Proteja sua conta: senha, papéis e escopos de chave de API
Os controles de segurança que realmente importam: troque sua senha com verificação por OTP de e-mail, aplique papéis de privilégio mínimo, restrinja o escopo das chaves de API e suspenda ou remova membros.
- 1
O que você realmente pode controlar
Existem quatro controles reais: sua senha (verificada por OTP no e-mail), quem tem qual acesso (papéis), até onde as API keys alcançam (scopes), e cortar o acesso de um membro (suspender/remover). Definir as expectativas com honestidade desde já evita depender de controles que o app não tem.
- 2
Troque sua senha (Settings → Security)
Abra Change Password, clique em Send Verification Code, digite o código de 6 dígitos enviado por e-mail ao endereço da sua conta, depois defina uma nova senha (mínimo de 8 caracteres, confirmada). Sem código, não há troca.

- 3
Aplique papéis de privilégio mínimo
Atribua aos membros o papel mais restrito que ainda permita que façam o trabalho. Owners são protegidos — não podem ser suspensos ou removidos pelo menu de membro. Veja o tutorial de permission-groups-and-roles para a configuração completa de papéis.
- 4
Restrinja o escopo das API keys
Ao criar uma Developer API key, conceda apenas os scopes que ela precisa — por exemplo
contacts:readpara uma exportação somente leitura — em vez do scope de acesso total*. Veja o tutorial create-developer-api-keys para o passo a passo. - 5
Rotacione ou revogue chaves
O gerenciamento de API keys (exclusivo para admin/owner) permite revogar uma chave no momento em que ela é exposta. Prefira várias chaves restritas que você pode revogar individualmente a uma única chave com todos os poderes.
- 6
Suspenda ou remova um membro
Em Team, abra o menu de um membro e escolha Suspend (cortar acesso temporariamente, reversível via Unsuspend) ou Remove (revoga o acesso imediatamente; ele pode ser convidado novamente depois).
- 7
Um checklist rápido de hardening
Senha forte definida via OTP, todo membro com privilégio mínimo, API keys com escopo restrito em vez de
*, e suspender/remover qualquer pessoa que saia.
Dicas de especialista
Atalhos conquistados na prática que mantêm o aquecimento nos trilhos.
Uma API key por integração
Crie uma chave por integração com apenas os scopes que ela precisa — quando uma vazar, você revoga só essa chave sem quebrar as outras.
Evite chaves de acesso total para tarefas somente leitura
Nunca entregue uma API key * (acesso total) para uma tarefa somente leitura; contacts:read ou campaigns:read geralmente é tudo que um script precisa.
Suspenda antes de remover
Se estiver em dúvida, suspenda primeiro — é instantaneamente reversível. A remoção significa reconvidar a pessoa depois.
Proteja o e-mail da sua conta
A troca de senha exige um código enviado ao e-mail da sua conta — mantenha acesso a essa caixa de entrada, ou você não conseguirá rotacionar sua senha.
Perguntas frequentes
O FirstSales oferece 2FA / MFA?
Não no momento. Seus controles de conta são: troca de senha verificada por OTP no e-mail, papéis de privilégio mínimo, API keys com escopo restrito, e suspensão/remoção de membros. Use uma senha forte e única e papéis bem restritos.
Como troco minha senha?
Settings → Security → Change Password → receba um código de 6 dígitos por e-mail → verifique → defina uma nova senha (mínimo de 8 caracteres).
Posso deslogar outros dispositivos ou ver sessões ativas?
Não há hoje uma tela de gerenciamento de sessões. Para cortar o acesso de uma pessoa, suspenda ou remova ela da equipe.
Como limito o que uma API key pode fazer?
Escolha scopes específicos ao criá-la (leitura/escrita por recurso). Evite o scope de acesso total * a menos que realmente precise. O gerenciamento de chaves é exclusivo para admin/owner.
Qual a diferença entre suspender e remover um membro?
Suspender bloqueia o acesso temporariamente e é reversível (Unsuspend). Remover revoga o acesso imediatamente; a pessoa pode ser reconvidada depois.
Um admin comum pode excluir o owner?
Não — o owner é protegido; o menu de suspender/remover não aparece para owners (nem para você mesmo).
Pronto para colocar isso em prática?
Comece seu teste do FirstSales e lance uma caixa de e-mail aquecida e autenticada em minutos.
Comece por $1