# Politicas de Seguranca

## 1. Acesso
- Todo painel requer autenticacao via Laravel Auth
- Roles: `super_admin`, `admin_interno`, `admin_cliente`, `editor_cliente`
- Usuarios de cliente so acessam dados do proprio cliente (`users.client_id`)
- Middleware de role por grupo de rotas

## 2. Dados
- Credenciais nunca expostas no frontend
- Dados sensiveis criptografados
- Todos os inputs validados via FormRequest
- Dados isolados por cliente (filtro por `client_id`)

## 3. Upload (MediaService)
- Extensoes permitidas por tipo (image, video, document)
- Mime type validado independentemente da extensao
- Tamanho maximo por tipo (image: 10MB, video: 100MB, document: 20MB)
- Extensoes perigosas bloqueadas (php, exe, bat, sh, cmd, js, htaccess)
- Nomes sanitizados com slug + timestamp
- Execucao de arquivo impedida via configuracao do storage

## 4. Auditoria
- Toda acao relevante registrada em `activity_logs`
- Campos: usuario, cliente, acao, modulo, entidade, valores antigos/novos
- IP e user agent registrados
- AuditService com metodos especificos: logCreate, logUpdate, logDelete, logLogin, logPublish

## 5. Deploy
- Nunca sobrescrever producao sem validacao
- Registrar todas as acoes de publicacao
- Validar pasta destino
- Mecanismo de rollback previsto para futuro

## 6. IA Operacional
- Nao apagar arquivos sem instrucao explicita
- Nao reestruturar pastas criticas sem documentar
- Nao alterar contratos de dados sem registrar
- Nao mover conteudo entre clientes
- Nao misturar arquivos de ambientes diferentes