## Objetivo

Definir o nível mínimo de segurança para qualquer ambiente Beacon antes de avançar para produção.

## Checklist obrigatória

<Steps>
  <Step title="1) Segredos e credenciais">Guardar segredos em cofre dedicado, com rotação automática e sem exposição em código, logs ou docs públicas.</Step>
  <Step title="2) Acesso e permissões">Aplicar menor privilégio, lembrando que o produto expõe hoje apenas os papéis `OWNER` e `ADMIN`.</Step>
  <Step title="3) Integridade de eventos">Ativar assinatura de webhook, validar timestamp e garantir idempotência em toda a cadeia.</Step>
  <Step title="4) Auditoria e rastreabilidade">Garantir trilho de auditoria, retenção mínima e registo de `code`, `nextAction`, `webhookEventId` e `queueJobId` nas operações críticas.</Step>
  <Step title="5) Resposta a incidentes">Ter runbook e contactos de escalonamento validados previamente.</Step>
</Steps>

## Matriz de controlo por domínio

| Domínio | Controlo mínimo | Evidência |
| --- | --- | --- |
| API | Bearer tokens de sessão, `org` explícito e revisão de memberships | Política de sessão e auditoria de acessos |
| Webhooks | Verificação de assinatura + deduplicação por `event.id` + replay auditável | Registos de validação e replays por `webhookEventId` |
| Dashboard | MFA e segregação entre `OWNER` e `ADMIN` | Revisão mensal de acessos |
| Fiscal | `setup-state` como fonte única, integridade documental e reconciliação | Relatório de fecho e exceções |

## Padrões proibidos

- Credenciais reais em exemplos de documentação.
- Endpoints internos/dev-only em docs públicas.
- Exportar dados pessoais completos para canais não controlados.

<Warning title="Go-live">Se algum controlo desta baseline estiver em falta, não avançar para produção.</Warning>
