributos tanto de fontes assinadas quanto não assinadas (por exemplo, diretamente do navegador ou do seu backend). Para proteger totalmente seus dados, você deve ativar a configuração “Exigir atualizações verificadas” no Intercom.

Quando essa configuração está ativada, qualquer tentativa de definir ou atualizar atributos pelo Messenger é ignorada, a menos que venha de uma solicitação autenticada (como via JWT ou REST API). Isso garante que apenas fontes confiáveis e verificadas possam modificar os dados do user no Intercom.

Recomendamos que você ative essa opção para qualquer atributo que esteja enviando no seu JWT.

  1. Vá para Configurações > Dados > Pessoas

  2. Escolha o atributo que deseja proteger

  3. Ative a opção para “Exigir atualizações verificadas”

Essa opção de atualização de atributo não impede que você colete dados diretamente de leads com um bot. Esses dados vêm diretamente do user.

Importante: Esta é uma configuração para todo o workspace. Certifique-se de que seu backend esteja totalmente configurado para assinar todos os atributos necessários antes de ativar.

Melhores Práticas

  • Assine todas as atualizações importantes de dados dos users com JWTs, especialmente aquelas usadas para mensagens, segmentação ou lógica de negócios.

  • Proteja seus atributos em Configurações > Dados > Pessoas.

  • Nunca exponha seu segredo JWT em qualquer código front-end.

  • Adicione uma expiração (exp) ao token para limitar o impacto do reuso do token.

Perguntas Frequentes

O que são proteções de atributos?

Cada atributo que você envia sobre users ou empresas para o Intercom pode ser protegido com uma opção para exigir atualizações verificadas via canal Messenger. Se você proteger um atributo, apenas valores enviados via JWT seguro ou REST API podem atualizar esse valor. Isso previne atualizações não autorizadas nos dados do user, garantindo que apenas atualizações que venham de você sejam aplicadas aos dados do user.

Você pode verificar o status do seu atributo em Configurações > Dados > Pessoas. Para saber mais sobre como proteger seu Messenger com JWTs, veja nosso artigo de ajuda.

Isso também se aplica a atributos padrão?

Sim. Você deve proteger todos os atributos, padrão e personalizados, em Configurações > Dados > Pessoas.

O que acontece se meu front-end enviar dados sem JWT após a aplicação estar ativada?

Os dados são ignorados. O Intercom não aplicará atualizações a menos que o JWT esteja presente e válido.

Posso testar a aplicação do JWT antes de ativá-la em produção?

Sim. Use seu workspace de teste para verificar sua implementação.

Recursos relacionados

Artigos relacionados
Criar e rastrear atributos de dados personalizados (CDAs)
Editar e atualizar dados
O que é Verificação de Identidade? [Obsoleto]
Migrando da Verificação de Identidade para Segurança do Messenger com JWTs
Respondeu à sua pergunta?