Base técnica — Reunião TI e Compliance

Conformidade com o checklist enviado

Use esta página para não falar nada diferente do que você colocou na planilha para o diretor.

Cada bloco abaixo corresponde a um item do Checklist de Avaliação Técnica e de Segurança da Solução (Obrigatório/Desejável). Na reunião, quando perguntarem sobre um tema, busque a palavra (ex: senha, revogação, backup, API) e responda com o texto do bloco. Não invente detalhes que não estejam nas respostas — se não souber, use a "Resposta segura" no final. Itens do checklist cobertos: 1 Parâmetros de Senhas, 2 Revogação de Acesso, 3 Administradores, 4 Logs ativos, 5 Segregação de Ambientes, 6 Versões e Patches, 7 Integração e Interface, 8 Infraestrutura, 9 Backup e Recuperação, 10 Suporte Técnico, 11 Segurança da Informação, 12 Plano de Implementação, 13 Treinamento + LGPD/Compliance.

1. Parâmetros de Senhas

Métodos de autenticação, proteção de senhas, SSO, MFA, força bruta, parametrização, reset.

O sistema utiliza autenticação baseada em JWT com controle de expiração e renovação via refresh token. Senhas são armazenadas com bcrypt e salt individual por usuário (OWASP). Atualmente não possui SSO nativo; a arquitetura permite integração via SAML 2.0 ou OpenID Connect conforme necessidade. Suporta MFA. Proteção contra força bruta: rate limiting, reCAPTCHA e bloqueio temporário após múltiplas tentativas. Política de senha com requisitos mínimos de complexidade, parametrizável conforme política do cliente. Reset via link temporário com expiração; administradores podem forçar redefinição.

2. Revogação de Acesso

Processo de revogação, imediata? Exclusão ou bloqueio? Logs preservados?

A revogação ou alteração de permissões é aplicada em tempo real após atualização do status ou perfil do usuário, garantindo interrupção imediata de acesso. A exclusão é realizada por meio de desativação lógica (soft delete), preservando integridade histórica e permitindo reativação mediante autorização administrativa. Todos os logs e registros históricos vinculados ao usuário permanecem íntegros e auditáveis, mesmo após desativação ou exclusão lógica, garantindo rastreabilidade e conformidade com boas práticas de auditoria.

3. Administradores e Privilégios

Permissões padrão, personalização, rastreamento, auditoria, proteção da conta admin, grupos.

Usuários administradores possuem permissões elevadas para gerenciamento de usuários, perfis, parâmetros e configurações operacionais, conforme papel atribuído. O sistema adota RBAC (Role-Based Access Control), permitindo personalização granular de permissões, inclusive dentro do grupo administrativo. Todas as ações administrativas são registradas em trilha de auditoria (usuário, data/hora, ação). Logs administrativos são preservados e não podem ser alterados por usuários comuns. Contas administrativas seguem política reforçada, incluindo MFA obrigatório e requisitos de senha robustos. O sistema permite múltiplos grupos administrativos com permissões específicas, possibilitando segregação entre administradores técnicos e funcionais.

4. Logs e Auditoria

Registro de login, auditoria de acessos, informações no log, proteção e armazenamento, retenção, filtro, manipulação, alterações de configuração.

O sistema registra tentativas de login (sucesso e falha), incluindo eventos de bloqueio por múltiplas tentativas. Há auditoria completa de acessos e ações críticas (alterações cadastrais, permissões, exclusões, mudanças administrativas). Os logs armazenam: ID do usuário, ação, data/hora, IP, user agent e estado anterior/posterior quando aplicável, sem dados sensíveis. Armazenados em base dedicada com controle de acesso restrito e política de backup periódico. Retenção padrão 90 dias, ajustável contratualmente. Recursos de filtro e pesquisa por usuário, período e tipo de evento. Não há edição ou exclusão de logs via aplicação. Alterações de configurações do sistema também são registradas em trilha de auditoria.

5. Segregação de Ambientes para Mudanças

Mudanças pelo fornecedor ou FS? Testes antes do release? Ambiente de homologação? Segregação dev/produção? Plano de contingência? Pipelines DevOps?

As mudanças são realizadas exclusivamente pelo fornecedor, por meio de equipe técnica interna, seguindo processo estruturado de gestão de mudanças, controle de versionamento e rastreabilidade de releases. As atualizações passam por testes automatizados (unitários e end-to-end) e validação manual em ambiente de homologação antes da liberação para produção. O sistema possui ambiente de homologação segregado do ambiente de produção. O processo de desenvolvimento segue modelo full-cycle; a publicação em produção ocorre por meio de pipeline CI/CD automatizada, com controle de versionamento, rastreabilidade e acesso restrito ao ambiente produtivo. Existe procedimento técnico de rollback/downgrade de versão. O deploy pode ser automatizado via pipelines CI/CD.

6. Controle de Versões e Patches

Como é atualizado, políticas de versionamento, comunicação sobre patches, plano de contingência para reverter.

As atualizações e correções são aplicadas por meio de pipeline CI/CD automatizada, após validação em ambiente de homologação. As releases podem incluir melhorias evolutivas, correções de bugs e ajustes de segurança. O sistema adota política formal de versionamento baseada em controle de código-fonte com rastreabilidade completa, histórico de versões e gestão estruturada de branches. Existe processo formal de gestão e comunicação de versões, com registro das alterações (release notes) e comunicação aos clientes quando impactam funcionalidade ou segurança. Existe procedimento técnico de rollback para reversão à versão anterior estável.

7. Integração e Interface

Interface com outros sistemas? Protocolos (REST, SOAP, WebHook, FTP, mensageria)? Síncrono/assíncrono? Documentação técnica? Tipos de dados? Experiência prévia? Relatórios e monitoramento das integrações?

Sim. O sistema foi projetado para integração com outros sistemas corporativos. A viabilidade técnica, requisitos de segurança e escopo são avaliados previamente com o time de TI do cliente. Suporta APIs RESTful (HTTPS + JSON), Webhooks e mensageria para comunicação assíncrona segura. Integrações síncronas (tempo real) e assíncronas (eventos, filas), além de rotinas agendadas. A API possui documentação técnica estruturada (endpoints, métodos, parâmetros, autenticação, exemplos). Os tipos de dados integráveis são definidos conforme escopo contratual. O fornecedor possui experiência em integrações com sistemas corporativos em ambiente produtivo. As integrações possuem logs, rastreabilidade de eventos e monitoramento de falhas.

8. Infraestrutura

Requisitos hardware/software, nuvem/local, dimensionamento, tempo de resposta, infra FS ou fornecedor, ISAE3402, escalabilidade, monitoramento, integração com observabilidade.

Por se tratar de solução SaaS em nuvem, não há requisitos de hardware para o cliente; acesso via navegador e internet. A solução é implementada exclusivamente em nuvem gerenciada pelo fornecedor. Dimensionamento dinâmico conforme demanda contratual, com escalabilidade automática. O atendimento a incidentes segue SLA definido contratualmente. A solução opera em infraestrutura cloud sob responsabilidade do fornecedor. Atualmente o fornecedor não possui certificação ISAE 3402; eventuais avaliações de controles podem ser tratadas conforme cláusulas contratuais. A arquitetura suporta escalabilidade horizontal e vertical, balanceamento de carga; atualizações planejadas e janelas comunicadas previamente. O ambiente possui monitoramento contínuo (métricas, dashboards, alertas). Permite integração com ferramentas de observabilidade conforme escopo contratual.

9. Backup e Recuperação

Como é realizado o backup? Frequência? Onde armazenados? Segurança? Teste de restore? Tempo de recuperação?

Os backups são realizados de forma automatizada sobre a base de dados, incluindo snapshots e mecanismos de replicação conforme política formal do fornecedor. A frequência segue política operacional definida, podendo ser ajustada conforme criticidade e SLA contratual. Os backups são armazenados em ambiente de nuvem com redundância e replicação geográfica conforme infraestrutura. A retenção e quantidade de cópias seguem política e escopo contratual. Os dados de backup são protegidos por criptografia em repouso e controle de acesso restrito. São realizados testes periódicos de restauração para validação da integridade e recuperabilidade. RTO e RPO são definidos conforme níveis de serviço contratuais.

10. Suporte Técnico

Nível de suporte, tempo de resposta, horário comercial ou 24/7, abrangência, custo adicional.

O suporte técnico é oferecido por meio de canais formais (e-mail e sistema de chamados), podendo incluir atendimento remoto e, quando previsto contratualmente, suporte presencial (in loco). O tempo de resposta segue SLA definido contratualmente, variando conforme criticidade. O suporte é disponibilizado em horário comercial; quando contratado, podem ser estabelecidos níveis diferenciados, incluindo cobertura estendida ou presencial. O suporte abrange atendimento funcional e técnico, análise e correção de incidentes, apoio à implantação e suporte evolutivo conforme escopo contratado. O suporte padrão está incluso no contrato; atendimentos presenciais ou serviços adicionais podem ser previstos em cláusulas específicas.

11. Segurança da Informação

Medidas de segurança, certificações, plano de resposta a incidentes, atualizações de vulnerabilidades, testes de invasão, histórico de violações.

O sistema adota RBAC, JWT, MFA, criptografia em trânsito (HTTPS/TLS), armazenamento seguro de senhas (hash e salt), rate limiting, reCAPTCHA, auditoria de ações, monitoramento contínuo e backups criptografados. Atualmente o fornecedor não possui certificações formais (ISO 27001, ISAE 3402); adota práticas alinhadas a padrões de mercado. Existe procedimento interno de resposta a incidentes (identificação, contenção, análise, mitigação, comunicação quando aplicável). Processo contínuo de atualização e correções de segurança via CI/CD e gestão de versões. São realizadas revisões periódicas e análises internas de segurança; pentest externo pode ser contratado conforme escopo. Até o momento não há registro de incidentes com vazamento ou comprometimento de dados.

12. Plano de Implementação

Cronograma, política de testes e validação, critérios de aceitação, referências de outras empresas.

A implementação é estruturada em quatro fases principais, com duração média de aproximadamente 2 a 4 semanas: Fase 1 – Planejamento e levantamento (requisitos da planta, mapeamento de áreas, pontos de instalação dos gateways, cobertura BLE, áreas restritas). Fase 2 – Instalação de infraestrutura (gateways BLE, rede, digitalização e georreferenciamento do mapa, configuração inicial). Fase 3 – Cadastro e parametrização (colaboradores, tags BLE, departamentos, hierarquias, permissões). Fase 4 – Treinamento e go-live (treinamento, testes de validação, ajustes, go-live assistido com monitoramento e suporte dedicado). Durante a implantação são realizados testes técnicos de cobertura e conectividade e validação conjunta com o cliente. Critérios de aceitação incluem cobertura adequada, funcionamento dos gateways e tags, validação de regras de acesso, estabilidade e aprovação formal do cliente. Sim, há referências de outras implantações.

13. Treinamento

Fornecedor oferece treinamento? Conteúdo e material? Presencial ou online? Duração? Personalizado? Custo adicional?

Sim. O treinamento está incluído no processo de implantação, contemplando capacitação da equipe de gestão, administradores e operadores. O conteúdo inclui visão geral da solução e arquitetura operacional, uso da plataforma (cadastros, monitoramento, relatórios), configuração de permissões e áreas restritas, procedimentos operacionais e boas práticas. São disponibilizados materiais de apoio, manuais, guias e documentação técnica. O treinamento pode ser presencial (in loco) ou remoto por videoconferência, conforme escopo contratual. A duração varia conforme complexidade e número de usuários, podendo ser em sessões de algumas horas até distribuídas na fase de go-live. O conteúdo é ajustado conforme ambiente da planta, regras operacionais e perfil dos usuários. O treinamento padrão faz parte do escopo de implantação; treinamentos adicionais ou reciclagens podem ser contratados conforme necessidade.

TI — Linguagem e Stack (use como referência)

Em que linguagem foi desenvolvido?

"O sistema foi desenvolvido em arquitetura web utilizando PHP 8.2 no backend, com gerenciamento de dependências via Composer, e banco de dados MySQL/MariaDB. A parte de recursos de interface e automações utiliza Node.js com NPM, seguindo o padrão de aplicações web modernas. Além disso o sistema utiliza as extensões padrão de segurança e processamento do PHP como OpenSSL, PDO, JSON e XML, garantindo compatibilidade e estabilidade da aplicação."

É framework ou PHP puro?

"O sistema segue arquitetura baseada em framework moderno de PHP para organização das camadas da aplicação e manutenção do código."

Qual banco utiliza?

"O banco utilizado é MySQL/MariaDB, que é amplamente utilizado em aplicações corporativas e permite escalabilidade conforme necessidade."

Resposta mais forte (se quiser impressionar)

"O sistema segue arquitetura padrão LAMP moderna, com separação de camadas de aplicação e banco de dados."

Não fale

Extensão por extensão, biblioteca por biblioteca, detalhe de servidor — isso abre porta para perguntas desnecessárias.

Se ele aprofundar demais

"Se quiser depois posso compartilhar também um overview da arquitetura técnica do sistema."

O sistema pode integrar com outros sistemas? Existe API?

Sim. O sistema possui API REST documentada (padrão OpenAPI 3.1), arquitetura orientada a serviços, permitindo integração com ERPs como SAP via endpoints autenticados. Estrutura versionada e preparada para integração segura via HTTPS. Suporta integração com sistemas de OS, portaria, CFTV, controle operacional, conforme necessidade.

Controle de acesso, logs, backup, disponibilidade, aplicativo?

Controle de acesso baseado em perfis (RBAC). Autenticação por usuário e senha com logs de acesso. O sistema registra logs de acesso, operações e alterações. Os dados podem ser incluídos em rotinas de backup do ambiente. A arquitetura permite alta disponibilidade conforme infraestrutura. Os colaboradores utilizam interface adaptada para dispositivos móveis para registro de atividades em campo.

Compliance — LGPD e Consentimento

O sistema está em conformidade com LGPD? Como é obtido o consentimento? Qual a finalidade da coleta?

O sistema foi desenvolvido considerando princípios da LGPD: minimização de dados, finalidade específica, consentimento do usuário, controle de acesso. Possui termo de aceite digital em que o colaborador concorda com o tratamento dos dados necessários para uso da plataforma. Os dados são utilizados exclusivamente para gestão de atividades operacionais e geração de relatórios; não há uso comercial nem compartilhamento externo.

Os dados são compartilhados? Quem acessa? Direitos do titular? Retenção? Rastreabilidade? Adequação às políticas?

Os dados não são compartilhados com terceiros; uso apenas no ambiente operacional do sistema. Somente usuários autorizados conforme perfis e permissões. O sistema permite rastreabilidade e gestão de dados conforme solicitações do titular. O período de retenção pode seguir políticas da organização conforme necessidade operacional e requisitos legais. A privacidade é protegida por controle de acesso, logs e uso restrito à finalidade operacional. Como o sistema está em fase piloto, pode ser adaptado conforme recomendações de TI, jurídico ou compliance.

Resposta segura (quando não souber)

Use quando não tiver resposta imediata ou quiser evitar comprometer-se.

"Essa é uma excelente pergunta. Como o sistema ainda está em fase piloto, nós conseguimos ajustar e evoluir essa parte conforme as diretrizes da área de TI e compliance."