Visão geral

Ao utilizar os serviços da OpenAI, é importante manter a segurança tanto da sua chave de API quanto da sua conta. Proteja-se contra vazamentos de chaves de API e roubo de contas com estas boas práticas.

Mantenha sua conta segura

A segurança é uma responsabilidade compartilhada. A OpenAI trabalha para proteger o acesso às contas, e essas medidas podem ajudar a reduzir o risco de uso não autorizado. Caso as credenciais da conta sejam utilizadas sem permissão, reporte o problema o mais rápido possível.

Evite vazamentos de chaves de API

Uma chave de API é o código de acesso utilizado para acessar a API da OpenAI. Caso haja vazamento, usuários não autorizados poderão acessar a API por meio da sua conta. Isso pode resultar em cobranças não autorizadas ou atividades que violem nossos termos de serviço.

Use variáveis de ambiente

Armazene sua chave de API em variáveis de ambiente dentro do seu ambiente de desenvolvimento. Isso ajuda a manter a chave fora do código do aplicativo e reduz o risco de exposição.

Se você usa o GitHub Actions, utilize os segredos do GitHub para armazenar sua chave de API.

Tenha cautela com produtos de terceiros.

Tenha cautela com bibliotecas, frameworks e ferramentas de terceiros que solicitam acesso à sua chave de API. Mesmo que um produto pareça confiável, ainda existe o risco de exposição a fatores críticos ou uso indevido.

Antes de usar um produto de terceiros que exija sua chave de API, analise cuidadosamente a empresa e o produto. Confira as avaliações, leia a política de privacidade e procure por quaisquer problemas de segurança levantados pela comunidade.

Defina limites de gastos razoáveis

Defina vários limites de gastos, como 90% e 95%, em relação a um orçamento mensal no nível da organização ou do projeto para monitorar os gastos mensais.

Configure destinatários de e-mail personalizados para integração com listas de e-mail, plataformas de gerenciamento de incidentes e plataformas de mensagens. Isso pode ser configurado nas configurações da plataforma.

Não envie sua chave de API

Pode ser tentador incorporar sua chave de API diretamente em um aplicativo para evitar a execução de um servidor para um aplicativo móvel ou um caso de uso semelhante. No entanto, isso torna a chave da API vulnerável a uso indevido.

Realize revisões de código cuidadosas

Antes de enviar o código para repositórios públicos, revise-o para garantir que nenhuma informação sensível, como chaves de API, seja exposta.

Utilize ferramentas de varredura automatizadas que possam identificar possíveis vazamentos. Você também pode consultar o tutorial de verificação de segredos do GitHub para obter mais orientações.

Quando a OpenAI detecta uma chave de API na internet pública ou vazada dentro de um aplicativo em uma loja de aplicativos, a chave de API é desativada imediatamente.

Implementar rotação de chaves

Altere periodicamente suas chaves de API, excluindo as antigas e criando novas por meio do painel de controle de chaves de API.

Impeça a apropriação indevida de contas

Uma apropriação indevida de conta ocorre quando alguém obtém acesso não autorizado à sua conta, possivelmente utiliza os serviços da OpenAI por meio dela e deixa o proprietário da conta com a fatura.

Use senhas fortes ou autenticação com Google

Se você usar uma senha, use uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Recomendamos o uso de um gerenciador de senhas para gerar e armazenar senhas.

Altere sua senha periodicamente.

Ative a autenticação multifator (MFA)

Ative a autenticação multifator (MFA) para adicionar uma etapa extra de verificação, geralmente envolvendo seu telefone.

Mesmo que alguém consiga sua senha, ainda precisará da autenticação de dois fatores para acessar sua conta.

Habilitar a autenticação multifator (MFA) não cancela os logins existentes. Para bloquear usuários que já estão acessando sua conta, primeiro redefina sua senha e depois ative a autenticação multifator (MFA).

Utilize a Segurança Avançada da Conta

Para contas ChatGPT de consumidores elegíveis, a Segurança Avançada da Conta adiciona requisitos de login mais rigorosos e proteções de conta mais estritas. Não está disponível para usuários do ChatGPT Enterprise, contas gerenciadas por empresas ou contas associadas a um domínio gerenciado por empresas.

Tenha cuidado com e-mails e links

Tenha cuidado com e-mails que solicitam credenciais ou direcionam os usuários para páginas da web que exigem detalhes da conta.

Sempre verifique o endereço de e-mail e o URL para garantir que sejam de uma fonte confiável.

Responder a uma suspeita de comprometimento

Se você acha que sua chave de API foi comprometida ou suspeita de atividade não autorizada em sua conta, aja rapidamente.

Exclua suas chaves de API

Exclua suas chaves de API através do painel de controle de chaves de API.

A OpenAI também oferece suporte ao rastreamento de uso por meio de chave de API. Isso facilita a visualização do uso por recurso, equipe, produto ou projeto, utilizando chaves de API separadas para cada um.

Entre em contato com o suporte da OpenAI

Quanto mais cedo você reportar o problema, mais cedo a OpenAI poderá ajudar a resolvê-lo e reduzir os danos potenciais. Entre em contato com o suporte da OpenAI abrindo um novo chat em qualquer página da Central de Ajuda.

Analisar a atividade da conta

Verifique a conta em busca de atividades incomuns, como uso inesperado da API. Os detalhes que você fornecer podem ajudar na recuperação da conta.

Saia da sessão em todos os dispositivos.

Você pode encerrar todas as sessões ativas em todos os dispositivos.

No ChatGPT, acesse Configurações > Segurança. Selecione "Sair de todos os dispositivos". Isso desativa sessões ativas do ChatGPT.

Na Plataforma, acesse Seu Perfil > Segurança. Selecione "Sair de todos os dispositivos". Isso desativa as sessões ativas da Plataforma.

Pode levar até 30 minutos para que outras sessões do ChatGPT sejam encerradas.