forlogic-core 2.2.1 → 2.2.3

package/docs/STORAGE_BUCKETS.md

@@ -1,7 +1,7 @@
 # Supabase Storage — Inventário e mapa de consumidores
 
 > **Projeto Supabase:** `ccjfvpnndclajkleyqkc` (qualiex-db, prod)  
-> **Snapshot:** 2026-04-21  
+> **Snapshot:** 2026-05-04  
 > **Objetivo:** mapear todos os buckets, quem os consome, suas RLS atuais e os riscos para guiar o próximo ciclo de hardening.  
 > **Escopo:** apenas documentação — nenhuma policy, bucket ou código foi alterado.
 
@@ -9,28 +9,35 @@
 
 ## 1. Visão geral
 
-15 buckets ativos. Tamanho total ≈ 320 GB (dominado por `content-videos`).
+15 buckets ativos. Tamanho total ≈ 332 GB (dominado por `content-videos`).
 
 | # | Bucket | Público | Objetos | Tamanho | MIME limit | File size limit |
 |---|---|---|---:|---:|---|---|
 | 1 | `career-banners` | ✅ | 4 | 349 kB | — | — |
-| 2 | `certificates` | ✅ | 2.270 | 929 MB | — | — |
-| 3 | `content-files` | ✅ | 5.180 | 2,3 GB | lista ampla | 2 GB |
-| 4 | `content-videos` | ✅ | 1.856 | 317 GB | só vídeo | 3 GB |
+| 2 | `certificates` | ✅ | 2.470 | 982 MB | — | — |
+| 3 | `content-files` | ✅ | 5.474 | 2,7 GB | lista ampla | 2 GB |
+| 4 | `content-videos` | ✅ | 1.929 | 326 GB | só vídeo | 3 GB |
 | 5 | `contracts` | 🔒 | 151 | 47 MB | — | — |
 | 6 | `imports` | 🔒 | 3 | 569 kB | — | — |
 | 7 | `knowledge-files` | 🔒 | 8 | 24 MB | — | — |
 | 8 | `library-assets` | ✅ | 10 | 105 kB | — | — |
-| 9 | `performance` | ✅ | 22 | 7 MB | — | — |
-| 10 | `performance-files` | ✅ | 33 | 6 MB | — | — |
-| 11 | `resumes` | 🔒 | 715 | 156 MB | — | — |
-| 12 | `thumbnails` | ✅ | 1.109 | 564 MB | — | — |
-| 13 | `trainings` | 🔒 | 10 | 10 MB | — | — |
-| 14 | `university-assets` | ✅ | 272 | 300 MB | — | — |
-| 15 | `user-uploads` | 🔒 | 986 | 1,4 GB | — | — |
+| 9 | `pdi-uploads` | 🔒 | 8 | 14 MB | — | — |
+| 10 | `performance` | 🔒 | 76 | 19 MB | — | — |
+| 11 | `resumes` | 🔒 | 745 | 162 MB | pdf/doc/docx | 10 MB |
+| 12 | `thumbnails` | ✅ | 1.158 | 585 MB | — | — |
+| 13 | `trainings` | 🔒 | 27 | 13 MB | — | — |
+| 14 | `university-assets` | ✅ | 284 | 308 MB | — | — |
+| 15 | `user-uploads` | 🔒 | 1.001 | 1,5 GB | — | — |
 
 > ℹ️ A coluna **Público** indica `storage.buckets.public`. Buckets públicos liberam download anônimo via `/storage/v1/object/public/<bucket>/<path>` e, sem policy explícita, também permitem `LIST` anônimo.
 
+### Changelog
+
+| Data | Mudança |
+|------|---------|
+| 2026-05-04 | `performance` tornado privado com 4 policies (SELECT/INSERT/UPDATE/DELETE) escopadas por alias. `performance-files` removido (deprecado). Snapshot atualizado. |
+| 2026-04-29 | Snapshot inicial. `library-assets` INSERT anônimo removido. `thumbnails` rollback para policies permissivas. |
+
 ---
 
 ## 2. Matriz Bucket × Projeto
@@ -64,10 +71,10 @@ Projetos do ecossistema (Lovable):
 | `career-banners` | | | ✅ | | | | | | |
 | `resumes` | | | ✅ | | | | | (policy) | |
 | `contracts` | | | ✅ | | | | | | |
-| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | ✅ (evidences) | ❓ | | |
+| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | | | | |
+| `pdi-uploads` | | | | | | ✅ (evidences) | | | |
 | `trainings` | | | | ✅ | | | | | |
 | `performance` | | | | | | | ✅ (1:1) | | |
-| `performance-files` | | | | | | | ⚠️ órfão | | |
 | `knowledge-files` | | | | | | | | | ❓ |
 
 Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS mas sem código consumidor encontrado · ❓ a confirmar com o time.
@@ -76,18 +83,18 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 
 ## 3. Detalhamento por bucket
 
-### 3.1 `library-assets` — 🚨 prioridade alta
+### 3.1 `library-assets` — ✅ corrigido
 
 - **Finalidade:** logos, favicons e marca branca da lib (Qualiex / Saber).
 - **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `lib/assets/index.ts`, `lib/setup/favicon.ts`. Consumido como leitura pública por todos os projetos via URL pública.
 - **Estrutura:** raiz do bucket (`logo-qualiex-white.svg`, `favicon.png`, etc.).
 - **Visibilidade:** público.
-- **RLS atuais:**
-  - `Allow public upload to library assets` — **INSERT para role `public` sem qualquer condição de auth**.
+- **RLS atuais:** **nenhuma policy de write** no `storage.objects` para esse bucket. SELECT continua público pelo flag de bucket público. INSERT/UPDATE/DELETE bloqueados para qualquer role (apenas service_role contorna RLS).
+- **Mudança recente:** a antiga policy `Allow public upload to library assets` (INSERT anônimo sem condição) foi **removida**.
 - **Riscos:**
-  - 🔴 Qualquer pessoa anônima pode subir arquivos (defacement, hospedagem indevida, custo).
-  - 🟡 `LIST` anônimo (default de bucket público) expõe inventário, mas como são logos é baixo impacto.
-- **Recomendação:** restringir `INSERT` a `authenticated` + role admin. Avaliar mover para um bucket `brand-assets` privado com signed URLs ou simplesmente versionar os SVGs no repo da lib.
+  - 🟢 Upload anônimo eliminado.
+  - 🟡 `LIST` anônimo (default de bucket público) ainda expõe inventário, mas como são logos é baixo impacto.
+- **Recomendação:** se precisar permitir upload via app, adicionar policy `TO authenticated` + checagem de admin. Caso contrário, manter como está (gerenciado via service_role/console).
 
 ---
 
@@ -97,27 +104,34 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `src/imports/wizard/services/importJobService.ts`.
 - **Estrutura:** `{alias}/{timestamp}_{filename}`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por `authenticated` + `(storage.foldername(name))[1] = jwt.alias`.
+- **RLS atuais:**
+  - `imports_bucket_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_insert` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_update` — UPDATE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_delete` — DELETE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
 - **Riscos:**
-  - 🟡 Policies estão atribuídas ao role `public`, mas com `auth.role() = 'authenticated'` no body — funcional, mas inconsistente com o padrão `TO authenticated`.
+  - 🟡 Policies estão atribuídas ao role `public` — funcional, mas inconsistente com o padrão `TO authenticated`.
 - **Recomendação:** converter as policies para `TO authenticated` (mais explícito e linter-friendly).
 
 ---
 
-### 3.3 `thumbnails` — 🚨 prioridade alta
+### 3.3 `thumbnails` — ⚠️ sem scoping por alias
 
 - **Finalidade:** miniaturas/capas de cursos e conteúdos.
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useImageUpload.ts` (default bucket).
-- **Estrutura:** `thumbnails/{filename}` (sem segregação por alias).
+- **Estrutura atual:** sem prefixo obrigatório (uploads vão na raiz).
 - **Visibilidade:** público.
 - **RLS atuais:**
-  - `Users can upload thumbnails` — **INSERT para `public` sem auth**.
-  - `Authenticated users can update/delete thumbnails` — UPDATE/DELETE só `authenticated`, mas sem scoping por alias.
+  - `Users can upload thumbnails` — INSERT `TO authenticated`, sem scoping por alias.
+  - `Users can update thumbnails` — UPDATE `TO authenticated`, sem scoping por alias.
+  - `Users can delete thumbnails` — DELETE `TO authenticated`, sem scoping por alias.
+- **Histórico:**
+  - Hardening anterior (`thumbnails_auth_insert/update/delete` exigindo `foldername[1] = jwt.alias`) quebrou os uploads do projeto Educação, que escreve direto na raiz do bucket.
+  - Em 29/04/2026 fizemos rollback para o estado anterior (3 policies permissivas para `authenticated`).
 - **Riscos:**
-  - 🔴 INSERT anônimo permite upload sem login.
-  - 🟠 Sem segregação por `alias`: um tenant autenticado pode atualizar/deletar miniaturas de outro tenant.
-  - 🟡 `LIST` público.
-- **Recomendação:** trocar `Users can upload thumbnails` por uma policy `TO authenticated` com scoping `(storage.foldername(name))[1] = jwt.alias`. Aplicar o mesmo scoping em UPDATE/DELETE.
+  - 🔴 Sem isolamento multi-tenant: qualquer usuário autenticado pode sobrescrever/apagar arquivos de qualquer tenant.
+  - 🟡 `LIST` público (bucket público) — inventário visível.
+- **Próximo passo (P1):** ajustar `src/modules/contents/hooks/useImageUpload.ts` para gravar em `{alias}/...` e então reaplicar as policies com scoping por alias.
 
 ---
 
@@ -127,7 +141,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useImageUpload.ts`, `src/modules/contents/services/aiDocsService.ts`.
 - **Estrutura:** `{alias}/...` em parte das chamadas (não obrigatório).
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` exigindo `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+- **RLS atuais:**
+  - `university_assets_auth_insert` — INSERT `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_update` — UPDATE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_delete` — DELETE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
 - **Riscos:**
   - 🟠 Qualquer usuário autenticado de qualquer tenant pode sobrescrever/excluir arquivos de qualquer outro tenant.
   - 🟡 `LIST` público.
@@ -143,7 +160,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
   - [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `src/training/utils/evidenceUrlResolver.ts` (leitura via `getPublicUrl`).
 - **Estrutura:** sem padrão por alias (arquivos no root).
 - **Visibilidade:** público (mesmo o código gerando signed URLs — ou seja, a privacidade pretendida não é real).
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias. SELECT público (bucket público).
+- **RLS atuais:**
+  - `Authenticated users can upload certificates` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update certificates` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete certificates` — DELETE `TO authenticated`, sem scoping.
 - **Riscos:**
   - 🔴 Certificados são **PII** (nome do aluno, curso, datas). Bucket público + sem scoping = qualquer URL adivinhada/descoberta vaza dados pessoais.
   - 🟠 `LIST` anônimo expõe inventário com nomes de arquivo.
@@ -157,7 +177,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useFileUpload.ts`, `docs/SCORM_IMPLEMENTATION.md`.
 - **Estrutura:** `{packageFolder}/...` (SCORM); demais sem padrão claro.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias.
+- **RLS atuais:**
+  - `Authenticated users can upload content-files` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update content-files` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete content-files` — DELETE `TO authenticated`, sem scoping.
 - **Riscos:**
   - 🟠 Materiais de treinamento de um cliente podem estar acessíveis publicamente para quem tiver a URL/listar o bucket.
   - 🟡 `LIST` público.
@@ -171,10 +194,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/contexts/UploadQueueContext.tsx`, `src/modules/contents/hooks/useVideoUpload.ts`.
 - **Estrutura:** `{alias}/{filename}`.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` com **scoping por alias** (`(storage.foldername(name))[1] = jwt.alias`). SELECT público.
+- **RLS atuais:**
+  - `content_videos_auth_insert` — INSERT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_update` — UPDATE `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_delete` — DELETE `TO authenticated`, `foldername[1] = jwt.alias`.
 - **Riscos:**
   - 🟠 Vídeos premium acessíveis por URL pública direta.
-  - 🟡 `LIST` público (alto volume — 317 GB).
+  - 🟡 `LIST` público (alto volume — 326 GB).
 - **Recomendação:** considerar privado + signed URLs (igual a Vimeo/Mux). Custo: rever player e CDN.
 
 ---
@@ -185,10 +211,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654).
 - **Estrutura:** raiz.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/DELETE só `authenticated`. SELECT público (esperado).
+- **RLS atuais:**
+  - `career_banners_upload` — INSERT, role `public`, `auth.role() = 'authenticated'`.
+  - `career_banners_delete` — DELETE, role `public`, `auth.role() = 'authenticated'`.
 - **Riscos:**
   - 🟡 Sem scoping por alias — qualquer admin de qualquer tenant pode deletar banners de outro.
-- **Recomendação:** scoping por alias se houver mais de um cliente usando.
+  - 🟡 Policies em role `public` em vez de `TO authenticated`.
+- **Recomendação:** scoping por alias se for multi-tenant. Padronizar para `TO authenticated`.
 
 ---
 
@@ -201,11 +230,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Estrutura:** `{alias}/{filename}` (Colaboradores) e `{auth.uid()}/...` (Cockpit) — **dois esquemas convivendo**.
 - **Visibilidade:** privado.
 - **RLS atuais:**
-  - `resumes_alias_select`, `resumes_auth_upload` — escopados por `jwt.alias`, exigem extensões `pdf|doc|docx|jpg|jpeg|png`.
+  - `resumes_alias_select` — SELECT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `resumes_auth_upload` — INSERT `TO authenticated`, `foldername[1] = jwt.alias` + extensões `pdf|doc|docx|jpg|jpeg|png`.
+- **⚠️ Incongruência MIME:** o bucket aceita apenas `pdf/doc/docx` (configuração `allowed_mime_types`), mas a policy `resumes_auth_upload` lista também `jpg|jpeg|png`. Na prática o bucket rejeitaria imagens pelo MIME antes da policy ser avaliada, mas a policy está desatualizada.
 - **Riscos:**
   - 🟠 Há duas convenções de path conflitantes (alias vs uid). Pode haver arquivos "órfãos" que não casam com nenhuma policy.
   - 🟠 Não há policy explícita de UPDATE/DELETE listada.
-- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE.
+- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE. Remover extensões de imagem da policy para casar com o bucket.
 
 ---
 
@@ -215,17 +246,21 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — `src/contracts/contractService.ts`, edge function `contract-processor`.
 - **Estrutura:** `{templates|generated}/{alias}/{filename}`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por pasta + alias.
+- **RLS atuais:**
+  - `contracts_select` — SELECT, role `public`, `foldername[1] IN ('templates','generated')` + `foldername[2] = jwt.alias`.
+  - `contracts_insert` — INSERT, role `public`, mesma condição.
+  - `contracts_update` — UPDATE, role `public`, mesma condição.
+  - `contracts_delete` — DELETE `TO authenticated`, mesma condição.
 - **Riscos:**
-  - 🟢 Bem segregado.
-  - 🟡 Policies estão em role `public` com `auth.role() = 'authenticated'` implícito via `jwt`. Funcional mas inconsistente.
+  - 🟢 Bem segregado por alias.
+  - 🟡 SELECT/INSERT/UPDATE em role `public` (funcional mas inconsistente).
 - **Recomendação:** padronizar para `TO authenticated`.
 
 ---
 
 ### 3.11 `user-uploads` — 🚨 alta complexidade
 
-Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colaboradores, Treinamentos, Matriz de Foco, PDI).
+Bucket multi-projeto, segregado por subpasta. **Usado por 3 projetos** (Colaboradores, Treinamentos, Matriz de Foco).
 
 - **Visibilidade:** privado.
 - **Estrutura por consumidor:**
@@ -238,26 +273,31 @@ Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colabora
   | `trainings/.../{alias}/...` | Treinamentos | Evidências de treinamento (alias na 3ª pasta) |
   | `evidence-images/...` | Matriz de Foco | Imagens coladas no rich-text editor |
   | `evidence-attachments/{evidenceId}/...` | Matriz de Foco | Anexos de evidências |
-  | `evidences/...` | PDI | Anexos de planos de ação |
 
-- **RLS atuais:**
-  - `interview_scoped_select` — SELECT escopado.
-  - `training_requests_attachments_select/insert/delete` — escopados.
-  - `imported_evidence_select/insert` — escopados.
-  - `trainings_bucket_*` — escopados (mas no bucket `trainings`, não no `user-uploads`).
-  - `Authenticated users can update user-uploads` — **UPDATE genérico para qualquer authenticated, sem scoping**.
-  - `authenticated_interview_upload` — INSERT genérico no bucket sem scoping (legado da Matriz de Foco antes da migração `20260328223532`).
-  - **Não vejo policies SELECT/INSERT explícitas para `evidence-images/`, `evidence-attachments/` e `evidences/`** — provavelmente estão dependendo da policy genérica `authenticated` existente em outra migração.
+- **RLS atuais (05/05/2026):**
+
+  | Policy | Cmd | Role | Scoping |
+  |--------|-----|------|---------|
+  | `interview_scoped_select` | SELECT | `public` | `foldername[1] = 'interviews'` + `foldername[2] = jwt.alias` |
+  | `authenticated_interview_upload` | INSERT | `public` | `auth.role() = 'authenticated'` — **sem scoping por subpasta/alias** ⚠️ |
+  | `training_requests_attachments_select` | SELECT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_insert` | INSERT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_delete` | DELETE | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_select` | SELECT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_insert` | INSERT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `evidence_uploads_select` | SELECT | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `evidence_uploads_delete` | DELETE | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `Authenticated users can update user-uploads` | UPDATE | `authenticated` | `foldername[2] = jwt.alias` (cobre `*/{alias}/...`, mas não `evidence-images/` nem `evidences/`) |
 
 - **Riscos:**
-  - 🔴 UPDATE genérico permite que qualquer authenticated sobrescreva arquivos de outros tenants e outros projetos.
-  - 🔴 Sem policies específicas para Matriz de Foco / PDI, a leitura/insert pode estar usando uma policy genérica `authenticated_select/insert` (precisa verificar) — se sim, **vazamento cross-tenant**.
+  - 🔴 `authenticated_interview_upload` continua permitindo que qualquer authenticated grave em qualquer subpasta do bucket (cross-tenant + cross-projeto).
+  - 🔴 `evidence_uploads_select/delete` não checam alias — qualquer authenticated lê/deleta evidências da Matriz de Foco de outros tenants.
   - 🟠 Padrão de path inconsistente entre projetos (uns usam alias na 1ª pasta, outros na 3ª, outros não usam).
 
 - **Recomendação:**
   - Padronizar para `{projeto}/{alias}/...`.
-  - Substituir UPDATE genérico por policies por subpasta + alias.
-  - Auditar e adicionar policies específicas para `evidence-images`, `evidence-attachments`, `evidences`.
+  - Substituir `authenticated_interview_upload` por INSERT por subpasta + alias.
+  - Adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco).
 
 ---
 
@@ -267,87 +307,117 @@ Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colabora
 - **Consumidor:** [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `LeaderResolveModal`, `LeaderPendingSelectModal`.
 - **Estrutura:** `.../.../{alias}/...` (alias na 3ª pasta — esquisito).
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT escopados por `(storage.foldername(name))[2] = jwt.alias`.
+- **RLS atuais:**
+  - `trainings_bucket_select` — SELECT, role `public`, `foldername[2] = jwt.alias`.
+  - `trainings_bucket_insert` — INSERT, role `public`, `foldername[2] = jwt.alias`.
 - **Riscos:**
   - 🟡 Discrepância: a policy usa pasta `[2]`, mas o resolver de evidências em `evidenceUrlResolver.ts` aceita o bucket. Validar se o path real bate.
   - 🟠 Sem policy explícita de UPDATE/DELETE.
-- **Recomendação:** confirmar convenção de path e adicionar UPDATE/DELETE escopados.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
+- **Recomendação:** confirmar convenção de path, adicionar UPDATE/DELETE escopados e padronizar para `TO authenticated`.
 
 ---
 
-### 3.13 `performance` — média/alta
+### 3.13 `performance` — ✅ corrigido (05/2026)
 
-- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios de tarefa.
+- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios.
 - **Consumidor:** [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
   - `src/one-on-ones/services/evidenceService.ts` → pasta `evidences/`
   - `src/one-on-ones/services/taskReportService.ts` → pasta `task-reports/`
-  - Ambos usam `getPublicUrl` (ou seja, dependem do bucket ser público para servir os arquivos).
-- **Estrutura real:** `evidences/...` e `task-reports/...` no root (sem segregação por `alias` ou `auth.uid()`).
-- **Visibilidade:** público.
-- **RLS atuais:** apenas `performance_authenticated_insert` (INSERT escopado por `(storage.foldername(name))[1] = jwt.alias`). **Sem SELECT/UPDATE/DELETE explícitos** — caem no default do bucket público.
+- **Estrutura:** `{alias}/evidences/...` e `{alias}/task-reports/...`.
+- **Visibilidade:** 🔒 **privado** (alterado de público para privado).
+- **RLS atuais (pós-hardening):**
+  - `performance_authenticated_select` — SELECT `TO authenticated`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_insert` — INSERT, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_update` — UPDATE, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_delete` — DELETE, role `public`, `jwt.alias = foldername[1]`.
+- **Mudança recente:** bucket tornado privado + 4 policies com scoping por alias na 1ª pasta. Resolve os riscos P0 apontados anteriormente.
 - **Riscos:**
-  - 🔴 Policy de INSERT exige alias na 1ª pasta, mas o **código grava em `evidences/{file}` e `task-reports/{file}`** — ou seja, a policy **não bate com o path real** e o INSERT só funciona porque… provavelmente está funcionando via outra policy genérica ou os arquivos foram criados antes da policy. Precisa investigar (22 objetos, último em 20/04).
-  - 🔴 Bucket público + sem segregação por tenant = qualquer URL adivinhada vaza evidências de qualquer cliente.
-  - 🟠 `LIST` anônimo expõe inventário.
-- **Recomendação:**
-  1. Realinhar o código para `{alias}/evidences/...` e `{alias}/task-reports/...` (ou alterar a policy para casar com o path atual).
-  2. Tornar privado e migrar o front para signed URLs.
-  3. Adicionar SELECT/UPDATE/DELETE escopados por alias + autor.
+  - 🟢 Isolamento multi-tenant via alias — resolvido.
+  - 🟡 INSERT/UPDATE/DELETE em role `public` (funcional mas inconsistente com o padrão `TO authenticated`).
+  - 🟡 O código de Desempenho pode precisar migrar de `getPublicUrl` para `createSignedUrl` (bucket agora privado).
+- **Recomendação:** padronizar policies para `TO authenticated`. Confirmar que o front de Desempenho já usa signed URLs.
 
 ---
 
-### 3.14 `performance-files` — ⚠️ órfão (candidato a deprecar)
-
-- **Origem:** criado pela migração `20260203114103_ffecc964-7e28-4605-8516-b851f62d0433.sql` no projeto Desempenho ("bucket dedicado para o módulo de desempenho").
-- **Consumidor atual:** **nenhum** — busca em todo o projeto Desempenho (e nos demais 13 projetos do ecossistema) não encontra nenhuma referência ao nome `performance-files` fora da própria migração. Os 33 objetos existentes parecem ser de testes manuais ou de uma implementação anterior que foi substituída por `performance`.
-- **Estrutura:** `{auth.uid()}/...` (assumido pela policy de DELETE).
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `performance_files_public_read` — SELECT para `public` sem condição.
-  - `performance_files_authenticated_insert` — INSERT só `authenticated`, sem scoping por alias.
-  - `performance_files_owner_delete` — DELETE só pelo dono via `auth.uid()`.
-- **Riscos:**
-  - 🟠 Bucket sem código consumidor: nenhum hardening é prioridade, mas mantê-lo aberto é superfície de ataque desnecessária.
-  - 🔴 Bucket público + INSERT sem scoping por alias = qualquer authenticated pode poluir o bucket.
-- **Recomendação:** **deprecar**. Backup dos 33 objetos atuais, migrar (se algum for relevante) para `performance`, depois remover o bucket. Confirmar com o time de Desempenho antes de deletar.
-
----
-
-### 3.15 `knowledge-files` — ❓ a confirmar
+### 3.14 `knowledge-files` — ❓ a confirmar
 
 - **Finalidade provável:** base de conhecimento para IA / chatbot.
 - **Consumidor:** sem uso direto encontrado em nenhum dos 14 projetos. 8 objetos, último em março/2026.
 - **Estrutura:** `{alias}/...`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT escopados por `authenticated` + alias.
+- **RLS atuais:**
+  - `knowledge_files_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `knowledge_files_upload` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
 - **Riscos:**
   - 🟡 Sem UPDATE/DELETE explícitos.
   - 🟡 Provavelmente consumido por uma edge function (não por front) — confirmar.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
 - **Recomendação:** identificar consumidor e validar fluxo antes de mexer.
 
 ---
 
+### 3.15 `pdi-uploads` — ✅ novo (05/2026)
+
+- **Finalidade:** evidências de ações nos Planos de Desenvolvimento Individual (PDI).
+- **Consumidor:** exclusivamente [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
+  - `src/modules/plans/utils/evidenceStorage.ts` — helper centralizado (`uploadEvidence`, `resolveEvidenceUrl`, `getEvidenceSignedUrl`)
+  - `src/modules/plans/components/tracking/EvidenceModal.tsx` — upload de evidências no acompanhamento
+  - `src/modules/plans/components/ActionManagementModal.tsx` — upload/edição de evidências em ações
+- **Estrutura:** `{alias}/evidences/{timestamp}_{sanitized_filename}`.
+- **Visibilidade:** 🔒 **privado** — acesso via signed URLs (1h de validade).
+- **Limites:** sem restrição de MIME type ou tamanho no bucket (validação no front: 10 MB max).
+- **RLS atuais (3 policies, todas `TO authenticated` com scoping por alias):**
+  - `pdi_uploads_select` — SELECT, `bucket_id = 'pdi-uploads' AND foldername[1] = jwt.alias`.
+  - `pdi_uploads_insert` — INSERT, mesma condição em `WITH CHECK`.
+  - `pdi_uploads_update` — UPDATE, mesma condição em `USING` e `WITH CHECK`.
+- **Sem policy de DELETE** — alinhado com a regra de soft delete do projeto (evidências são desvinculadas no registro, não apagadas do storage).
+- **Origem:** bucket criado durante migração de evidências do PDI, que antes usava `user-uploads/evidences/`. Migração concluída em 05/2026 (ver `docs/pdi-storage-migration-plan.md`).
+- **Riscos:**
+  - 🟢 Isolamento multi-tenant via alias — correto desde a criação.
+  - 🟢 Todas as policies usam `TO authenticated` (padrão correto).
+  - 🟢 Signed URLs no front (bucket privado desde o início).
+- **Recomendação:** nenhuma ação necessária — bucket exemplar.
+
+---
+
 ## 4. Padrões de policies (síntese)
 
-Boas práticas observadas no projeto:
+### 4.1 Boas práticas observadas
 
 | Padrão | Onde aparece | Recomendar generalizar |
 |---|---|---|
-| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes | ✅ sim — virar padrão |
-| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes | ✅ sim — converter as policies em role `public` |
+| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes, performance, **pdi-uploads** | ✅ sim — virar padrão |
+| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes, evidence_uploads, **pdi-uploads** | ✅ sim — converter as policies em role `public` |
 | `(SELECT auth.jwt())` (e não `auth.jwt()`) | a maioria das policies novas | ✅ obrigatório (linter) |
-| Bucket privado + signed URLs | certificates (Educação), contracts | ✅ aplicar a thumbnails, content-files, content-videos |
+| Bucket privado + signed URLs | certificates (Educação), contracts, performance, **pdi-uploads** | ✅ aplicar a thumbnails, content-files, content-videos |
+
+### 4.2 Policies com role `public` (debt técnico)
+
+As seguintes policies usam `roles: {public}` com `auth.role() = 'authenticated'` no body em vez do mais correto `TO authenticated`. Funcionam, mas geram warnings no linter e são inconsistentes com o padrão:
+
+| Bucket | Policies afetadas |
+|--------|-------------------|
+| `career-banners` | `career_banners_upload`, `career_banners_delete` |
+| `contracts` | `contracts_select`, `contracts_insert`, `contracts_update` |
+| `imports` | `imports_bucket_select`, `imports_bucket_insert`, `imports_bucket_update`, `imports_bucket_delete` |
+| `knowledge-files` | `knowledge_files_select`, `knowledge_files_upload` |
+| `performance` | `performance_authenticated_insert`, `performance_authenticated_update`, `performance_authenticated_delete` |
+| `trainings` | `trainings_bucket_select`, `trainings_bucket_insert` |
+| `user-uploads` | `authenticated_interview_upload`, `interview_scoped_select`, `training_requests_*`, `imported_evidence_*` |
+
+**Recomendação:** migrar todas para `TO authenticated` em uma migration batch (P2 — sem mudança funcional).
 
 ---
 
 ## 5. Itens em aberto (a confirmar com o time)
 
 1. **`knowledge-files`**: quem consome? É edge function?
-2. **`performance-files`**: confirmar com o time de Desempenho que pode ser deprecado (não há código consumidor; 33 objetos de origem desconhecida).
-3. **`performance`**: alinhar path do código (`evidences/`, `task-reports/`) com a policy (que exige alias na 1ª pasta) — atualmente são incompatíveis.
-4. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
-5. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
-6. **`user-uploads` para Matriz de Foco e PDI**: existem policies dedicadas ou tudo cai numa policy genérica `authenticated`?
+2. **`performance`**: confirmar que o front de Desempenho já migrou de `getPublicUrl` para signed URLs após o bucket ser tornado privado.
+3. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
+4. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
+5. **`user-uploads` para Matriz de Foco**: `evidence_uploads_select/delete` não checam alias — risco cross-tenant confirmado. (PDI já migrou para `pdi-uploads`).
+6. **`resumes`**: policy permite `jpg/jpeg/png` mas bucket só aceita `pdf/doc/docx` — limpar policy.
 
 ---
 
@@ -357,18 +427,20 @@ Boas práticas observadas no projeto:
 
 | Prioridade | Bucket | Ação |
 |---|---|---|
-| 🔴 P0 | `library-assets` | Remover `Allow public upload to library assets` (INSERT anônimo). |
-| 🔴 P0 | `thumbnails` | Trocar `Users can upload thumbnails` por policy `TO authenticated` + scoping por alias. |
-| 🔴 P0 | `user-uploads` | Substituir UPDATE genérico por policies por subpasta + alias; auditar Matriz de Foco e PDI. |
+| ✅ done | `library-assets` | INSERT anônimo removido (sem policies de write). |
+| ✅ done | `thumbnails` | INSERT/UPDATE/DELETE `TO authenticated` (sem scoping — pendente ajuste no front). |
+| ✅ done | `performance` | Tornado privado + 4 policies com scoping por alias. |
+| ✅ done | `performance-files` | Bucket deprecado e removido. |
+| ✅ done | `pdi-uploads` | Bucket criado (privado) + 3 policies `TO authenticated` com scoping por alias. Migração de `user-uploads` concluída. |
+| 🔴 P0 | `user-uploads` | Substituir `authenticated_interview_upload` (INSERT genérico) por INSERT por subpasta + alias; adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco). |
 | 🔴 P0 | `certificates` | Tornar privado + migrar Treinamentos para signed URLs. |
+| 🟠 P1 | `thumbnails` | Ajustar front de Educação para gravar em `{alias}/...` e reaplicar scoping por alias. |
 | 🟠 P1 | `university-assets`, `content-files` | Adicionar scoping por alias em UPDATE/DELETE/INSERT. |
-| 🔴 P0 | `performance` | Realinhar path do código (`evidences/`, `task-reports/`) com a policy de INSERT (que exige `{alias}/...`); tornar privado; adicionar SELECT escopado. |
-| 🟠 P1 | `performance-files` | Deprecar bucket — nenhum código consumidor encontrado; backup dos 33 objetos e remover. |
-| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid) e adicionar UPDATE/DELETE. |
-| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza, sem mudança funcional). |
+| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid), adicionar UPDATE/DELETE, remover extensões de imagem da policy. |
+| 🟡 P2 | Múltiplos | Padronizar ~20 policies de role `public` para `TO authenticated` (limpeza, sem mudança funcional). Ver seção 4.2. |
+| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza). |
 | 🟡 P2 | `career-banners` | Scoping por alias se for multi-tenant. |
 | 🟡 P2 | `content-videos` | Avaliar privado + signed URLs (impacto no player). |
-| 🟡 P2 | Todos públicos | Substituir SELECT default por SELECT `TO authenticated` (ou `TO public` apenas para os realmente públicos como `library-assets` e `career-banners`) — alinha com plano já existente em [Cockpit `.lovable/plan.md`](/projects/e6853fb4-67f9-4776-b427-7768a9136f10). |
 
 ---
 

package/docs/SUPABASE_SECRETS.md

@@ -0,0 +1,122 @@
+# Supabase Secrets — Inventário
+
+> **Projeto Supabase:** `ccjfvpnndclajkleyqkc`
+>
+> Todas as secrets são compartilhadas entre os projetos Lovable que apontam para este mesmo projeto Supabase.
+> Última atualização: 2026-05-04
+
+---
+
+## Infraestrutura Supabase (automáticas)
+
+Secrets gerenciadas automaticamente pelo Supabase. **Não editar manualmente.**
+
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `SUPABASE_URL` | URL do projeto Supabase | Todos com edge functions |
+| `SUPABASE_SERVICE_ROLE_KEY` | Chave admin — bypass de RLS em edge functions | Todos com edge functions |
+| `SUPABASE_ANON_KEY` | Chave pública anon (usada em `createClient` server-side) | Cockpit, Educação, PDI, Competências, Colaboradores |
+| `SUPABASE_DB_URL` | Connection string PostgreSQL | Infraestrutura interna Supabase |
+
+---
+
+## Autenticação e JWT
+
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `JWT_SECRET` | Verificação de assinatura HMAC-SHA256 dos JWTs customizados | **Admin** (validate-token, azure-blob-upload, clicksign, d4sign, send-email), **Cockpit** (_shared/auth), **Colaboradores** (sensitive-data, entra-id-sync, collaborator-webhook, contract-*), **PDI** (dev-tokens) | Crítica — usada para validar tokens em todas as edge functions protegidas |
+| `VALIDATE_JWT_ENDPOINT` | URL de endpoint externo para validação de JWT (Qualiex API) | **Admin** (validate-token), **Treinamentos** (docs-documents-used, docs-process-outdated, notify-leader) | Fallback quando JWT_SECRET não é usado diretamente |
+| `SUPABASE_PUBLISHABLE_KEY` | Chave pública do projeto (alias da anon key) | **Admin** (validate-token) | Usada para validar tokens de projetos consumidores |
+| `SUPABASE_PUBLISHABLE_KEYS` | Lista de chaves públicas de múltiplos projetos | **Admin** (validate-token) | Suporte multi-projeto na validação |
+| `SUPABASE_SECRET_KEYS` | Lista de chaves secretas de múltiplos projetos | **Admin** (validate-token) | Suporte multi-projeto na validação |
+| `SUPABASE_JWKS` | JSON Web Key Set para validação de tokens | **Admin** (validate-token) | Padrão JWKS para rotação de chaves |
+
+---
+
+## Desenvolvimento e Preview
+
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `DEV_ACCESS_TOKEN` | Token OAuth pré-configurado para ambiente de preview | **Admin**, **Cockpit** (sync-completed, view-pendencias), **Documentos**, **PDI** | Permite autenticação no preview Lovable sem fluxo OAuth |
+| `DEV_ID_TOKEN` | ID token pré-configurado para ambiente de preview | **Admin**, **Cockpit**, **Documentos**, **PDI** | Par do DEV_ACCESS_TOKEN |
+| `DEV_TOKENS_SECRET` | Secret de autenticação da edge function `dev-tokens` | **Admin** | Protege o endpoint que retorna os tokens de dev |
+| `CRON_SECRET` | Header de autenticação do cron job `audit-ship` | **Admin** | Enviado como `x-cron-secret` pelo pg_cron |
+
+---
+
+## E-mail (AWS SES)
+
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `AWS_ACCESS_KEY_ID` | Credencial IAM para AWS SES | **Admin** (send-email), **Cockpit** (notify-suggestion), **Treinamentos** (docs-process-outdated) |
+| `AWS_SECRET_ACCESS_KEY` | Credencial IAM para AWS SES | **Admin** (send-email), **Cockpit** (notify-suggestion), **Treinamentos** (docs-process-outdated) |
+| `AWS_SES_REGION` | Região do SES (default: `us-east-1`) | **Admin**, **Cockpit**, **Treinamentos** |
+| `AWS_SES_FROM_EMAIL` | Endereço de e-mail remetente | **Admin**, **Cockpit**, **Treinamentos** |
+| `AWS_SES_FROM_NAME` | Nome exibido como remetente | **Admin**, **Cockpit**, **Treinamentos** |
+| `SUGGESTION_NOTIFY_EMAIL` | E-mail destino para notificações de sugestões do Cockpit | **Cockpit** (notify-suggestion) |
+
+---
+
+## Azure
+
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `AZURE_BLOB_ACCOUNT_URL` | URL da conta Azure Blob Storage | **Admin** (azure-blob-upload) | Upload de arquivos para Azure |
+| `AZURE_BLOB_ACCOUNT_KEY` | SharedKey da conta Azure Blob | **Admin** (azure-blob-upload) | Método preferido de autenticação |
+| `AZURE_BLOB_SAS_TOKEN` | SAS Token para Azure Blob | **Admin** (azure-blob-upload) | ⚠️ **Deprecated** — fallback do `AZURE_BLOB_ACCOUNT_KEY` |
+| `AZURE_TENANT_ID` | Tenant ID do Azure AD (Entra ID) | **Colaboradores** (entra-id-sync) | Sincronização de usuários via Microsoft Graph |
+| `AZURE_CLIENT_ID` | Client ID do app Azure AD | **Colaboradores** (entra-id-sync) | Par do AZURE_TENANT_ID |
+
+> **Nota:** Existia uma secret `AZURE_CLIENT_SECRET` que era recriada indevidamente. Nenhum projeto no workspace a referencia no código — a origem da recriação não foi identificada.
+
+---
+
+## Integrações de IA
+
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `OPENAI_API_KEY` | Chave da API OpenAI (GPT) | **Educação** (generate-block-content, generate-course-structure, process-document, extract-certificate-data, generate-quiz-from-document), **Desempenho** (generate-questions-ai, performance-generate-*), **PDI** (generate-pdi-actions, generate-strategic-plan), **Competências** (generate-questions-ai), **Pulso** (analyze-comments, analyze-survey-data, generate-action-plan, refine-action-plan, analyze-custom-survey, generate-survey-action-plan), **Treinamentos** (generate-quiz-from-document, suggest-evaluation-criteria, validate-certificate) |
+| `OPENROUTER_API_KEY` | Chave do OpenRouter (modelo: `google/gemini-2.5-flash`) | **Matriz de Foco** (generic-app-scan, manager-chat, outlook-calendar, redundancy-hunter, smart-assistant) |
+| `LOVABLE_API_KEY` | Chave da API Lovable (AI Gateway) | **Educação** (generate-questions-ai) |
+
+---
+
+## Integrações Externas
+
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `CLICKSIGN_SANDBOX_API_KEY` | API Key do Clicksign (ambiente sandbox) | **Admin** (clicksign) | Assinatura eletrônica de documentos |
+| `ELASTIC_URL` | URL do cluster Elasticsearch | **Admin** (audit-ship) | Destino dos logs de auditoria |
+| `ELASTIC_API_KEY` | API Key do Elasticsearch | **Admin** (audit-ship) | Autenticação no cluster |
+| `HUBSPOT_PRIVATE_APP_TOKEN` | Token de app privado do HubSpot | **Cockpit** (hubspot-tickets) | No código é lido como `HUBSPOT_ACCESS_TOKEN` via `Deno.env.get()` |
+| `SENSITIVE_DATA_KEY` | Chave AES-GCM para criptografia de dados sensíveis (CPF, etc.) | **Colaboradores** (sensitive-data, api-export-sensitive-data, entra-id-sync), **Matriz de Foco** (generic-app-scan, generic-app-secrets, migrate-legacy-tokens) | Chave hex de 256 bits |
+| `VITE_QUALIEX_API_URL` | URL da API Qualiex | **Admin** (validate-token), **Cockpit** (_shared/auth), **Treinamentos** (docs-process-outdated, notify-leader) | Configuração de ambiente (prod vs dev) |
+
+---
+
+## Secrets sem Referência no Código
+
+| Secret | Status | Recomendação |
+|--------|--------|-------------|
+| `VITE_BUILDER_API_KEY` | Nenhuma edge function ou código frontend referencia esta secret | ⚠️ Candidata a remoção — verificar se algum serviço externo a utiliza antes de deletar |
+
+---
+
+## Secrets Específicas de Projetos (não listadas acima)
+
+Estas secrets são usadas apenas por projetos específicos mas vivem no mesmo projeto Supabase:
+
+| Secret (no código) | Projeto | Finalidade |
+|---------------------|---------|-----------|
+| `TRAININGS_SERVICE_API_KEY` | **Treinamentos** | Auth service-to-service entre edge functions |
+| `HUBSPOT_ACCESS_TOKEN` | **Cockpit** | Mesmo valor de `HUBSPOT_PRIVATE_APP_TOKEN` (nome diferente no `Deno.env.get`) |
+
+> **Nota:** Estas secrets podem não estar na lista do dashboard se foram adicionadas diretamente ou por outro projeto. Verifique no [painel de secrets](https://supabase.com/dashboard/project/ccjfvpnndclajkleyqkc/settings/functions).
+
+---
+
+## Referências
+
+- [Painel de Secrets do Supabase](https://supabase.com/dashboard/project/ccjfvpnndclajkleyqkc/settings/functions)
+- [Plano de Segurança (Fase 2)](./../.lovable/plan.md)
+- [Inventário de Storage Buckets](./STORAGE_BUCKETS.md)