Beacon

Baseline de segurança

Ver como Markdown

Baseline de segurança

Controlos mínimos obrigatórios para operar Beacon sem exposição de segredos ou dados sensíveis.

reference • updated 2026-03-17

Objetivo

Definir o nível mínimo de segurança para qualquer ambiente Beacon antes de avançar para produção.

Checklist obrigatória

  1. 11) Segredos e credenciais

    Guardar segredos em cofre dedicado, com rotação automática e sem exposição em código, logs ou docs públicas.
  2. 22) Acesso e permissões

    Aplicar menor privilégio, lembrando que o produto expõe hoje apenas os papéis OWNER e ADMIN.
  3. 33) Integridade de eventos

    Ativar assinatura de webhook, validar timestamp e garantir idempotência em toda a cadeia.
  4. 44) Auditoria e rastreabilidade

    Garantir trilho de auditoria, retenção mínima e registo de code, nextAction, webhookEventId e queueJobId nas operações críticas.
  5. 55) Resposta a incidentes

    Ter runbook e contactos de escalonamento validados previamente.

Matriz de controlo por domínio

DomínioControlo mínimoEvidência
APIBearer tokens de sessão, org explícito e revisão de membershipsPolítica de sessão e auditoria de acessos
WebhooksVerificação de assinatura + deduplicação por event.id + replay auditávelRegistos de validação e replays por webhookEventId
DashboardMFA e segregação entre OWNER e ADMINRevisão mensal de acessos
Fiscalsetup-state como fonte única, integridade documental e reconciliaçãoRelatório de fecho e exceções

Padrões proibidos

  • Credenciais reais em exemplos de documentação.
  • Endpoints internos/dev-only em docs públicas.
  • Exportar dados pessoais completos para canais não controlados.