@omnizap-system/omnizap 2.5.12

package/docs/database/production-db-evolution-runbook-2026q1.md

@@ -0,0 +1,365 @@
+# Runbook de Evolucao de Banco em Producao (2026 Q1-Q2)
+
+Escopo: hardening e evolucao gradual de schema MySQL/InnoDB com foco em rollout online, validacao objetiva e rollback logico por fase.
+
+## Objetivo
+
+Definir o processo para aplicar, validar e (quando necessario) reverter as migracoes do ciclo `d0` ate `d34`, minimizando risco de indisponibilidade e regressao de desempenho.
+
+## Arquivos alvo (ordem recomendada)
+
+- `database/migrations/20260307_d0_hardening_up.sql`
+- `database/migrations/20260307_d0_hardening_down.sql`
+- `database/migrations/20260307_d1_terms_acceptance_up.sql`
+- `database/migrations/20260307_d1_terms_acceptance_down.sql`
+- `database/migrations/20260307_d2_auth_hardening_up.sql`
+- `database/migrations/20260307_d2_auth_hardening_down.sql`
+- `database/migrations/20260314_d7_canonical_sender_up.sql`
+- `database/migrations/20260314_d7_canonical_sender_down.sql`
+- `database/migrations/20260406_d30_security_analytics_up.sql`
+- `database/migrations/20260406_d30_security_analytics_down.sql`
+- `database/migrations/20260407_d31_web_google_session_token_hardening_up.sql`
+- `database/migrations/20260407_d31_web_google_session_token_hardening_down.sql`
+- `database/migrations/20260408_d32_ai_help_response_cache_up.sql`
+- `database/migrations/20260408_d32_ai_help_response_cache_down.sql`
+- `database/migrations/20260409_d33_ai_learning_tables_up.sql`
+- `database/migrations/20260409_d33_ai_learning_tables_down.sql`
+- `database/migrations/20260410_d34_command_config_enrichment_up.sql`
+- `database/migrations/20260410_d34_command_config_enrichment_down.sql`
+
+## 1) Pre-requisitos
+
+1. Confirmar versao e engine:
+
+```sql
+SELECT VERSION() AS mysql_version;
+```
+
+Recomendado: MySQL `8.0.16+`.
+
+2. Confirmar politica de scheduler:
+
+```sql
+SHOW VARIABLES LIKE 'event_scheduler';
+```
+
+3. Garantir backup e recuperacao:
+
+- backup logico do schema alvo;
+- cadeia PITR (binlog + snapshots);
+- restore testado em homologacao.
+
+4. Postura operacional:
+
+- aplicar em janela de menor pressao de escrita;
+- manter aplicacao online quando possivel;
+- monitorar p95/p99 e lock waits durante e apos cada fase.
+
+## 2) Comando padrao de execucao
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/<arquivo>.sql
+```
+
+## 3) Fases de rollout
+
+### Fase D0 - Hardening nao disruptivo
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d0_hardening_up.sql
+```
+
+Validar:
+
+```sql
+SELECT migration_key, phase, status, updated_at
+  FROM schema_change_log
+ WHERE migration_key = '20260307_d0_hardening';
+
+SHOW INDEX FROM messages;
+SHOW INDEX FROM domain_event_outbox;
+SHOW INDEX FROM email_outbox;
+SHOW INDEX FROM sticker_worker_task_queue;
+SHOW INDEX FROM sticker_asset_reprocess_queue;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d0_hardening_down.sql
+```
+
+### Fase D1 - Aceite de termos versionado
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d1_terms_acceptance_up.sql
+```
+
+Validar:
+
+```sql
+SELECT migration_key, phase, status, updated_at
+  FROM schema_change_log
+ WHERE migration_key = '20260307_d1_terms_acceptance';
+
+SHOW TABLES LIKE 'web_terms_acceptance_event';
+SHOW INDEX FROM web_terms_acceptance_event;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d1_terms_acceptance_down.sql
+```
+
+### Fase D2 - Auth hardening
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d2_auth_hardening_up.sql
+```
+
+Validar:
+
+```sql
+SELECT migration_key, phase, status, updated_at
+  FROM schema_change_log
+ WHERE migration_key = '20260307_d2_auth_hardening';
+
+SHOW TABLES LIKE 'web_user_password_login_throttle';
+SHOW COLUMNS FROM web_user_password_recovery_code LIKE 'email_hash';
+SHOW COLUMNS FROM web_user_password_recovery_code LIKE 'requested_ip_hash';
+SHOW COLUMNS FROM web_user_password_recovery_code LIKE 'requested_user_agent_hash';
+SHOW INDEX FROM web_user_password_recovery_code;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260307_d2_auth_hardening_down.sql
+```
+
+### Fase D+7 - Canonical sender
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260314_d7_canonical_sender_up.sql
+```
+
+Validar:
+
+```sql
+SELECT migration_key, phase, status, updated_at
+  FROM schema_change_log
+ WHERE migration_key = '20260314_d7_canonical_sender';
+
+SHOW COLUMNS FROM messages LIKE 'canonical_sender_id';
+SHOW INDEX FROM messages;
+
+SELECT COUNT(*) AS null_canonical_sender
+  FROM messages
+ WHERE canonical_sender_id IS NULL;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260314_d7_canonical_sender_down.sql
+```
+
+### Fase D+30 - Security analytics e retencao
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260406_d30_security_analytics_up.sql
+```
+
+Validar:
+
+```sql
+SELECT migration_key, phase, status, updated_at
+  FROM schema_change_log
+ WHERE migration_key = '20260406_d30_security_analytics';
+
+SHOW COLUMNS FROM web_google_session LIKE 'session_token_hash';
+SHOW INDEX FROM web_google_session;
+
+SELECT COUNT(*) AS null_session_hash
+  FROM web_google_session
+ WHERE session_token_hash IS NULL;
+
+SHOW EVENTS
+ WHERE Db = DATABASE()
+   AND Name IN (
+     'ev_rollup_message_activity_daily',
+     'ev_purge_baileys_event_journal',
+     'ev_purge_message_analysis_event',
+     'ev_purge_web_visit_event',
+     'ev_purge_sticker_pack_interaction_event'
+   );
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260406_d30_security_analytics_down.sql
+```
+
+### Fase D+31 - Hardening de token de sessao web
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260407_d31_web_google_session_token_hardening_up.sql
+```
+
+Validar:
+
+```sql
+SHOW COLUMNS FROM web_google_session LIKE 'session_token_hash';
+
+SELECT COUNT(*) AS inconsistent_rows
+  FROM web_google_session
+ WHERE session_token_hash IS NULL
+    OR session_token <> LOWER(SUBSTRING(HEX(session_token_hash), 1, 36));
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260407_d31_web_google_session_token_hardening_down.sql
+```
+
+### Fase D+32 - Cache de respostas de AI Help
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260408_d32_ai_help_response_cache_up.sql
+```
+
+Validar:
+
+```sql
+SHOW TABLES LIKE 'ai_help_response_cache';
+SHOW INDEX FROM ai_help_response_cache;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260408_d32_ai_help_response_cache_down.sql
+```
+
+### Fase D+33 - Tabelas de aprendizado de IA
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260409_d33_ai_learning_tables_up.sql
+```
+
+Validar:
+
+```sql
+SHOW TABLES LIKE 'ai_learning_events';
+SHOW TABLES LIKE 'ai_learned_patterns';
+SHOW TABLES LIKE 'ai_learned_keywords';
+SHOW TABLES LIKE 'ai_question_embeddings';
+
+SHOW INDEX FROM ai_learning_events;
+SHOW INDEX FROM ai_learned_patterns;
+SHOW INDEX FROM ai_learned_keywords;
+SHOW INDEX FROM ai_question_embeddings;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260409_d33_ai_learning_tables_down.sql
+```
+
+### Fase D+34 - Enriquecimento de command config
+
+Aplicar:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260410_d34_command_config_enrichment_up.sql
+```
+
+Validar:
+
+```sql
+SHOW TABLES LIKE 'ai_command_config_enrichment_cursor';
+SHOW TABLES LIKE 'ai_command_config_enrichment_suggestion';
+SHOW TABLES LIKE 'ai_command_config_enrichment_state';
+
+SHOW INDEX FROM ai_command_config_enrichment_suggestion;
+SHOW INDEX FROM ai_command_config_enrichment_state;
+```
+
+Rollback:
+
+```bash
+mysql -u"$DB_USER" -p"$DB_PASSWORD" -h"$DB_HOST" "$DB_NAME" < database/migrations/20260410_d34_command_config_enrichment_down.sql
+```
+
+## 4) Checklist de monitoramento (todas as fases)
+
+Monitorar por 30-60 minutos apos cada fase:
+
+- `Threads_running`, lock waits InnoDB, latencia p95/p99;
+- profundidade de filas (`domain_event_outbox`, `email_outbox`, `sticker_worker_task_queue`);
+- falhas em workers e jobs/event scheduler.
+
+Consultas rapidas:
+
+```sql
+SELECT status, COUNT(*) FROM domain_event_outbox GROUP BY status;
+SELECT status, COUNT(*) FROM email_outbox GROUP BY status;
+SELECT status, COUNT(*) FROM sticker_worker_task_queue GROUP BY status;
+```
+
+## 5) Criterio de avance (go/no-go)
+
+Avancar somente se:
+
+- migracao atual estiver `applied` (quando registrada em `schema_change_log`);
+- validacoes estruturais e de indice estiverem consistentes;
+- sem degradacao sustentada de erro/latencia.
+
+Suspender se houver:
+
+- lock waits persistentes;
+- crescimento anomalo de filas sem drenagem;
+- erro de aplicacao relacionado a novas colunas/tabelas.
+
+## 6) Politica de roll-forward
+
+Quando rollback nao for necessario e dados estiverem integros:
+
+1. manter a fase aplicada;
+2. ajustar query/indice no codigo;
+3. repetir validacoes;
+4. registrar observacoes em `schema_change_log.notes`.
+
+## 7) Notas de seguranca operacional
+
+- DDL no MySQL faz auto-commit. `down` e rollback logico, nao undo transacional.
+- Nao usar `db:init` para migracao em producao.
+- Migracoes aplicadas em producao devem permanecer imutaveis.
+
+## 8) Referencias
+
+- MySQL 8.0 DDL: https://dev.mysql.com/doc/refman/8.0/en/sql-data-definition-statements.html
+- MySQL CHECK constraints: https://dev.mysql.com/doc/refman/8.0/en/create-table-check-constraints.html
+- MySQL Event Scheduler: https://dev.mysql.com/doc/refman/8.0/en/event-scheduler.html
+- InnoDB locking: https://dev.mysql.com/doc/refman/8.0/en/innodb-locking.html
+- Referencia interna: `database/` e `docs/database/`

package/docs/security/dsar-lgpd-runbook-2026-03-07.md

@@ -0,0 +1,86 @@
+# Runbook DSAR/LGPD (Direitos do Titular)
+
+Data: 2026-03-07
+
+## 1) Objetivo
+
+Padronizar resposta para direitos do titular: acesso, correção, exclusão, oposição e portabilidade.
+
+## 2) Canais de entrada
+
+- WhatsApp oficial: https://wa.me/559591122954
+- Canal interno de compliance (registro em ticket obrigatório)
+
+## 3) Papéis e responsáveis
+
+- DPO/Privacidade (owner do caso): valida base legal e resposta final.
+- Engenharia: localiza dados, executa exportação/correção/exclusão.
+- Segurança: valida risco e cadeia de evidência.
+- Suporte: confirma identidade e comunica status ao titular.
+
+## 4) Prazos operacionais
+
+| Tipo de solicitação                        | Prazo alvo interno   |
+| ------------------------------------------ | -------------------- |
+| Confirmação de recebimento                 | até 2 dias corridos  |
+| Acesso/confirmação de tratamento           | até 7 dias corridos  |
+| Correção                                   | até 7 dias corridos  |
+| Exclusão/anonimização (quando cabível)     | até 15 dias corridos |
+| Oposição/revisão                           | até 10 dias corridos |
+| Portabilidade (quando tecnicamente viável) | até 15 dias corridos |
+
+Observação: prevalecem prazos legais aplicáveis quando menores.
+Para pedidos enquadrados no art. 19 da LGPD, observar resposta simplificada imediata quando possível e declaração clara/completa em até 15 dias.
+
+## 5) Fluxo operacional
+
+1. Registrar ticket com ID único e timestamp UTC.
+2. Confirmar identidade mínima do solicitante.
+3. Classificar direito solicitado e base jurídica.
+4. Mapear sistemas/tabelas afetadas.
+5. Executar ação técnica (consulta, ajuste, exclusão, exportação).
+6. Revisão jurídica/privacidade.
+7. Responder titular com protocolo e resumo da ação.
+8. Encerrar com evidências anexas e métricas de SLA.
+
+## 6) Matriz por direito
+
+### 6.1 Acesso
+
+- Entregar resumo dos dados tratados e finalidades.
+- Incluir categorias, origem e compartilhamentos principais.
+
+### 6.2 Correção
+
+- Corrigir dado incompleto/inexato/desatualizado.
+- Registrar antes/depois e fundamento da alteração.
+
+### 6.3 Exclusão
+
+- Eliminar ou anonimizar quando não houver base legal de retenção.
+- Se houver retenção obrigatória, informar bloqueio e justificativa.
+
+### 6.4 Oposição
+
+- Avaliar legitimidade do pedido conforme base legal aplicável.
+- Suspender tratamento contestado quando juridicamente cabível.
+
+### 6.5 Portabilidade
+
+- Fornecer formato estruturado e interoperável quando tecnicamente viável.
+- Excluir segredos comerciais e dados de terceiros não transferíveis.
+
+## 7) Evidências obrigatórias
+
+- ID do ticket, timestamps e responsáveis por etapa.
+- Comprovante de identidade validado.
+- Consulta técnica executada e resultado.
+- Mensagem de resposta final ao titular.
+
+## 8) Escalonamento
+
+Escalonar para jurídico + segurança quando houver:
+
+- risco de incidente de segurança;
+- pedido envolvendo alto volume de titulares;
+- conflito entre pedido e obrigação legal de retenção.

package/docs/security/incident-response-lgpd-anpd-runbook-2026-03-07.md

@@ -0,0 +1,77 @@
+# Runbook de Resposta a Incidentes (LGPD/ANPD)
+
+Data: 2026-03-07  
+Escopo: segurança, privacidade e continuidade operacional do OmniZap System.
+
+## 1) Objetivo
+
+Estabelecer fluxo formal para:
+
+- detecção, contenção e erradicação de incidentes;
+- preservação de evidências técnicas e cadeia de custódia;
+- decisão sobre comunicação à ANPD e aos titulares, quando aplicável;
+- registro de lições aprendidas e prevenção de recorrência.
+
+## 2) Classificação inicial de severidade
+
+| Severidade | Critério resumido                                                                                                       |
+| ---------- | ----------------------------------------------------------------------------------------------------------------------- |
+| Crítica    | Exfiltração confirmada de dados/mensagens, indisponibilidade relevante, comprometimento de credenciais administrativas. |
+| Alta       | Acesso não autorizado com potencial de dano relevante, impacto regulatório provável.                                    |
+| Média      | Falha explorável com restrições relevantes, sem evidência de exfiltração.                                               |
+| Baixa      | Evento de baixo impacto, sem risco material imediato.                                                                   |
+
+## 3) Papéis e responsabilidades
+
+- Líder de incidente: coordena resposta e decisões de prioridade.
+- Segurança (SecOps): contenção técnica, coleta de IOC, análise de causa raiz.
+- Produto/Engenharia: correção, rollback, validação e monitoramento pós-correção.
+- Privacidade/Jurídico: análise LGPD, avaliação de risco ao titular, decisão de notificação.
+- Comunicação: preparação de mensagens para clientes, titulares e partes interessadas.
+
+## 4) Fluxo operacional (tempo de referência)
+
+1. T+0 até T+30 min: abrir incidente, classificar severidade e acionar responsáveis.
+2. T+30 min até T+2 h: isolar vetores, revogar tokens/sessões, aplicar bloqueios emergenciais.
+3. T+2 h até T+6 h: identificar escopo afetado, coletar evidências e registrar timeline.
+4. T+6 h até T+24 h: executar correções/migações e validar estabilidade.
+5. T+24 h em diante: concluir RCA, ações preventivas e relatório final.
+
+## 5) Gatilhos de comunicação à ANPD e titulares
+
+Acionar avaliação formal de notificação quando houver, por indício mínimo:
+
+- acesso não autorizado a dados pessoais com risco ou dano relevante;
+- exposição de conteúdo integral de mensagens, credenciais ou dados sensíveis;
+- comprometimento em larga escala de contas, grupos ou histórico de comunicação;
+- indisponibilidade relevante com potencial de prejuízo material a titulares/clientes.
+
+Critério jurídico: observar a LGPD (Lei nº 13.709/2018, art. 48) e regulamentações vigentes da ANPD.
+Quando aplicável ao controlador, observar o prazo regulatório de 3 (três) dias úteis para comunicação, sem prejuízo de obrigações setoriais específicas.
+
+## 6) Evidências mínimas obrigatórias
+
+- linha do tempo do incidente (UTC e horário local);
+- ativos afetados (serviços, banco, endpoints, credenciais);
+- amostras de logs, hashes e identificadores técnicos;
+- decisão técnica e jurídica de notificação (com justificativa);
+- ações de contenção, correção e verificação pós-incidente.
+- conteúdo mínimo da comunicação regulatória (natureza do incidente, categorias/dados afetados, titulares envolvidos, medidas técnicas/administrativas, riscos, motivo de eventual atraso e medidas de mitigação).
+
+## 7) Comunicação e rastreabilidade
+
+- toda comunicação deve possuir ID de incidente;
+- manter repositório interno com documentos e decisões;
+- preservar logs de acesso a mensagens, quando aplicável, para auditoria.
+
+## 8) Pós-incidente (obrigatório)
+
+1. Executar reunião de lições aprendidas em até 5 dias úteis.
+2. Converter causas-raiz em ações com responsável e prazo.
+3. Atualizar runbooks, controles preventivos e checklist de compliance mensal.
+
+## 9) Referências oficiais
+
+- LGPD (Lei nº 13.709/2018): https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
+- ANPD (portal institucional): https://www.gov.br/anpd/pt-br
+- ANPD (comunicado de incidente de segurança - CIS): https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis

package/docs/security/network-hardening-runbook-2026-03-07.md

@@ -0,0 +1,137 @@
+# Runbook de Hardening de Rede (Produção)
+
+Data: 2026-03-07  
+Escopo: reduzir superfície externa detectada em scan (`22`, `3001`, `8007`) e mitigar risco de DoS por conexões lentas.
+
+## 1) Objetivo operacional
+
+- manter externamente acessíveis apenas `22/tcp` (restrito por IP), `80/tcp` e `443/tcp`;
+- impedir exposição pública direta de serviços internos (`3001`, `8007`);
+- endurecer Nginx e SSH;
+- validar remediação por `nmap` externo.
+
+## 2) Fechar portas públicas desnecessárias
+
+No host de produção:
+
+```bash
+sudo ufw default deny incoming
+sudo ufw default allow outgoing
+sudo ufw allow 80/tcp
+sudo ufw allow 443/tcp
+sudo ufw allow from <IP_ADMIN>/32 to any port 22 proto tcp
+sudo ufw deny 3001/tcp
+sudo ufw deny 8007/tcp
+sudo ufw --force enable
+sudo ufw status verbose
+```
+
+## 3) Bind local para serviços internos
+
+### Node (OmniZap)
+
+- usar `METRICS_HOST=127.0.0.1` no ambiente de produção;
+- confirmar que o processo não escuta em `0.0.0.0` nas portas internas.
+
+### Uvicorn (porta 8007)
+
+Se houver serviço FastAPI/Uvicorn no host, ajustar para loopback:
+
+```ini
+ExecStart=/usr/bin/uvicorn app:app --host 127.0.0.1 --port 8007
+```
+
+Após ajuste:
+
+```bash
+sudo systemctl daemon-reload
+sudo systemctl restart <servico-uvicorn>
+sudo systemctl status <servico-uvicorn> --no-pager
+```
+
+## 4) Hardening do Nginx (mitigar slow HTTP / slowloris)
+
+Criar `/etc/nginx/conf.d/omnizap-hardening.conf`:
+
+```nginx
+server_tokens off;
+client_header_timeout 10s;
+client_body_timeout 10s;
+send_timeout 10s;
+keepalive_timeout 15s;
+reset_timedout_connection on;
+
+limit_conn_zone $binary_remote_addr zone=conn_per_ip:10m;
+limit_req_zone $binary_remote_addr zone=req_per_ip:10m rate=20r/s;
+```
+
+No `server` de produção, aplicar:
+
+```nginx
+limit_conn conn_per_ip 40;
+limit_req zone=req_per_ip burst=60 nodelay;
+```
+
+Validar e recarregar:
+
+```bash
+sudo nginx -t
+sudo systemctl reload nginx
+```
+
+## 5) Hardening de SSH
+
+Criar `/etc/ssh/sshd_config.d/omnizap-hardening.conf`:
+
+```sshconfig
+PermitRootLogin no
+PasswordAuthentication no
+KbdInteractiveAuthentication no
+MaxAuthTries 3
+LoginGraceTime 20
+AllowTcpForwarding no
+X11Forwarding no
+```
+
+Validar e reiniciar:
+
+```bash
+sudo sshd -t
+sudo systemctl restart ssh
+```
+
+## 6) Atualizações de segurança do sistema
+
+```bash
+sudo apt update
+sudo apt full-upgrade -y
+sudo apt autoremove -y
+```
+
+Observação: resultados do `nmap --script vuln` são majoritariamente heurísticos por versão/CPE. A confirmação final deve seguir boletins do fornecedor (Ubuntu/Nginx/OpenSSH) e versão de pacote instalada.
+
+## 7) Checklist de validação final
+
+No host:
+
+```bash
+sudo ss -lntp | egrep ':22|:80|:443|:3001|:8007'
+```
+
+De máquina externa:
+
+```bash
+nmap -p 22,80,443,3001,8007 -sV omnizap.shop
+```
+
+Resultado esperado:
+
+- `22`, `80`, `443` abertos;
+- `3001` e `8007` filtrados/fechados externamente.
+
+## Referências
+
+- Nginx admin guide: https://nginx.org/en/docs/
+- OpenSSH hardening guidelines: https://www.openssh.com/manual.html
+- Ubuntu security notices: https://ubuntu.com/security/notices
+- UFW docs: https://manpages.ubuntu.com/manpages/jammy/en/man8/ufw.8.html