Baseline de segurança
Controlos mínimos obrigatórios para operar Beacon sem exposição de segredos ou dados sensíveis.
reference • updated 2026-03-15
Objetivo
Definir o nível mínimo de segurança para qualquer ambiente Beacon antes de avançar para produção.
Checklist obrigatória
11) Segredos e credenciais
Guardar segredos em cofre dedicado, com rotação automática e sem exposição em código, logs ou docs públicas.22) Acesso e permissões
Aplicar menor privilégio por persona, com revisão periódica de papéis e remoção de acessos órfãos.33) Integridade de eventos
Ativar assinatura de webhook, validar timestamp e garantir idempotência em toda a cadeia.44) Auditoria e rastreabilidade
Garantirrequest_id, trilho de auditoria e retenção mínima para investigação.55) Resposta a incidentes
Ter runbook e contactos de escalonamento validados previamente.
Matriz de controlo por domínio
| Domínio | Controlo mínimo | Evidência |
|---|---|---|
| API | Tokens curtos, escopos por organização | Política de tokens e logs de emissão |
| Webhooks | Verificação de assinatura + replay seguro | Registos de validação e testes de replay |
| Dashboard | MFA e segregação de funções | Revisão mensal de acessos |
| Fiscal | Integridade de documentos e reconciliação | Relatório de fecho e exceções |
Padrões proibidos
- Credenciais reais em exemplos de documentação.
- Endpoints internos/dev-only em docs públicas.
- Exportar dados pessoais completos para canais não controlados.