Baseline de segurança
Controlos mínimos obrigatórios para operar Beacon sem exposição de segredos ou dados sensíveis.
reference • updated 2026-03-17
Objetivo
Definir o nível mínimo de segurança para qualquer ambiente Beacon antes de avançar para produção.
Checklist obrigatória
11) Segredos e credenciais
Guardar segredos em cofre dedicado, com rotação automática e sem exposição em código, logs ou docs públicas.22) Acesso e permissões
Aplicar menor privilégio, lembrando que o produto expõe hoje apenas os papéisOWNEReADMIN.33) Integridade de eventos
Ativar assinatura de webhook, validar timestamp e garantir idempotência em toda a cadeia.44) Auditoria e rastreabilidade
Garantir trilho de auditoria, retenção mínima e registo decode,nextAction,webhookEventIdequeueJobIdnas operações críticas.55) Resposta a incidentes
Ter runbook e contactos de escalonamento validados previamente.
Matriz de controlo por domínio
| Domínio | Controlo mínimo | Evidência |
|---|---|---|
| API | Bearer tokens de sessão, org explícito e revisão de memberships | Política de sessão e auditoria de acessos |
| Webhooks | Verificação de assinatura + deduplicação por event.id + replay auditável | Registos de validação e replays por webhookEventId |
| Dashboard | MFA e segregação entre OWNER e ADMIN | Revisão mensal de acessos |
| Fiscal | setup-state como fonte única, integridade documental e reconciliação | Relatório de fecho e exceções |
Padrões proibidos
- Credenciais reais em exemplos de documentação.
- Endpoints internos/dev-only em docs públicas.
- Exportar dados pessoais completos para canais não controlados.