Skip to main content

Módulo 01: Autenticação & Acesso

Status: Pendente de Aprovação

Domínio: ver Domínio/Entidade: Usuário

ATA de Referência: (Ainda não aprovada)

1. Visão Geral da Regra

A autenticação é sensível ao tenant (empresa). O sistema sempre identifica a qual empresa o usuário pertence via subdomínio DNS antes mesmo de ele digitar a senha.

2. Identificação de Empresa (Tenant)

  • Regra Crítica: Antes de renderizar qualquer tela, o sistema resolve o tenant pelo subdomínio (ex: acme.crm.com).
  • Se o subdomínio não existir, redireciona para a página de vendas do CRM ou erro.

3. Segurança de Acesso

  • Bloqueio de Conta: Após um número N de tentativas falhas consecutivas (padrão: 5), a conta é temporariamente bloqueada.
  • Progressão de Bloqueio: O bloqueio inicia com 5 minutos. Se persistir, vai para 15 minutos, 60 minutos, e depois exige desbloqueio manual.
  • Redirecionamento: Cada perfil (role) tem um painel inicial diferente. O Consultor vai para carteira e tarefas; o Gestor para o painel do time.

4. Recuperação de Senha

  • O link de recuperação deve ter token de uso único (single-use) e expirar em 60 minutos.
  • O sistema possui trava de limite de requisições: máximo de 3 solicitações por hora para o mesmo e-mail (evitar spam/flood).
  • Para evitar "enumeração de usuários" (ataques onde tentam descobrir quem tem conta), a mensagem na tela será sempre genérica: "Se o e-mail existir, você receberá as instruções".

5. Regras de Registro de Novos Usuários

O registro varia conforme as regras da empresa:

  • Fluxo Principal (Convite): O Gestor ou Admin gera um link fechado já com o cargo e o time do futuro funcionário definidos. A conta já nasce ativa.
  • Auto-registro aberto: Só pode ser usado se o Admin habilitar explicitamente. Útil em testes, mas perigoso em produção se mal configurado.
  • CPF e E-mail Únicos: O e-mail e o CPF não podem repetir dentro do mesmo tenant. O mesmo e-mail pode existir em tenants diferentes.

6. Governança e LGPD (Termos de Uso e Privacidade)

  • O aceite dos Termos de Uso e Política de Privacidade é obrigatório no ato do registro.
  • Quando a empresa atualiza a versão dos documentos (ex: de v1 para v2), os usuários existentes perdem acesso ao CRM e são obrigados a dar o re-aceite logo no próximo login para continuar trabalhando.