npm - forlogic-core - Versions diffs - 2.2.2 → 2.2.4 - Mend

forlogic-core 2.2.2 → 2.2.4

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (9) hide show

package/dist/index.esm.js +1 -1
package/dist/index.js +1 -1
package/dist/supabase/legacyKeyGuard.d.ts +19 -0
package/docs/STORAGE_BUCKETS.md +163 -96
package/docs/SUPABASE_SECRETS.md +122 -0
package/docs/WORKSPACE_KNOWLEDGE.md +34 -0
package/docs/design-system/patterns/feature-flags.md +57 -0
package/docs/design-system/patterns/vite-tailwind-setup.md +1 -0
package/package.json +1 -1

package/dist/supabase/legacyKeyGuard.d.ts ADDED Viewed

@@ -0,0 +1,19 @@
+/**
+ * Detecta se a VITE_SUPABASE_PUBLISHABLE_KEY é uma legacy anon key (JWT)
+ * e oferece fallback via VITE_SUPABASE_PK_OVERRIDE.
+ *
+ * O Supabase desativou legacy API keys — a nova key usa formato `sb_publishable_*`.
+ * O Lovable auto-regenera o .env sobrescrevendo VITE_SUPABASE_PUBLISHABLE_KEY com a
+ * legacy key. Para contornar, os projetos podem definir VITE_SUPABASE_PK_OVERRIDE
+ * que o Lovable nunca toca.
+ */
+/** Retorna true se a key é um JWT legado (começa com `eyJ`). */
+export declare function isLegacyAnonKey(key: string | undefined): boolean;
+/**
+ * Resolve a publishable key correta:
+ * 1. Se VITE_SUPABASE_PK_OVERRIDE existe → usa ela (ignora a outra)
+ * 2. Senão → usa VITE_SUPABASE_PUBLISHABLE_KEY
+ */
+export declare function resolvePublishableKey(): string;
+/** Verifica a env var e loga erro/info no console (uma única vez). Retorna true se legada sem override. */
+export declare function warnIfLegacyKey(): boolean;

package/docs/STORAGE_BUCKETS.md CHANGED Viewed

@@ -1,7 +1,7 @@
 # Supabase Storage — Inventário e mapa de consumidores
 > **Projeto Supabase:** `ccjfvpnndclajkleyqkc` (qualiex-db, prod)
-> **Snapshot:** 2026-04-29
+> **Snapshot:** 2026-05-04
 > **Objetivo:** mapear todos os buckets, quem os consome, suas RLS atuais e os riscos para guiar o próximo ciclo de hardening.
 > **Escopo:** apenas documentação — nenhuma policy, bucket ou código foi alterado.
@@ -9,28 +9,35 @@
 ## 1. Visão geral
-15 buckets ativos. Tamanho total ≈ 330 GB (dominado por `content-videos`).
+15 buckets ativos. Tamanho total ≈ 332 GB (dominado por `content-videos`).
 | # | Bucket | Público | Objetos | Tamanho | MIME limit | File size limit |
 |---|---|---|---:|---:|---|---|
 | 1 | `career-banners` | ✅ | 4 | 349 kB | — | — |
-| 2 | `certificates` | ✅ | 2.430 | 978 MB | — | — |
-| 3 | `content-files` | ✅ | 5.362 | 2,5 GB | lista ampla | 2 GB |
-| 4 | `content-videos` | ✅ | 1.923 | 325 GB | só vídeo | 3 GB |
+| 2 | `certificates` | ✅ | 2.470 | 982 MB | — | — |
+| 3 | `content-files` | ✅ | 5.474 | 2,7 GB | lista ampla | 2 GB |
+| 4 | `content-videos` | ✅ | 1.929 | 326 GB | só vídeo | 3 GB |
 | 5 | `contracts` | 🔒 | 151 | 47 MB | — | — |
 | 6 | `imports` | 🔒 | 3 | 569 kB | — | — |
 | 7 | `knowledge-files` | 🔒 | 8 | 24 MB | — | — |
 | 8 | `library-assets` | ✅ | 10 | 105 kB | — | — |
-| 9 | `performance` | ✅ | 37 | 11 MB | — | — |
-| 10 | `performance-files` | ✅ | 33 | 6,4 MB | — | — |
-| 11 | `resumes` | 🔒 | 738 | 161 MB | pdf/doc/docx | 10 MB |
-| 12 | `thumbnails` | ✅ | 1.145 | 577 MB | — | — |
-| 13 | `trainings` | 🔒 | 24 | 12 MB | — | — |
-| 14 | `university-assets` | ✅ | 275 | 304 MB | — | — |
-| 15 | `user-uploads` | 🔒 | 1.000 | 1,4 GB | — | — |
+| 9 | `pdi-uploads` | 🔒 | 8 | 14 MB | — | — |
+| 10 | `performance` | 🔒 | 76 | 19 MB | — | — |
+| 11 | `resumes` | 🔒 | 745 | 162 MB | pdf/doc/docx | 10 MB |
+| 12 | `thumbnails` | ✅ | 1.158 | 585 MB | — | — |
+| 13 | `trainings` | 🔒 | 27 | 13 MB | — | — |
+| 14 | `university-assets` | ✅ | 284 | 308 MB | — | — |
+| 15 | `user-uploads` | 🔒 | 1.001 | 1,5 GB | — | — |
 > ℹ️ A coluna **Público** indica `storage.buckets.public`. Buckets públicos liberam download anônimo via `/storage/v1/object/public/<bucket>/<path>` e, sem policy explícita, também permitem `LIST` anônimo.
+### Changelog
+| Data | Mudança |
+|------|---------|
+| 2026-05-04 | `performance` tornado privado com 4 policies (SELECT/INSERT/UPDATE/DELETE) escopadas por alias. `performance-files` removido (deprecado). Snapshot atualizado. |
+| 2026-04-29 | Snapshot inicial. `library-assets` INSERT anônimo removido. `thumbnails` rollback para policies permissivas. |
 ---
 ## 2. Matriz Bucket × Projeto
@@ -64,10 +71,10 @@ Projetos do ecossistema (Lovable):
 | `career-banners` | | | ✅ | | | | | | |
 | `resumes` | | | ✅ | | | | | (policy) | |
 | `contracts` | | | ✅ | | | | | | |
-| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | ✅ (evidences) | ❓ | | |
+| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | | | | |
+| `pdi-uploads` | | | | | | ✅ (evidences) | | | |
 | `trainings` | | | | ✅ | | | | | |
 | `performance` | | | | | | | ✅ (1:1) | | |
-| `performance-files` | | | | | | | ⚠️ órfão | | |
 | `knowledge-files` | | | | | | | | | ❓ |
 Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS mas sem código consumidor encontrado · ❓ a confirmar com o time.
@@ -82,7 +89,7 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `lib/assets/index.ts`, `lib/setup/favicon.ts`. Consumido como leitura pública por todos os projetos via URL pública.
 - **Estrutura:** raiz do bucket (`logo-qualiex-white.svg`, `favicon.png`, etc.).
 - **Visibilidade:** público.
-- **RLS atuais (29/04/2026):** **nenhuma policy de write** no `storage.objects` para esse bucket. SELECT continua público pelo flag de bucket público. INSERT/UPDATE/DELETE bloqueados para qualquer role (apenas service_role contorna RLS).
+- **RLS atuais:** **nenhuma policy de write** no `storage.objects` para esse bucket. SELECT continua público pelo flag de bucket público. INSERT/UPDATE/DELETE bloqueados para qualquer role (apenas service_role contorna RLS).
 - **Mudança recente:** a antiga policy `Allow public upload to library assets` (INSERT anônimo sem condição) foi **removida**.
 - **Riscos:**
   - 🟢 Upload anônimo eliminado.
@@ -97,25 +104,29 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `src/imports/wizard/services/importJobService.ts`.
 - **Estrutura:** `{alias}/{timestamp}_{filename}`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por `authenticated` + `(storage.foldername(name))[1] = jwt.alias`.
+- **RLS atuais:**
+  - `imports_bucket_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_insert` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_update` — UPDATE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_delete` — DELETE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
 - **Riscos:**
-  - 🟡 Policies estão atribuídas ao role `public`, mas com `auth.role() = 'authenticated'` no body — funcional, mas inconsistente com o padrão `TO authenticated`.
+  - 🟡 Policies estão atribuídas ao role `public` — funcional, mas inconsistente com o padrão `TO authenticated`.
 - **Recomendação:** converter as policies para `TO authenticated` (mais explícito e linter-friendly).
 ---
-### 3.3 `thumbnails` — ⚠️ rollback aplicado (29/04/2026)
+### 3.3 `thumbnails` — ⚠️ sem scoping por alias
 - **Finalidade:** miniaturas/capas de cursos e conteúdos.
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useImageUpload.ts` (default bucket).
 - **Estrutura atual:** sem prefixo obrigatório (uploads vão na raiz).
 - **Visibilidade:** público.
-- **RLS atuais (29/04/2026 — pós-rollback):**
+- **RLS atuais:**
   - `Users can upload thumbnails` — INSERT `TO authenticated`, sem scoping por alias.
   - `Users can update thumbnails` — UPDATE `TO authenticated`, sem scoping por alias.
   - `Users can delete thumbnails` — DELETE `TO authenticated`, sem scoping por alias.
 - **Histórico:**
-  - Hardening anterior (`thumbnails_auth_insert/update/delete` exigindo `(storage.foldername(name))[1] = jwt.alias`) quebrou os uploads do projeto Educação, que escreve direto na raiz do bucket.
+  - Hardening anterior (`thumbnails_auth_insert/update/delete` exigindo `foldername[1] = jwt.alias`) quebrou os uploads do projeto Educação, que escreve direto na raiz do bucket.
   - Em 29/04/2026 fizemos rollback para o estado anterior (3 policies permissivas para `authenticated`).
 - **Riscos:**
   - 🔴 Sem isolamento multi-tenant: qualquer usuário autenticado pode sobrescrever/apagar arquivos de qualquer tenant.
@@ -130,7 +141,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useImageUpload.ts`, `src/modules/contents/services/aiDocsService.ts`.
 - **Estrutura:** `{alias}/...` em parte das chamadas (não obrigatório).
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` exigindo `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+- **RLS atuais:**
+  - `university_assets_auth_insert` — INSERT `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_update` — UPDATE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_delete` — DELETE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
 - **Riscos:**
   - 🟠 Qualquer usuário autenticado de qualquer tenant pode sobrescrever/excluir arquivos de qualquer outro tenant.
   - 🟡 `LIST` público.
@@ -146,7 +160,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
   - [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `src/training/utils/evidenceUrlResolver.ts` (leitura via `getPublicUrl`).
 - **Estrutura:** sem padrão por alias (arquivos no root).
 - **Visibilidade:** público (mesmo o código gerando signed URLs — ou seja, a privacidade pretendida não é real).
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias. SELECT público (bucket público).
+- **RLS atuais:**
+  - `Authenticated users can upload certificates` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update certificates` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete certificates` — DELETE `TO authenticated`, sem scoping.
 - **Riscos:**
   - 🔴 Certificados são **PII** (nome do aluno, curso, datas). Bucket público + sem scoping = qualquer URL adivinhada/descoberta vaza dados pessoais.
   - 🟠 `LIST` anônimo expõe inventário com nomes de arquivo.
@@ -160,7 +177,10 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useFileUpload.ts`, `docs/SCORM_IMPLEMENTATION.md`.
 - **Estrutura:** `{packageFolder}/...` (SCORM); demais sem padrão claro.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated`. Sem scoping por alias.
+- **RLS atuais:**
+  - `Authenticated users can upload content-files` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update content-files` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete content-files` — DELETE `TO authenticated`, sem scoping.
 - **Riscos:**
   - 🟠 Materiais de treinamento de um cliente podem estar acessíveis publicamente para quem tiver a URL/listar o bucket.
   - 🟡 `LIST` público.
@@ -174,10 +194,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/contexts/UploadQueueContext.tsx`, `src/modules/contents/hooks/useVideoUpload.ts`.
 - **Estrutura:** `{alias}/{filename}`.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/UPDATE/DELETE só `authenticated` com **scoping por alias** (`(storage.foldername(name))[1] = jwt.alias`). SELECT público.
+- **RLS atuais:**
+  - `content_videos_auth_insert` — INSERT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_update` — UPDATE `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_delete` — DELETE `TO authenticated`, `foldername[1] = jwt.alias`.
 - **Riscos:**
   - 🟠 Vídeos premium acessíveis por URL pública direta.
-  - 🟡 `LIST` público (alto volume — 317 GB).
+  - 🟡 `LIST` público (alto volume — 326 GB).
 - **Recomendação:** considerar privado + signed URLs (igual a Vimeo/Mux). Custo: rever player e CDN.
 ---
@@ -188,10 +211,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654).
 - **Estrutura:** raiz.
 - **Visibilidade:** público.
-- **RLS atuais:** INSERT/DELETE só `authenticated`. SELECT público (esperado).
+- **RLS atuais:**
+  - `career_banners_upload` — INSERT, role `public`, `auth.role() = 'authenticated'`.
+  - `career_banners_delete` — DELETE, role `public`, `auth.role() = 'authenticated'`.
 - **Riscos:**
   - 🟡 Sem scoping por alias — qualquer admin de qualquer tenant pode deletar banners de outro.
-- **Recomendação:** scoping por alias se houver mais de um cliente usando.
+  - 🟡 Policies em role `public` em vez de `TO authenticated`.
+- **Recomendação:** scoping por alias se for multi-tenant. Padronizar para `TO authenticated`.
 ---
@@ -204,11 +230,13 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Estrutura:** `{alias}/{filename}` (Colaboradores) e `{auth.uid()}/...` (Cockpit) — **dois esquemas convivendo**.
 - **Visibilidade:** privado.
 - **RLS atuais:**
-  - `resumes_alias_select`, `resumes_auth_upload` — escopados por `jwt.alias`, exigem extensões `pdf|doc|docx|jpg|jpeg|png`.
+  - `resumes_alias_select` — SELECT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `resumes_auth_upload` — INSERT `TO authenticated`, `foldername[1] = jwt.alias` + extensões `pdf|doc|docx|jpg|jpeg|png`.
+- **⚠️ Incongruência MIME:** o bucket aceita apenas `pdf/doc/docx` (configuração `allowed_mime_types`), mas a policy `resumes_auth_upload` lista também `jpg|jpeg|png`. Na prática o bucket rejeitaria imagens pelo MIME antes da policy ser avaliada, mas a policy está desatualizada.
 - **Riscos:**
   - 🟠 Há duas convenções de path conflitantes (alias vs uid). Pode haver arquivos "órfãos" que não casam com nenhuma policy.
   - 🟠 Não há policy explícita de UPDATE/DELETE listada.
-- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE.
+- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE. Remover extensões de imagem da policy para casar com o bucket.
 ---
@@ -218,17 +246,21 @@ Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS m
 - **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — `src/contracts/contractService.ts`, edge function `contract-processor`.
 - **Estrutura:** `{templates|generated}/{alias}/{filename}`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT/UPDATE/DELETE escopados por pasta + alias.
+- **RLS atuais:**
+  - `contracts_select` — SELECT, role `public`, `foldername[1] IN ('templates','generated')` + `foldername[2] = jwt.alias`.
+  - `contracts_insert` — INSERT, role `public`, mesma condição.
+  - `contracts_update` — UPDATE, role `public`, mesma condição.
+  - `contracts_delete` — DELETE `TO authenticated`, mesma condição.
 - **Riscos:**
-  - 🟢 Bem segregado.
-  - 🟡 Policies estão em role `public` com `auth.role() = 'authenticated'` implícito via `jwt`. Funcional mas inconsistente.
+  - 🟢 Bem segregado por alias.
+  - 🟡 SELECT/INSERT/UPDATE em role `public` (funcional mas inconsistente).
 - **Recomendação:** padronizar para `TO authenticated`.
 ---
 ### 3.11 `user-uploads` — 🚨 alta complexidade
-Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colaboradores, Treinamentos, Matriz de Foco, PDI).
+Bucket multi-projeto, segregado por subpasta. **Usado por 3 projetos** (Colaboradores, Treinamentos, Matriz de Foco).
 - **Visibilidade:** privado.
 - **Estrutura por consumidor:**
@@ -241,28 +273,31 @@ Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colabora
   | `trainings/.../{alias}/...` | Treinamentos | Evidências de treinamento (alias na 3ª pasta) |
   | `evidence-images/...` | Matriz de Foco | Imagens coladas no rich-text editor |
   | `evidence-attachments/{evidenceId}/...` | Matriz de Foco | Anexos de evidências |
-  | `evidences/...` | PDI | Anexos de planos de ação |
-- **RLS atuais (29/04/2026):**
-  - `interview_scoped_select` — SELECT escopado em `interviews/{alias}/...`.
-  - `authenticated_interview_upload` — INSERT genérico para `auth.role() = 'authenticated'`, **sem scoping por subpasta/alias** (legado pré-migração `20260328223532`).
-  - `training_requests_attachments_select/insert/delete` — escopados em `training-requests/{alias}/...`.
-  - `imported_evidence_select/insert` — escopados em `imported-evidence/{alias}/...` (sem DELETE/UPDATE).
-  - `evidence_uploads_select` — SELECT `TO authenticated` em `evidence-images/...` e `evidence-attachments/...`, **sem checagem de alias**.
-  - `evidence_uploads_delete` — DELETE `TO authenticated` em `evidence-images/...` e `evidence-attachments/...`, **sem checagem de alias**.
-  - `Authenticated users can update user-uploads` — UPDATE `TO authenticated` exigindo `(storage.foldername(name))[2] = jwt.alias` (cobre `*/{alias}/...`, mas não `evidence-images/` ou `evidences/` que não têm alias na 2ª pasta).
-  - **Não há policies para `evidences/...` (PDI)** — INSERT/SELECT/DELETE caem no INSERT genérico de `authenticated_interview_upload` para gravar e provavelmente no SELECT genérico de outra migração.
+- **RLS atuais (05/05/2026):**
+  | Policy | Cmd | Role | Scoping |
+  |--------|-----|------|---------|
+  | `interview_scoped_select` | SELECT | `public` | `foldername[1] = 'interviews'` + `foldername[2] = jwt.alias` |
+  | `authenticated_interview_upload` | INSERT | `public` | `auth.role() = 'authenticated'` — **sem scoping por subpasta/alias** ⚠️ |
+  | `training_requests_attachments_select` | SELECT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_insert` | INSERT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_delete` | DELETE | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_select` | SELECT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_insert` | INSERT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `evidence_uploads_select` | SELECT | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `evidence_uploads_delete` | DELETE | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `Authenticated users can update user-uploads` | UPDATE | `authenticated` | `foldername[2] = jwt.alias` (cobre `*/{alias}/...`, mas não `evidence-images/` nem `evidences/`) |
 - **Riscos:**
   - 🔴 `authenticated_interview_upload` continua permitindo que qualquer authenticated grave em qualquer subpasta do bucket (cross-tenant + cross-projeto).
   - 🔴 `evidence_uploads_select/delete` não checam alias — qualquer authenticated lê/deleta evidências da Matriz de Foco de outros tenants.
-  - 🟠 PDI (`evidences/...`) sem policies dedicadas; depende da policy genérica.
   - 🟠 Padrão de path inconsistente entre projetos (uns usam alias na 1ª pasta, outros na 3ª, outros não usam).
 - **Recomendação:**
   - Padronizar para `{projeto}/{alias}/...`.
   - Substituir `authenticated_interview_upload` por INSERT por subpasta + alias.
-  - Adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco) e criar policies dedicadas para `evidences/...` (PDI).
+  - Adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco).
 ---
@@ -272,87 +307,117 @@ Bucket multi-projeto, segregado por subpasta. **Usado por 4 projetos** (Colabora
 - **Consumidor:** [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `LeaderResolveModal`, `LeaderPendingSelectModal`.
 - **Estrutura:** `.../.../{alias}/...` (alias na 3ª pasta — esquisito).
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT escopados por `(storage.foldername(name))[2] = jwt.alias`.
+- **RLS atuais:**
+  - `trainings_bucket_select` — SELECT, role `public`, `foldername[2] = jwt.alias`.
+  - `trainings_bucket_insert` — INSERT, role `public`, `foldername[2] = jwt.alias`.
 - **Riscos:**
   - 🟡 Discrepância: a policy usa pasta `[2]`, mas o resolver de evidências em `evidenceUrlResolver.ts` aceita o bucket. Validar se o path real bate.
   - 🟠 Sem policy explícita de UPDATE/DELETE.
-- **Recomendação:** confirmar convenção de path e adicionar UPDATE/DELETE escopados.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
+- **Recomendação:** confirmar convenção de path, adicionar UPDATE/DELETE escopados e padronizar para `TO authenticated`.
 ---
-### 3.13 `performance` — média/alta
+### 3.13 `performance` — ✅ corrigido (05/2026)
-- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios de tarefa.
+- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios.
 - **Consumidor:** [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
   - `src/one-on-ones/services/evidenceService.ts` → pasta `evidences/`
   - `src/one-on-ones/services/taskReportService.ts` → pasta `task-reports/`
-  - Ambos usam `getPublicUrl` (ou seja, dependem do bucket ser público para servir os arquivos).
-- **Estrutura real:** `evidences/...` e `task-reports/...` no root (sem segregação por `alias` ou `auth.uid()`).
-- **Visibilidade:** público.
-- **RLS atuais:** apenas `performance_authenticated_insert` (INSERT escopado por `(storage.foldername(name))[1] = jwt.alias`). **Sem SELECT/UPDATE/DELETE explícitos** — caem no default do bucket público.
-- **Riscos:**
-  - 🔴 Policy de INSERT exige alias na 1ª pasta, mas o **código grava em `evidences/{file}` e `task-reports/{file}`** — ou seja, a policy **não bate com o path real** e o INSERT só funciona porque… provavelmente está funcionando via outra policy genérica ou os arquivos foram criados antes da policy. Precisa investigar (22 objetos, último em 20/04).
-  - 🔴 Bucket público + sem segregação por tenant = qualquer URL adivinhada vaza evidências de qualquer cliente.
-  - 🟠 `LIST` anônimo expõe inventário.
-- **Recomendação:**
-  1. Realinhar o código para `{alias}/evidences/...` e `{alias}/task-reports/...` (ou alterar a policy para casar com o path atual).
-  2. Tornar privado e migrar o front para signed URLs.
-  3. Adicionar SELECT/UPDATE/DELETE escopados por alias + autor.
----
-### 3.14 `performance-files` — ⚠️ órfão (candidato a deprecar)
-- **Origem:** criado pela migração `20260203114103_ffecc964-7e28-4605-8516-b851f62d0433.sql` no projeto Desempenho ("bucket dedicado para o módulo de desempenho").
-- **Consumidor atual:** **nenhum** — busca em todo o projeto Desempenho (e nos demais 13 projetos do ecossistema) não encontra nenhuma referência ao nome `performance-files` fora da própria migração. Os 33 objetos existentes parecem ser de testes manuais ou de uma implementação anterior que foi substituída por `performance`.
-- **Estrutura:** `{auth.uid()}/...` (assumido pela policy de DELETE).
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `performance_files_public_read` — SELECT para `public` sem condição.
-  - `performance_files_authenticated_insert` — INSERT só `authenticated`, sem scoping por alias.
-  - `performance_files_owner_delete` — DELETE só pelo dono via `auth.uid()`.
+- **Estrutura:** `{alias}/evidences/...` e `{alias}/task-reports/...`.
+- **Visibilidade:** 🔒 **privado** (alterado de público para privado).
+- **RLS atuais (pós-hardening):**
+  - `performance_authenticated_select` — SELECT `TO authenticated`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_insert` — INSERT, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_update` — UPDATE, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_delete` — DELETE, role `public`, `jwt.alias = foldername[1]`.
+- **Mudança recente:** bucket tornado privado + 4 policies com scoping por alias na 1ª pasta. Resolve os riscos P0 apontados anteriormente.
 - **Riscos:**
-  - 🟠 Bucket sem código consumidor: nenhum hardening é prioridade, mas mantê-lo aberto é superfície de ataque desnecessária.
-  - 🔴 Bucket público + INSERT sem scoping por alias = qualquer authenticated pode poluir o bucket.
-- **Recomendação:** **deprecar**. Backup dos 33 objetos atuais, migrar (se algum for relevante) para `performance`, depois remover o bucket. Confirmar com o time de Desempenho antes de deletar.
+  - 🟢 Isolamento multi-tenant via alias — resolvido.
+  - 🟡 INSERT/UPDATE/DELETE em role `public` (funcional mas inconsistente com o padrão `TO authenticated`).
+  - 🟡 O código de Desempenho pode precisar migrar de `getPublicUrl` para `createSignedUrl` (bucket agora privado).
+- **Recomendação:** padronizar policies para `TO authenticated`. Confirmar que o front de Desempenho já usa signed URLs.
 ---
-### 3.15 `knowledge-files` — ❓ a confirmar
+### 3.14 `knowledge-files` — ❓ a confirmar
 - **Finalidade provável:** base de conhecimento para IA / chatbot.
 - **Consumidor:** sem uso direto encontrado em nenhum dos 14 projetos. 8 objetos, último em março/2026.
 - **Estrutura:** `{alias}/...`.
 - **Visibilidade:** privado.
-- **RLS atuais:** SELECT/INSERT escopados por `authenticated` + alias.
+- **RLS atuais:**
+  - `knowledge_files_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `knowledge_files_upload` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
 - **Riscos:**
   - 🟡 Sem UPDATE/DELETE explícitos.
   - 🟡 Provavelmente consumido por uma edge function (não por front) — confirmar.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
 - **Recomendação:** identificar consumidor e validar fluxo antes de mexer.
 ---
+### 3.15 `pdi-uploads` — ✅ novo (05/2026)
+- **Finalidade:** evidências de ações nos Planos de Desenvolvimento Individual (PDI).
+- **Consumidor:** exclusivamente [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
+  - `src/modules/plans/utils/evidenceStorage.ts` — helper centralizado (`uploadEvidence`, `resolveEvidenceUrl`, `getEvidenceSignedUrl`)
+  - `src/modules/plans/components/tracking/EvidenceModal.tsx` — upload de evidências no acompanhamento
+  - `src/modules/plans/components/ActionManagementModal.tsx` — upload/edição de evidências em ações
+- **Estrutura:** `{alias}/evidences/{timestamp}_{sanitized_filename}`.
+- **Visibilidade:** 🔒 **privado** — acesso via signed URLs (1h de validade).
+- **Limites:** sem restrição de MIME type ou tamanho no bucket (validação no front: 10 MB max).
+- **RLS atuais (3 policies, todas `TO authenticated` com scoping por alias):**
+  - `pdi_uploads_select` — SELECT, `bucket_id = 'pdi-uploads' AND foldername[1] = jwt.alias`.
+  - `pdi_uploads_insert` — INSERT, mesma condição em `WITH CHECK`.
+  - `pdi_uploads_update` — UPDATE, mesma condição em `USING` e `WITH CHECK`.
+- **Sem policy de DELETE** — alinhado com a regra de soft delete do projeto (evidências são desvinculadas no registro, não apagadas do storage).
+- **Origem:** bucket criado durante migração de evidências do PDI, que antes usava `user-uploads/evidences/`. Migração concluída em 05/2026 (ver `docs/pdi-storage-migration-plan.md`).
+- **Riscos:**
+  - 🟢 Isolamento multi-tenant via alias — correto desde a criação.
+  - 🟢 Todas as policies usam `TO authenticated` (padrão correto).
+  - 🟢 Signed URLs no front (bucket privado desde o início).
+- **Recomendação:** nenhuma ação necessária — bucket exemplar.
+---
 ## 4. Padrões de policies (síntese)
-Boas práticas observadas no projeto:
+### 4.1 Boas práticas observadas
 | Padrão | Onde aparece | Recomendar generalizar |
 |---|---|---|
-| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes | ✅ sim — virar padrão |
-| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes | ✅ sim — converter as policies em role `public` |
+| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes, performance, **pdi-uploads** | ✅ sim — virar padrão |
+| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes, evidence_uploads, **pdi-uploads** | ✅ sim — converter as policies em role `public` |
 | `(SELECT auth.jwt())` (e não `auth.jwt()`) | a maioria das policies novas | ✅ obrigatório (linter) |
-| Bucket privado + signed URLs | certificates (Educação), contracts | ✅ aplicar a thumbnails, content-files, content-videos |
+| Bucket privado + signed URLs | certificates (Educação), contracts, performance, **pdi-uploads** | ✅ aplicar a thumbnails, content-files, content-videos |
+### 4.2 Policies com role `public` (debt técnico)
+As seguintes policies usam `roles: {public}` com `auth.role() = 'authenticated'` no body em vez do mais correto `TO authenticated`. Funcionam, mas geram warnings no linter e são inconsistentes com o padrão:
+| Bucket | Policies afetadas |
+|--------|-------------------|
+| `career-banners` | `career_banners_upload`, `career_banners_delete` |
+| `contracts` | `contracts_select`, `contracts_insert`, `contracts_update` |
+| `imports` | `imports_bucket_select`, `imports_bucket_insert`, `imports_bucket_update`, `imports_bucket_delete` |
+| `knowledge-files` | `knowledge_files_select`, `knowledge_files_upload` |
+| `performance` | `performance_authenticated_insert`, `performance_authenticated_update`, `performance_authenticated_delete` |
+| `trainings` | `trainings_bucket_select`, `trainings_bucket_insert` |
+| `user-uploads` | `authenticated_interview_upload`, `interview_scoped_select`, `training_requests_*`, `imported_evidence_*` |
+**Recomendação:** migrar todas para `TO authenticated` em uma migration batch (P2 — sem mudança funcional).
 ---
 ## 5. Itens em aberto (a confirmar com o time)
 1. **`knowledge-files`**: quem consome? É edge function?
-2. **`performance-files`**: confirmar com o time de Desempenho que pode ser deprecado (não há código consumidor; 33 objetos de origem desconhecida).
-3. **`performance`**: alinhar path do código (`evidences/`, `task-reports/`) com a policy (que exige alias na 1ª pasta) — atualmente são incompatíveis.
-4. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
-5. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
-6. **`user-uploads` para Matriz de Foco e PDI**: existem policies dedicadas ou tudo cai numa policy genérica `authenticated`?
+2. **`performance`**: confirmar que o front de Desempenho já migrou de `getPublicUrl` para signed URLs após o bucket ser tornado privado.
+3. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
+4. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
+5. **`user-uploads` para Matriz de Foco**: `evidence_uploads_select/delete` não checam alias — risco cross-tenant confirmado. (PDI já migrou para `pdi-uploads`).
+6. **`resumes`**: policy permite `jpg/jpeg/png` mas bucket só aceita `pdf/doc/docx` — limpar policy.
 ---
@@ -363,17 +428,19 @@ Boas práticas observadas no projeto:
 | Prioridade | Bucket | Ação |
 |---|---|---|
 | ✅ done | `library-assets` | INSERT anônimo removido (sem policies de write). |
-| ✅ done | `thumbnails` | INSERT/UPDATE/DELETE `TO authenticated` com scoping por alias. |
-| 🔴 P0 | `user-uploads` | Substituir `authenticated_interview_upload` (INSERT genérico) por INSERT por subpasta + alias; adicionar checagem de alias em `evidence_uploads_select/delete`; criar policies dedicadas para `evidences/...` (PDI). |
+| ✅ done | `thumbnails` | INSERT/UPDATE/DELETE `TO authenticated` (sem scoping — pendente ajuste no front). |
+| ✅ done | `performance` | Tornado privado + 4 policies com scoping por alias. |
+| ✅ done | `performance-files` | Bucket deprecado e removido. |
+| ✅ done | `pdi-uploads` | Bucket criado (privado) + 3 policies `TO authenticated` com scoping por alias. Migração de `user-uploads` concluída. |
+| 🔴 P0 | `user-uploads` | Substituir `authenticated_interview_upload` (INSERT genérico) por INSERT por subpasta + alias; adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco). |
 | 🔴 P0 | `certificates` | Tornar privado + migrar Treinamentos para signed URLs. |
-| 🔴 P0 | `performance` | Realinhar path do código (`evidences/`, `task-reports/`) com a policy de INSERT (que exige `{alias}/...`); tornar privado; adicionar SELECT escopado. |
+| 🟠 P1 | `thumbnails` | Ajustar front de Educação para gravar em `{alias}/...` e reaplicar scoping por alias. |
 | 🟠 P1 | `university-assets`, `content-files` | Adicionar scoping por alias em UPDATE/DELETE/INSERT. |
-| 🟠 P1 | `performance-files` | Deprecar bucket — nenhum código consumidor encontrado; backup dos 33 objetos e remover. |
-| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid) e adicionar UPDATE/DELETE. |
-| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza, sem mudança funcional). |
+| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid), adicionar UPDATE/DELETE, remover extensões de imagem da policy. |
+| 🟡 P2 | Múltiplos | Padronizar ~20 policies de role `public` para `TO authenticated` (limpeza, sem mudança funcional). Ver seção 4.2. |
+| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza). |
 | 🟡 P2 | `career-banners` | Scoping por alias se for multi-tenant. |
 | 🟡 P2 | `content-videos` | Avaliar privado + signed URLs (impacto no player). |
-| 🟡 P2 | Todos públicos | Substituir SELECT default por SELECT `TO authenticated` (ou `TO public` apenas para os realmente públicos como `library-assets` e `career-banners`) — alinha com plano já existente em [Cockpit `.lovable/plan.md`](/projects/e6853fb4-67f9-4776-b427-7768a9136f10). |
 ---

package/docs/SUPABASE_SECRETS.md ADDED Viewed

@@ -0,0 +1,122 @@
+# Supabase Secrets — Inventário
+> **Projeto Supabase:** `ccjfvpnndclajkleyqkc`
+>
+> Todas as secrets são compartilhadas entre os projetos Lovable que apontam para este mesmo projeto Supabase.
+> Última atualização: 2026-05-04
+---
+## Infraestrutura Supabase (automáticas)
+Secrets gerenciadas automaticamente pelo Supabase. **Não editar manualmente.**
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `SUPABASE_URL` | URL do projeto Supabase | Todos com edge functions |
+| `SUPABASE_SERVICE_ROLE_KEY` | Chave admin — bypass de RLS em edge functions | Todos com edge functions |
+| `SUPABASE_ANON_KEY` | Chave pública anon (usada em `createClient` server-side) | Cockpit, Educação, PDI, Competências, Colaboradores |
+| `SUPABASE_DB_URL` | Connection string PostgreSQL | Infraestrutura interna Supabase |
+---
+## Autenticação e JWT
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `JWT_SECRET` | Verificação de assinatura HMAC-SHA256 dos JWTs customizados | **Admin** (validate-token, azure-blob-upload, clicksign, d4sign, send-email), **Cockpit** (_shared/auth), **Colaboradores** (sensitive-data, entra-id-sync, collaborator-webhook, contract-*), **PDI** (dev-tokens) | Crítica — usada para validar tokens em todas as edge functions protegidas |
+| `VALIDATE_JWT_ENDPOINT` | URL de endpoint externo para validação de JWT (Qualiex API) | **Admin** (validate-token), **Treinamentos** (docs-documents-used, docs-process-outdated, notify-leader) | Fallback quando JWT_SECRET não é usado diretamente |
+| `SUPABASE_PUBLISHABLE_KEY` | Chave pública do projeto (alias da anon key) | **Admin** (validate-token) | Usada para validar tokens de projetos consumidores |
+| `SUPABASE_PUBLISHABLE_KEYS` | Lista de chaves públicas de múltiplos projetos | **Admin** (validate-token) | Suporte multi-projeto na validação |
+| `SUPABASE_SECRET_KEYS` | Lista de chaves secretas de múltiplos projetos | **Admin** (validate-token) | Suporte multi-projeto na validação |
+| `SUPABASE_JWKS` | JSON Web Key Set para validação de tokens | **Admin** (validate-token) | Padrão JWKS para rotação de chaves |
+---
+## Desenvolvimento e Preview
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `DEV_ACCESS_TOKEN` | Token OAuth pré-configurado para ambiente de preview | **Admin**, **Cockpit** (sync-completed, view-pendencias), **Documentos**, **PDI** | Permite autenticação no preview Lovable sem fluxo OAuth |
+| `DEV_ID_TOKEN` | ID token pré-configurado para ambiente de preview | **Admin**, **Cockpit**, **Documentos**, **PDI** | Par do DEV_ACCESS_TOKEN |
+| `DEV_TOKENS_SECRET` | Secret de autenticação da edge function `dev-tokens` | **Admin** | Protege o endpoint que retorna os tokens de dev |
+| `CRON_SECRET` | Header de autenticação do cron job `audit-ship` | **Admin** | Enviado como `x-cron-secret` pelo pg_cron |
+---
+## E-mail (AWS SES)
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `AWS_ACCESS_KEY_ID` | Credencial IAM para AWS SES | **Admin** (send-email), **Cockpit** (notify-suggestion), **Treinamentos** (docs-process-outdated) |
+| `AWS_SECRET_ACCESS_KEY` | Credencial IAM para AWS SES | **Admin** (send-email), **Cockpit** (notify-suggestion), **Treinamentos** (docs-process-outdated) |
+| `AWS_SES_REGION` | Região do SES (default: `us-east-1`) | **Admin**, **Cockpit**, **Treinamentos** |
+| `AWS_SES_FROM_EMAIL` | Endereço de e-mail remetente | **Admin**, **Cockpit**, **Treinamentos** |
+| `AWS_SES_FROM_NAME` | Nome exibido como remetente | **Admin**, **Cockpit**, **Treinamentos** |
+| `SUGGESTION_NOTIFY_EMAIL` | E-mail destino para notificações de sugestões do Cockpit | **Cockpit** (notify-suggestion) |
+---
+## Azure
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `AZURE_BLOB_ACCOUNT_URL` | URL da conta Azure Blob Storage | **Admin** (azure-blob-upload) | Upload de arquivos para Azure |
+| `AZURE_BLOB_ACCOUNT_KEY` | SharedKey da conta Azure Blob | **Admin** (azure-blob-upload) | Método preferido de autenticação |
+| `AZURE_BLOB_SAS_TOKEN` | SAS Token para Azure Blob | **Admin** (azure-blob-upload) | ⚠️ **Deprecated** — fallback do `AZURE_BLOB_ACCOUNT_KEY` |
+| `AZURE_TENANT_ID` | Tenant ID do Azure AD (Entra ID) | **Colaboradores** (entra-id-sync) | Sincronização de usuários via Microsoft Graph |
+| `AZURE_CLIENT_ID` | Client ID do app Azure AD | **Colaboradores** (entra-id-sync) | Par do AZURE_TENANT_ID |
+> **Nota:** Existia uma secret `AZURE_CLIENT_SECRET` que era recriada indevidamente. Nenhum projeto no workspace a referencia no código — a origem da recriação não foi identificada.
+---
+## Integrações de IA
+| Secret | Finalidade | Projetos |
+|--------|-----------|----------|
+| `OPENAI_API_KEY` | Chave da API OpenAI (GPT) | **Educação** (generate-block-content, generate-course-structure, process-document, extract-certificate-data, generate-quiz-from-document), **Desempenho** (generate-questions-ai, performance-generate-*), **PDI** (generate-pdi-actions, generate-strategic-plan), **Competências** (generate-questions-ai), **Pulso** (analyze-comments, analyze-survey-data, generate-action-plan, refine-action-plan, analyze-custom-survey, generate-survey-action-plan), **Treinamentos** (generate-quiz-from-document, suggest-evaluation-criteria, validate-certificate) |
+| `OPENROUTER_API_KEY` | Chave do OpenRouter (modelo: `google/gemini-2.5-flash`) | **Matriz de Foco** (generic-app-scan, manager-chat, outlook-calendar, redundancy-hunter, smart-assistant) |
+| `LOVABLE_API_KEY` | Chave da API Lovable (AI Gateway) | **Educação** (generate-questions-ai) |
+---
+## Integrações Externas
+| Secret | Finalidade | Projetos | Observações |
+|--------|-----------|----------|-------------|
+| `CLICKSIGN_SANDBOX_API_KEY` | API Key do Clicksign (ambiente sandbox) | **Admin** (clicksign) | Assinatura eletrônica de documentos |
+| `ELASTIC_URL` | URL do cluster Elasticsearch | **Admin** (audit-ship) | Destino dos logs de auditoria |
+| `ELASTIC_API_KEY` | API Key do Elasticsearch | **Admin** (audit-ship) | Autenticação no cluster |
+| `HUBSPOT_PRIVATE_APP_TOKEN` | Token de app privado do HubSpot | **Cockpit** (hubspot-tickets) | No código é lido como `HUBSPOT_ACCESS_TOKEN` via `Deno.env.get()` |
+| `SENSITIVE_DATA_KEY` | Chave AES-GCM para criptografia de dados sensíveis (CPF, etc.) | **Colaboradores** (sensitive-data, api-export-sensitive-data, entra-id-sync), **Matriz de Foco** (generic-app-scan, generic-app-secrets, migrate-legacy-tokens) | Chave hex de 256 bits |
+| `VITE_QUALIEX_API_URL` | URL da API Qualiex | **Admin** (validate-token), **Cockpit** (_shared/auth), **Treinamentos** (docs-process-outdated, notify-leader) | Configuração de ambiente (prod vs dev) |
+---
+## Secrets sem Referência no Código
+| Secret | Status | Recomendação |
+|--------|--------|-------------|
+| `VITE_BUILDER_API_KEY` | Nenhuma edge function ou código frontend referencia esta secret | ⚠️ Candidata a remoção — verificar se algum serviço externo a utiliza antes de deletar |
+---
+## Secrets Específicas de Projetos (não listadas acima)
+Estas secrets são usadas apenas por projetos específicos mas vivem no mesmo projeto Supabase:
+| Secret (no código) | Projeto | Finalidade |
+|---------------------|---------|-----------|
+| `TRAININGS_SERVICE_API_KEY` | **Treinamentos** | Auth service-to-service entre edge functions |
+| `HUBSPOT_ACCESS_TOKEN` | **Cockpit** | Mesmo valor de `HUBSPOT_PRIVATE_APP_TOKEN` (nome diferente no `Deno.env.get`) |
+> **Nota:** Estas secrets podem não estar na lista do dashboard se foram adicionadas diretamente ou por outro projeto. Verifique no [painel de secrets](https://supabase.com/dashboard/project/ccjfvpnndclajkleyqkc/settings/functions).
+---
+## Referências
+- [Painel de Secrets do Supabase](https://supabase.com/dashboard/project/ccjfvpnndclajkleyqkc/settings/functions)
+- [Plano de Segurança (Fase 2)](./../.lovable/plan.md)
+- [Inventário de Storage Buckets](./STORAGE_BUCKETS.md)