ajuda monday.com

Segurança e TI: Integração com Outlook

Publicado em 9 maio

NOVIDADES DO MÊS DE maio

> Usuários da monday.com podem contratar Consultoria com Parceiro Autorizado, entenda como funciona

Conectar e automatizar
4 min de leitura

 

Na monday.com, a segurança é uma prioridade. A equipe da monday.com quer garantir que você se sinta confiante ao construir seu fluxo de trabalho. Este artigo responderá perguntas sobre a segurança e a implementação de TI da Integração do Outlook.

 

O básico

Quem é o desenvolvedor da Integração do Outlook?

O desenvolvedor da Integração do Outlook é a monday.com.

 

A integração é entre a monday.com e a Microsoft. Em qual ambiente a integração é executada?
A integração é executada nos servidores da monday.com. Recebemos webhooks da Microsoft, realizamos a lógica do nosso lado e, em seguida, fazemos chamadas de API para buscar dados da Microsoft ou enviar e-mails ou realizar uma ação na monday.com, como criar um item ou adicionar uma atualização (dependendo da integração).

 

Autenticação

O que a monday.com usa para autenticação?

A monday.com utiliza o protocolo OAuth 2.0 para autenticação. Através do OAuth 2.0, os usuários podem autorizar escopos específicos que a integração da monday.com requer. Após o usuário selecionar escopos específicos, há um handshake entre os servidores da Microsoft e da monday.com para garantir que a transação seja segura.

A autorização resulta na Microsoft nos fornecer um token de acesso que podemos usar para fazer chamadas de API em nome do usuário autenticado. Podemos fazer chamadas de API apenas dentro do escopo que o usuário autorizou. Usando chamadas de API, a monday.com só pode acessar informações que o usuário que iniciou a autorização está autorizado a fazer ou visualizar na conta e que estão dentro dos escopos autorizados.

 

Onde posso aprender mais sobre OAuth 2.0?

Você pode ler mais sobre o protocolo padrão OAuth 2.0 aqui.

 

A monday.com tem acesso à minha senha do Outlook?

Em nenhum momento a monday.com tem acesso à senha do usuário autorizador do Outlook. Essa informação nunca é compartilhada conosco.

 

Permissões

Por que a monday.com requer permissões de acesso total para leitura e gravação?

A equipe da monday.com entende por que você estaria preocupado em dar a qualquer aplicativo de terceiros acesso à sua conta inteira. É por isso que queremos fornecer algumas informações sobre por que solicitamos permissão de acesso total para leitura.

Tanto as permissões de leitura quanto as de gravação são necessárias para que a integração funcione.

Solicitamos permissões de leitura e gravação para e-mails. Para permitir e-mails de saída, precisamos ter a capacidade de enviar e-mails. Isso requer permissões de gravação. Para receber e-mails, precisamos de permissões de leitura para puxar as informações para a monday.com e exibi-las para você.

 

Como exatamente a integração funciona com essas permissões?

Quando um usuário cria uma integração de entrada, nos inscrevemos para ser notificados pelo Outlook sobre quaisquer e-mails que esse usuário receber. Então, quando um e-mail é recebido, o Outlook nos notifica e nos fornece o ID da mensagem, mas não a mensagem em si.

Para prosseguir com a integração, a primeira coisa que fazemos é usar o ID fornecido pela Microsoft para buscar a mensagem via API. Buscamos apenas mensagens de caixas de entrada relevantes, ou seja, não buscamos aquelas que estão em caixas de entrada como Spam, Excluídos ou Enviados. Assim que temos a mensagem, prosseguimos para executar a integração e verificar as condições que você escolheu ao configurar a integração. Com base nessas condições, criamos um item ou uma atualização a partir do e-mail. 

 

Qual é a extensão do acesso concedido à monday.com com permissões de leitura e gravação total? Todos os e-mails na caixa de entrada são lidos pela monday.com?

Com a permissão concedida, a monday.com pode apenas ler mensagens dentro da caixa de entrada do usuário que autorizou a integração, e a monday.com fará isso apenas em uma das duas situações:

  1. A primeira situação é quando a conexão é feita pela primeira vez. Nesse momento, a monday.com buscará o último e-mail recebido na sua caixa de entrada do Outlook para garantir que a conexão foi feita com uma caixa de entrada válida. O objetivo é verificar se a monday.com pode buscar um e-mail com sucesso. Nada é feito com o e-mail e o e-mail não é salvo em nenhum lugar.
  2. A segunda situação é descrita na resposta à pergunta anterior nesta seção. Quando um usuário configura uma integração para e-mails de entrada e autoriza o acesso, a monday.com busca e-mails da Microsoft quando a Microsoft envia uma notificação.

 

A integração é entre a monday.com e a Microsoft. Algum dado é acessado por terceiros?

Nenhum terceiro tem acesso a dados através desta integração.

 

Quais protocolos de segurança estão em vigor?

O protocolo Oauth2 garante que temos uma maneira segura de autorizar e obter um token de acesso para o usuário que configurou e autorizou a integração. A Microsoft também exige que a monday.com envie uma string aleatória secreta. Isso é uma garantia extra tanto para a Microsoft quanto para a monday.com de que as solicitações feitas são de um host confiável. O token é salvo em nosso gerenciador de segredos na AWS e não é acessível de nenhuma outra forma.

 

Como posso definir permissões limitando quem tem a capacidade de criar uma integração?

Para definir permissões limitando quem pode criar integrações, visite nosso artigo “Como configurar permissões de conta”.

 

Armazenamento de dados

Como a integração opera em termos de transferência de dados para e da monday.com e Outlook?

A integração se comunica exclusivamente através da API; a monday.com faz chamadas de API para o Microsoft Graph e recebe notificações da Microsoft através da nossa API.

 

Como funciona o armazenamento de dados?

Armazenamos o token de acesso em uma ferramenta de gerenciamento de segredos chamada Vault. Os dados de autenticação (token de acesso) que a ferramenta armazena são criptografados. O token de acesso só pode ser acessado por solicitações deste usuário específico feitas a partir de nosso servidor.

 

Existem “backups”?

Não, não temos um banco de dados de backup separado para os dados de autenticação do vault.

 

Por quanto tempo os dados relacionados ao O365 persistem dentro da monday.com?

Existem vários tipos de dados relacionados ao aplicativo O365 que persistem:

  • Verificação única para garantir que a conexão é válida. Esta é uma verificação feita na criação da conexão (autenticação) apenas para garantir que o e-mail do Outlook é válido. Uma mensagem é buscada aleatoriamente na API para testar se recebemos uma resposta válida ou um erro. Esta mensagem não é lida ou salva em nenhum lugar.
  • Dados de autenticação (token de acesso, token de atualização, nome de exibição). Esses são os dados usados para acessar a API em nome do usuário. Obtemos esses dados da Microsoft após completar o protocolo Oauth2 se o usuário realmente autorizou a monday.com a acessar a API em seu nome. Esses dados são armazenados no Vault, uma ferramenta de gerenciamento de segredos, e persistem lá a menos que o usuário solicite a exclusão. Os dados de autenticação expiram após um curto período e devem ser constantemente atualizados para garantir que os dados e o acesso ainda sejam válidos. Além disso, o usuário pode sempre revogar a conexão em sua conta Microsoft. Veja a última seção deste artigo para mais detalhes sobre como revogar a conexão. Quando a conexão é revogada, os dados de autenticação que estão salvos com a monday.com não funcionarão mais, pois não serão mais válidos para acessar a API em nome do usuário. Essa invalidação acontece como uma precaução pela Microsoft em vários outros casos, como mudança de senha, logout forçado, MFA adicionado, etc.
  • Quaisquer dados relacionados à integração. Quaisquer dados que estejam envolvidos na integração, como corpo ou assunto de e-mail que o indivíduo usando a integração escolher usar ao ativar uma receita de integração, são salvos como dados em seu quadro da maneira que escolher adicioná-los e serão salvos nos bancos de dados para os elementos correspondentes do quadro (ou seja, nome do item, seção de atualizações, etc.) com a monday.com até que as informações sejam excluídas.

 

Revogando acesso

Como revogar o acesso da monday.com à minha conta do Outlook?

Se em algum momento você quiser revogar o acesso da monday.com ao Outlook, pode fazê-lo. Para revogar o acesso, vá até o Outlook e revise os aplicativos de terceiros que foram autorizados a acessar sua conta. Se você revogar o acesso da monday.com, o token que a monday.com salvou não funcionará mais. A partir desse ponto, a monday.com não poderá fazer chamadas de API em seu nome. Se a monday.com tentar fazer uma solicitação após você revogar o acesso, a solicitação falhará porque a monday.com não terá mais um token válido.

 

 

 

 

Ainda precisa de assistência? Acesse o suporte da monday.com.

Sabia que a Audatia é parceira oficial da monday.com no Brasil? Ajudamos times a extrair o máximo da ferramenta com consultoria especializada e treinamentos focados na sua operação. Conheça nossos serviços →

CONHEÇA OS SERVIÇOS MONDAY.COM DISPONÍVEIS NO BRASIL

Audatia é parceira autorizada monday.com no Brasil. Entre em Contato e contrate serviços.

CONHEÇA OS SERVIÇOS MONDAY.COM DISPONÍVEIS NO BRASIL

Conteúdo relacionado

Apresentando o mondayDB

5 min de leitura mondayDB é a infraestrutura de dados por trás do WorkOS da monday.com, projetada para impulsionar seu melhor trabalho. O mondayDB se adapta…

Planos e preços da monday.com

Planos e cobrança 3 min de leitura Se você está explorando a monday.com pela primeira vez — ou se está pronto para fazer upgrade para um produto pago — você…

monday-teste-gratis-2026