Entendo as preocupações, então quis ser 100% transparente e compartilhar o que faço com as chaves da API do Stripe compartilhadas no TrustMRR: 1. Ao fazer o upload da chave, a requisição é enviada para meu endpoint da API (NextJS /api no Vercel) e algumas informações são obtidas do Stripe. 2. A chave precisa ler os dados de Cobranças e Assinaturas para reconstruir sua receita e MRR. Ela também precisa de acesso somente leitura ao Connect e ao File para que eu possa usar o nome, o ícone e a descrição da sua conta Stripe para criar uma página visualmente atraente. 3. Depois disso, eu calculo esses dados e os armazeno no meu banco de dados. Armazeno apenas o que o TrustMRR precisa para exibir uma página: receita por dia, MRR atual, nome da startup etc. Se você não vê a informação na página, ela não está armazenada no meu banco de dados. 4. Sua API é então criptografada no meu banco de dados MongoDB. Dessa forma, a cada 12 horas, minha tarefa agendada consulta o Stripe novamente, busca novos pagamentos e atualiza seus dados de receita. Acabei de contratar um especialista em segurança para auditar o código-fonte porque sei o quão importante a segurança é. É isso!
Por exemplo, isto é tudo o que armazeno para a minha startup: https://t.co/wix2POHCuF
