forlogic-core 2.2.6 → 2.2.8

package/docs/STORAGE_BUCKETS.md

@@ -1,456 +1,456 @@
-# Supabase Storage — Inventário e mapa de consumidores
-
-> **Projeto Supabase:** `ccjfvpnndclajkleyqkc` (qualiex-db, prod)  
-> **Snapshot:** 2026-05-04  
-> **Objetivo:** mapear todos os buckets, quem os consome, suas RLS atuais e os riscos para guiar o próximo ciclo de hardening.  
-> **Escopo:** apenas documentação — nenhuma policy, bucket ou código foi alterado.
-
----
-
-## 1. Visão geral
-
-15 buckets ativos. Tamanho total ≈ 332 GB (dominado por `content-videos`).
-
-| # | Bucket | Público | Objetos | Tamanho | MIME limit | File size limit |
-|---|---|---|---:|---:|---|---|
-| 1 | `career-banners` | ✅ | 4 | 349 kB | — | — |
-| 2 | `certificates` | ✅ | 2.470 | 982 MB | — | — |
-| 3 | `content-files` | ✅ | 5.474 | 2,7 GB | lista ampla | 2 GB |
-| 4 | `content-videos` | ✅ | 1.929 | 326 GB | só vídeo | 3 GB |
-| 5 | `contracts` | 🔒 | 151 | 47 MB | — | — |
-| 6 | `imports` | 🔒 | 3 | 569 kB | — | — |
-| 7 | `knowledge-files` | 🔒 | 8 | 24 MB | — | — |
-| 8 | `library-assets` | ✅ | 10 | 105 kB | — | — |
-| 9 | `pdi-uploads` | 🔒 | 8 | 14 MB | — | — |
-| 10 | `performance` | 🔒 | 76 | 19 MB | — | — |
-| 11 | `resumes` | 🔒 | 745 | 162 MB | pdf/doc/docx | 10 MB |
-| 12 | `thumbnails` | ✅ | 1.158 | 585 MB | — | — |
-| 13 | `trainings` | 🔒 | 27 | 13 MB | — | — |
-| 14 | `university-assets` | ✅ | 284 | 308 MB | — | — |
-| 15 | `user-uploads` | 🔒 | 1.001 | 1,5 GB | — | — |
-
-> ℹ️ A coluna **Público** indica `storage.buckets.public`. Buckets públicos liberam download anônimo via `/storage/v1/object/public/<bucket>/<path>` e, sem policy explícita, também permitem `LIST` anônimo.
-
-### Changelog
-
-| Data | Mudança |
-|------|---------|
-| 2026-05-04 | `performance` tornado privado com 4 policies (SELECT/INSERT/UPDATE/DELETE) escopadas por alias. `performance-files` removido (deprecado). Snapshot atualizado. |
-| 2026-04-29 | Snapshot inicial. `library-assets` INSERT anônimo removido. `thumbnails` rollback para policies permissivas. |
-
----
-
-## 2. Matriz Bucket × Projeto
-
-Projetos do ecossistema (Lovable):
-
-- [Admin / Configurações Core](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `qualiex-admin` (este; lib `forlogic-core`)
-- [Documentos](/projects/196d59d6-6e5c-4e49-b064-a24e57874298)
-- [Configurações](/projects/b0970ba3-5c2a-4b7d-8d3b-5b2162b2d285)
-- [OKR](/projects/53776a8a-ab33-494d-8b92-74341fd3d133)
-- [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10)
-- [Plano de Controle](/projects/d4712bc3-bc32-40a6-874c-401cf773c55c)
-- [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654)
-- [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6)
-- [Matriz de Foco](/projects/e0a4fc74-f1c6-4466-8a9c-dcb31f03fb20)
-- [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304)
-- [Competências](/projects/ffc892d4-d7b4-46cd-883d-01ffeb99b2f4)
-- [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
-- [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
-- [Pulso](/projects/f49c7856-0bf8-4aa7-be0b-a6c5c5bf3ca1)
-
-| Bucket | Admin | Educação | Colaboradores | Treinamentos | Matriz Foco | PDI | Desempenho | Cockpit | Documentos |
-|---|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|
-| `library-assets` | ✅ | | | | | | | | |
-| `imports` | ✅ | | | | | | | | |
-| `thumbnails` | | ✅ | | | | | | | |
-| `university-assets` | | ✅ | | | | | | | |
-| `certificates` | | ✅ | | 🔎 read | | | | | |
-| `content-files` | | ✅ | | | | | | | |
-| `content-videos` | | ✅ | | | | | | | |
-| `career-banners` | | | ✅ | | | | | | |
-| `resumes` | | | ✅ | | | | | (policy) | |
-| `contracts` | | | ✅ | | | | | | |
-| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | | | | |
-| `pdi-uploads` | | | | | | ✅ (evidences) | | | |
-| `trainings` | | | | ✅ | | | | | |
-| `performance` | | | | | | | ✅ (1:1) | | |
-| `knowledge-files` | | | | | | | | | ❓ |
-
-Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS mas sem código consumidor encontrado · ❓ a confirmar com o time.
-
----
-
-## 3. Detalhamento por bucket
-
-### 3.1 `library-assets` — ✅ corrigido
-
-- **Finalidade:** logos, favicons e marca branca da lib (Qualiex / Saber).
-- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `lib/assets/index.ts`, `lib/setup/favicon.ts`. Consumido como leitura pública por todos os projetos via URL pública.
-- **Estrutura:** raiz do bucket (`logo-qualiex-white.svg`, `favicon.png`, etc.).
-- **Visibilidade:** público.
-- **RLS atuais:** **nenhuma policy de write** no `storage.objects` para esse bucket. SELECT continua público pelo flag de bucket público. INSERT/UPDATE/DELETE bloqueados para qualquer role (apenas service_role contorna RLS).
-- **Mudança recente:** a antiga policy `Allow public upload to library assets` (INSERT anônimo sem condição) foi **removida**.
-- **Riscos:**
-  - 🟢 Upload anônimo eliminado.
-  - 🟡 `LIST` anônimo (default de bucket público) ainda expõe inventário, mas como são logos é baixo impacto.
-- **Recomendação:** se precisar permitir upload via app, adicionar policy `TO authenticated` + checagem de admin. Caso contrário, manter como está (gerenciado via service_role/console).
-
----
-
-### 3.2 `imports` — ok, com ressalvas
-
-- **Finalidade:** arquivos Excel/CSV submetidos pelo wizard de importação.
-- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `src/imports/wizard/services/importJobService.ts`.
-- **Estrutura:** `{alias}/{timestamp}_{filename}`.
-- **Visibilidade:** privado.
-- **RLS atuais:**
-  - `imports_bucket_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-  - `imports_bucket_insert` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-  - `imports_bucket_update` — UPDATE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-  - `imports_bucket_delete` — DELETE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-- **Riscos:**
-  - 🟡 Policies estão atribuídas ao role `public` — funcional, mas inconsistente com o padrão `TO authenticated`.
-- **Recomendação:** converter as policies para `TO authenticated` (mais explícito e linter-friendly).
-
----
-
-### 3.3 `thumbnails` — ⚠️ sem scoping por alias
-
-- **Finalidade:** miniaturas/capas de cursos e conteúdos.
-- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useImageUpload.ts` (default bucket).
-- **Estrutura atual:** sem prefixo obrigatório (uploads vão na raiz).
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `Users can upload thumbnails` — INSERT `TO authenticated`, sem scoping por alias.
-  - `Users can update thumbnails` — UPDATE `TO authenticated`, sem scoping por alias.
-  - `Users can delete thumbnails` — DELETE `TO authenticated`, sem scoping por alias.
-- **Histórico:**
-  - Hardening anterior (`thumbnails_auth_insert/update/delete` exigindo `foldername[1] = jwt.alias`) quebrou os uploads do projeto Educação, que escreve direto na raiz do bucket.
-  - Em 29/04/2026 fizemos rollback para o estado anterior (3 policies permissivas para `authenticated`).
-- **Riscos:**
-  - 🔴 Sem isolamento multi-tenant: qualquer usuário autenticado pode sobrescrever/apagar arquivos de qualquer tenant.
-  - 🟡 `LIST` público (bucket público) — inventário visível.
-- **Próximo passo (P1):** ajustar `src/modules/contents/hooks/useImageUpload.ts` para gravar em `{alias}/...` e então reaplicar as policies com scoping por alias.
-
----
-
-### 3.4 `university-assets` — média
-
-- **Finalidade:** imagens da plataforma de cursos (banners, ilustrações, IA-docs).
-- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useImageUpload.ts`, `src/modules/contents/services/aiDocsService.ts`.
-- **Estrutura:** `{alias}/...` em parte das chamadas (não obrigatório).
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `university_assets_auth_insert` — INSERT `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
-  - `university_assets_auth_update` — UPDATE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
-  - `university_assets_auth_delete` — DELETE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
-- **Riscos:**
-  - 🟠 Qualquer usuário autenticado de qualquer tenant pode sobrescrever/excluir arquivos de qualquer outro tenant.
-  - 🟡 `LIST` público.
-- **Recomendação:** adicionar scoping `(storage.foldername(name))[1] = jwt.alias` no INSERT/UPDATE/DELETE.
-
----
-
-### 3.5 `certificates` — média
-
-- **Finalidade:** PDFs/imagens de certificados emitidos para alunos.
-- **Consumidores:**
-  - [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useUserCertificateUpload.ts`, `src/hooks/useBulkCertificateUpload.ts` (uploads usam **signed URLs** com TTL 1 ano).
-  - [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `src/training/utils/evidenceUrlResolver.ts` (leitura via `getPublicUrl`).
-- **Estrutura:** sem padrão por alias (arquivos no root).
-- **Visibilidade:** público (mesmo o código gerando signed URLs — ou seja, a privacidade pretendida não é real).
-- **RLS atuais:**
-  - `Authenticated users can upload certificates` — INSERT `TO authenticated`, sem scoping.
-  - `Authenticated users can update certificates` — UPDATE `TO authenticated`, sem scoping.
-  - `Authenticated users can delete certificates` — DELETE `TO authenticated`, sem scoping.
-- **Riscos:**
-  - 🔴 Certificados são **PII** (nome do aluno, curso, datas). Bucket público + sem scoping = qualquer URL adivinhada/descoberta vaza dados pessoais.
-  - 🟠 `LIST` anônimo expõe inventário com nomes de arquivo.
-- **Recomendação:** **tornar privado** e migrar Treinamentos para usar signed URLs (já é o padrão de Educação). Adicionar scoping por alias.
-
----
-
-### 3.6 `content-files` — média/alta
-
-- **Finalidade:** materiais de cursos (apostilas, planilhas, pacotes SCORM).
-- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useFileUpload.ts`, `docs/SCORM_IMPLEMENTATION.md`.
-- **Estrutura:** `{packageFolder}/...` (SCORM); demais sem padrão claro.
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `Authenticated users can upload content-files` — INSERT `TO authenticated`, sem scoping.
-  - `Authenticated users can update content-files` — UPDATE `TO authenticated`, sem scoping.
-  - `Authenticated users can delete content-files` — DELETE `TO authenticated`, sem scoping.
-- **Riscos:**
-  - 🟠 Materiais de treinamento de um cliente podem estar acessíveis publicamente para quem tiver a URL/listar o bucket.
-  - 🟡 `LIST` público.
-- **Recomendação:** scoping por `alias` e avaliar deixar privado com signed URLs (impacta player de cursos — exige mudança no front).
-
----
-
-### 3.7 `content-videos` — ok (mais maduro)
-
-- **Finalidade:** vídeos das aulas de Educação.
-- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/contexts/UploadQueueContext.tsx`, `src/modules/contents/hooks/useVideoUpload.ts`.
-- **Estrutura:** `{alias}/{filename}`.
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `content_videos_auth_insert` — INSERT `TO authenticated`, `foldername[1] = jwt.alias`.
-  - `content_videos_auth_update` — UPDATE `TO authenticated`, `foldername[1] = jwt.alias`.
-  - `content_videos_auth_delete` — DELETE `TO authenticated`, `foldername[1] = jwt.alias`.
-- **Riscos:**
-  - 🟠 Vídeos premium acessíveis por URL pública direta.
-  - 🟡 `LIST` público (alto volume — 326 GB).
-- **Recomendação:** considerar privado + signed URLs (igual a Vimeo/Mux). Custo: rever player e CDN.
-
----
-
-### 3.8 `career-banners` — baixa
-
-- **Finalidade:** banners da página pública de carreiras.
-- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654).
-- **Estrutura:** raiz.
-- **Visibilidade:** público.
-- **RLS atuais:**
-  - `career_banners_upload` — INSERT, role `public`, `auth.role() = 'authenticated'`.
-  - `career_banners_delete` — DELETE, role `public`, `auth.role() = 'authenticated'`.
-- **Riscos:**
-  - 🟡 Sem scoping por alias — qualquer admin de qualquer tenant pode deletar banners de outro.
-  - 🟡 Policies em role `public` em vez de `TO authenticated`.
-- **Recomendação:** scoping por alias se for multi-tenant. Padronizar para `TO authenticated`.
-
----
-
-### 3.9 `resumes` — média
-
-- **Finalidade:** currículos de candidatos (RH).
-- **Consumidores:**
-  - [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — fluxo de RH.
-  - [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10) — migração `20260330141432` cria policy escopada por `auth.uid()`.
-- **Estrutura:** `{alias}/{filename}` (Colaboradores) e `{auth.uid()}/...` (Cockpit) — **dois esquemas convivendo**.
-- **Visibilidade:** privado.
-- **RLS atuais:**
-  - `resumes_alias_select` — SELECT `TO authenticated`, `foldername[1] = jwt.alias`.
-  - `resumes_auth_upload` — INSERT `TO authenticated`, `foldername[1] = jwt.alias` + extensões `pdf|doc|docx|jpg|jpeg|png`.
-- **⚠️ Incongruência MIME:** o bucket aceita apenas `pdf/doc/docx` (configuração `allowed_mime_types`), mas a policy `resumes_auth_upload` lista também `jpg|jpeg|png`. Na prática o bucket rejeitaria imagens pelo MIME antes da policy ser avaliada, mas a policy está desatualizada.
-- **Riscos:**
-  - 🟠 Há duas convenções de path conflitantes (alias vs uid). Pode haver arquivos "órfãos" que não casam com nenhuma policy.
-  - 🟠 Não há policy explícita de UPDATE/DELETE listada.
-- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE. Remover extensões de imagem da policy para casar com o bucket.
-
----
-
-### 3.10 `contracts` — ok
-
-- **Finalidade:** templates DOCX e contratos gerados.
-- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — `src/contracts/contractService.ts`, edge function `contract-processor`.
-- **Estrutura:** `{templates|generated}/{alias}/{filename}`.
-- **Visibilidade:** privado.
-- **RLS atuais:**
-  - `contracts_select` — SELECT, role `public`, `foldername[1] IN ('templates','generated')` + `foldername[2] = jwt.alias`.
-  - `contracts_insert` — INSERT, role `public`, mesma condição.
-  - `contracts_update` — UPDATE, role `public`, mesma condição.
-  - `contracts_delete` — DELETE `TO authenticated`, mesma condição.
-- **Riscos:**
-  - 🟢 Bem segregado por alias.
-  - 🟡 SELECT/INSERT/UPDATE em role `public` (funcional mas inconsistente).
-- **Recomendação:** padronizar para `TO authenticated`.
-
----
-
-### 3.11 `user-uploads` — 🚨 alta complexidade
-
-Bucket multi-projeto, segregado por subpasta. **Usado por 3 projetos** (Colaboradores, Treinamentos, Matriz de Foco).
-
-- **Visibilidade:** privado.
-- **Estrutura por consumidor:**
-
-  | Subpasta raiz | Projeto | Uso |
-  |---|---|---|
-  | `interviews/{alias}/...` | Colaboradores | Áudios/anexos de entrevistas |
-  | `training-requests/{alias}/...` | Treinamentos | Anexos de solicitações de treinamento |
-  | `imported-evidence/{alias}/...` | Treinamentos | Evidências importadas em massa |
-  | `trainings/.../{alias}/...` | Treinamentos | Evidências de treinamento (alias na 3ª pasta) |
-  | `evidence-images/...` | Matriz de Foco | Imagens coladas no rich-text editor |
-  | `evidence-attachments/{evidenceId}/...` | Matriz de Foco | Anexos de evidências |
-
-- **RLS atuais (05/05/2026):**
-
-  | Policy | Cmd | Role | Scoping |
-  |--------|-----|------|---------|
-  | `interview_scoped_select` | SELECT | `public` | `foldername[1] = 'interviews'` + `foldername[2] = jwt.alias` |
-  | `authenticated_interview_upload` | INSERT | `public` | `auth.role() = 'authenticated'` — **sem scoping por subpasta/alias** ⚠️ |
-  | `training_requests_attachments_select` | SELECT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
-  | `training_requests_attachments_insert` | INSERT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
-  | `training_requests_attachments_delete` | DELETE | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
-  | `imported_evidence_select` | SELECT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
-  | `imported_evidence_insert` | INSERT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
-  | `evidence_uploads_select` | SELECT | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
-  | `evidence_uploads_delete` | DELETE | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
-  | `Authenticated users can update user-uploads` | UPDATE | `authenticated` | `foldername[2] = jwt.alias` (cobre `*/{alias}/...`, mas não `evidence-images/` nem `evidences/`) |
-
-- **Riscos:**
-  - 🔴 `authenticated_interview_upload` continua permitindo que qualquer authenticated grave em qualquer subpasta do bucket (cross-tenant + cross-projeto).
-  - 🔴 `evidence_uploads_select/delete` não checam alias — qualquer authenticated lê/deleta evidências da Matriz de Foco de outros tenants.
-  - 🟠 Padrão de path inconsistente entre projetos (uns usam alias na 1ª pasta, outros na 3ª, outros não usam).
-
-- **Recomendação:**
-  - Padronizar para `{projeto}/{alias}/...`.
-  - Substituir `authenticated_interview_upload` por INSERT por subpasta + alias.
-  - Adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco).
-
----
-
-### 3.12 `trainings` — ok
-
-- **Finalidade:** evidências de treinamentos (PDFs, fotos).
-- **Consumidor:** [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `LeaderResolveModal`, `LeaderPendingSelectModal`.
-- **Estrutura:** `.../.../{alias}/...` (alias na 3ª pasta — esquisito).
-- **Visibilidade:** privado.
-- **RLS atuais:**
-  - `trainings_bucket_select` — SELECT, role `public`, `foldername[2] = jwt.alias`.
-  - `trainings_bucket_insert` — INSERT, role `public`, `foldername[2] = jwt.alias`.
-- **Riscos:**
-  - 🟡 Discrepância: a policy usa pasta `[2]`, mas o resolver de evidências em `evidenceUrlResolver.ts` aceita o bucket. Validar se o path real bate.
-  - 🟠 Sem policy explícita de UPDATE/DELETE.
-  - 🟡 Policies em role `public` (funcional mas inconsistente).
-- **Recomendação:** confirmar convenção de path, adicionar UPDATE/DELETE escopados e padronizar para `TO authenticated`.
-
----
-
-### 3.13 `performance` — ✅ corrigido (05/2026)
-
-- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios.
-- **Consumidor:** [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
-  - `src/one-on-ones/services/evidenceService.ts` → pasta `evidences/`
-  - `src/one-on-ones/services/taskReportService.ts` → pasta `task-reports/`
-- **Estrutura:** `{alias}/evidences/...` e `{alias}/task-reports/...`.
-- **Visibilidade:** 🔒 **privado** (alterado de público para privado).
-- **RLS atuais (pós-hardening):**
-  - `performance_authenticated_select` — SELECT `TO authenticated`, `jwt.alias = foldername[1]`.
-  - `performance_authenticated_insert` — INSERT, role `public`, `jwt.alias = foldername[1]`.
-  - `performance_authenticated_update` — UPDATE, role `public`, `jwt.alias = foldername[1]`.
-  - `performance_authenticated_delete` — DELETE, role `public`, `jwt.alias = foldername[1]`.
-- **Mudança recente:** bucket tornado privado + 4 policies com scoping por alias na 1ª pasta. Resolve os riscos P0 apontados anteriormente.
-- **Riscos:**
-  - 🟢 Isolamento multi-tenant via alias — resolvido.
-  - 🟡 INSERT/UPDATE/DELETE em role `public` (funcional mas inconsistente com o padrão `TO authenticated`).
-  - 🟡 O código de Desempenho pode precisar migrar de `getPublicUrl` para `createSignedUrl` (bucket agora privado).
-- **Recomendação:** padronizar policies para `TO authenticated`. Confirmar que o front de Desempenho já usa signed URLs.
-
----
-
-### 3.14 `knowledge-files` — ❓ a confirmar
-
-- **Finalidade provável:** base de conhecimento para IA / chatbot.
-- **Consumidor:** sem uso direto encontrado em nenhum dos 14 projetos. 8 objetos, último em março/2026.
-- **Estrutura:** `{alias}/...`.
-- **Visibilidade:** privado.
-- **RLS atuais:**
-  - `knowledge_files_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-  - `knowledge_files_upload` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
-- **Riscos:**
-  - 🟡 Sem UPDATE/DELETE explícitos.
-  - 🟡 Provavelmente consumido por uma edge function (não por front) — confirmar.
-  - 🟡 Policies em role `public` (funcional mas inconsistente).
-- **Recomendação:** identificar consumidor e validar fluxo antes de mexer.
-
----
-
-### 3.15 `pdi-uploads` — ✅ novo (05/2026)
-
-- **Finalidade:** evidências de ações nos Planos de Desenvolvimento Individual (PDI).
-- **Consumidor:** exclusivamente [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
-  - `src/modules/plans/utils/evidenceStorage.ts` — helper centralizado (`uploadEvidence`, `resolveEvidenceUrl`, `getEvidenceSignedUrl`)
-  - `src/modules/plans/components/tracking/EvidenceModal.tsx` — upload de evidências no acompanhamento
-  - `src/modules/plans/components/ActionManagementModal.tsx` — upload/edição de evidências em ações
-- **Estrutura:** `{alias}/evidences/{timestamp}_{sanitized_filename}`.
-- **Visibilidade:** 🔒 **privado** — acesso via signed URLs (1h de validade).
-- **Limites:** sem restrição de MIME type ou tamanho no bucket (validação no front: 10 MB max).
-- **RLS atuais (3 policies, todas `TO authenticated` com scoping por alias):**
-  - `pdi_uploads_select` — SELECT, `bucket_id = 'pdi-uploads' AND foldername[1] = jwt.alias`.
-  - `pdi_uploads_insert` — INSERT, mesma condição em `WITH CHECK`.
-  - `pdi_uploads_update` — UPDATE, mesma condição em `USING` e `WITH CHECK`.
-- **Sem policy de DELETE** — alinhado com a regra de soft delete do projeto (evidências são desvinculadas no registro, não apagadas do storage).
-- **Origem:** bucket criado durante migração de evidências do PDI, que antes usava `user-uploads/evidences/`. Migração concluída em 05/2026 (ver `docs/pdi-storage-migration-plan.md`).
-- **Riscos:**
-  - 🟢 Isolamento multi-tenant via alias — correto desde a criação.
-  - 🟢 Todas as policies usam `TO authenticated` (padrão correto).
-  - 🟢 Signed URLs no front (bucket privado desde o início).
-- **Recomendação:** nenhuma ação necessária — bucket exemplar.
-
----
-
-## 4. Padrões de policies (síntese)
-
-### 4.1 Boas práticas observadas
-
-| Padrão | Onde aparece | Recomendar generalizar |
-|---|---|---|
-| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes, performance, **pdi-uploads** | ✅ sim — virar padrão |
-| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes, evidence_uploads, **pdi-uploads** | ✅ sim — converter as policies em role `public` |
-| `(SELECT auth.jwt())` (e não `auth.jwt()`) | a maioria das policies novas | ✅ obrigatório (linter) |
-| Bucket privado + signed URLs | certificates (Educação), contracts, performance, **pdi-uploads** | ✅ aplicar a thumbnails, content-files, content-videos |
-
-### 4.2 Policies com role `public` (debt técnico)
-
-As seguintes policies usam `roles: {public}` com `auth.role() = 'authenticated'` no body em vez do mais correto `TO authenticated`. Funcionam, mas geram warnings no linter e são inconsistentes com o padrão:
-
-| Bucket | Policies afetadas |
-|--------|-------------------|
-| `career-banners` | `career_banners_upload`, `career_banners_delete` |
-| `contracts` | `contracts_select`, `contracts_insert`, `contracts_update` |
-| `imports` | `imports_bucket_select`, `imports_bucket_insert`, `imports_bucket_update`, `imports_bucket_delete` |
-| `knowledge-files` | `knowledge_files_select`, `knowledge_files_upload` |
-| `performance` | `performance_authenticated_insert`, `performance_authenticated_update`, `performance_authenticated_delete` |
-| `trainings` | `trainings_bucket_select`, `trainings_bucket_insert` |
-| `user-uploads` | `authenticated_interview_upload`, `interview_scoped_select`, `training_requests_*`, `imported_evidence_*` |
-
-**Recomendação:** migrar todas para `TO authenticated` em uma migration batch (P2 — sem mudança funcional).
-
----
-
-## 5. Itens em aberto (a confirmar com o time)
-
-1. **`knowledge-files`**: quem consome? É edge function?
-2. **`performance`**: confirmar que o front de Desempenho já migrou de `getPublicUrl` para signed URLs após o bucket ser tornado privado.
-3. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
-4. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
-5. **`user-uploads` para Matriz de Foco**: `evidence_uploads_select/delete` não checam alias — risco cross-tenant confirmado. (PDI já migrou para `pdi-uploads`).
-6. **`resumes`**: policy permite `jpg/jpeg/png` mas bucket só aceita `pdf/doc/docx` — limpar policy.
-
----
-
-## 6. Próximos passos sugeridos (priorizados)
-
-> Cada item é uma migração isolada — abrir uma issue/PR separada por bucket.
-
-| Prioridade | Bucket | Ação |
-|---|---|---|
-| ✅ done | `library-assets` | INSERT anônimo removido (sem policies de write). |
-| ✅ done | `thumbnails` | INSERT/UPDATE/DELETE `TO authenticated` (sem scoping — pendente ajuste no front). |
-| ✅ done | `performance` | Tornado privado + 4 policies com scoping por alias. |
-| ✅ done | `performance-files` | Bucket deprecado e removido. |
-| ✅ done | `pdi-uploads` | Bucket criado (privado) + 3 policies `TO authenticated` com scoping por alias. Migração de `user-uploads` concluída. |
-| 🔴 P0 | `user-uploads` | Substituir `authenticated_interview_upload` (INSERT genérico) por INSERT por subpasta + alias; adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco). |
-| 🔴 P0 | `certificates` | Tornar privado + migrar Treinamentos para signed URLs. |
-| 🟠 P1 | `thumbnails` | Ajustar front de Educação para gravar em `{alias}/...` e reaplicar scoping por alias. |
-| 🟠 P1 | `university-assets`, `content-files` | Adicionar scoping por alias em UPDATE/DELETE/INSERT. |
-| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid), adicionar UPDATE/DELETE, remover extensões de imagem da policy. |
-| 🟡 P2 | Múltiplos | Padronizar ~20 policies de role `public` para `TO authenticated` (limpeza, sem mudança funcional). Ver seção 4.2. |
-| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza). |
-| 🟡 P2 | `career-banners` | Scoping por alias se for multi-tenant. |
-| 🟡 P2 | `content-videos` | Avaliar privado + signed URLs (impacto no player). |
-
----
-
-## 7. Como manter este documento
-
-- Atualizar a cada migração que toque `storage.objects` ou `storage.buckets`.
-- Refresh trimestral dos números (objetos / tamanho) via:
-  ```sql
-  SELECT bucket_id, COUNT(*) AS objects,
-         pg_size_pretty(SUM((metadata->>'size')::bigint)) AS total_size
-  FROM storage.objects GROUP BY bucket_id ORDER BY bucket_id;
-  ```
-- Quando um novo projeto consumir um bucket existente, adicioná-lo à matriz da seção 2 e à seção 3 do bucket.
+# Supabase Storage — Inventário e mapa de consumidores
+
+> **Projeto Supabase:** `ccjfvpnndclajkleyqkc` (qualiex-db, prod)  
+> **Snapshot:** 2026-05-04  
+> **Objetivo:** mapear todos os buckets, quem os consome, suas RLS atuais e os riscos para guiar o próximo ciclo de hardening.  
+> **Escopo:** apenas documentação — nenhuma policy, bucket ou código foi alterado.
+
+---
+
+## 1. Visão geral
+
+15 buckets ativos. Tamanho total ≈ 332 GB (dominado por `content-videos`).
+
+| # | Bucket | Público | Objetos | Tamanho | MIME limit | File size limit |
+|---|---|---|---:|---:|---|---|
+| 1 | `career-banners` | ✅ | 4 | 349 kB | — | — |
+| 2 | `certificates` | ✅ | 2.470 | 982 MB | — | — |
+| 3 | `content-files` | ✅ | 5.474 | 2,7 GB | lista ampla | 2 GB |
+| 4 | `content-videos` | ✅ | 1.929 | 326 GB | só vídeo | 3 GB |
+| 5 | `contracts` | 🔒 | 151 | 47 MB | — | — |
+| 6 | `imports` | 🔒 | 3 | 569 kB | — | — |
+| 7 | `knowledge-files` | 🔒 | 8 | 24 MB | — | — |
+| 8 | `library-assets` | ✅ | 10 | 105 kB | — | — |
+| 9 | `pdi-uploads` | 🔒 | 8 | 14 MB | — | — |
+| 10 | `performance` | 🔒 | 76 | 19 MB | — | — |
+| 11 | `resumes` | 🔒 | 745 | 162 MB | pdf/doc/docx | 10 MB |
+| 12 | `thumbnails` | ✅ | 1.158 | 585 MB | — | — |
+| 13 | `trainings` | 🔒 | 27 | 13 MB | — | — |
+| 14 | `university-assets` | ✅ | 284 | 308 MB | — | — |
+| 15 | `user-uploads` | 🔒 | 1.001 | 1,5 GB | — | — |
+
+> ℹ️ A coluna **Público** indica `storage.buckets.public`. Buckets públicos liberam download anônimo via `/storage/v1/object/public/<bucket>/<path>` e, sem policy explícita, também permitem `LIST` anônimo.
+
+### Changelog
+
+| Data | Mudança |
+|------|---------|
+| 2026-05-04 | `performance` tornado privado com 4 policies (SELECT/INSERT/UPDATE/DELETE) escopadas por alias. `performance-files` removido (deprecado). Snapshot atualizado. |
+| 2026-04-29 | Snapshot inicial. `library-assets` INSERT anônimo removido. `thumbnails` rollback para policies permissivas. |
+
+---
+
+## 2. Matriz Bucket × Projeto
+
+Projetos do ecossistema (Lovable):
+
+- [Admin / Configurações Core](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `qualiex-admin` (este; lib `forlogic-core`)
+- [Documentos](/projects/196d59d6-6e5c-4e49-b064-a24e57874298)
+- [Configurações](/projects/b0970ba3-5c2a-4b7d-8d3b-5b2162b2d285)
+- [OKR](/projects/53776a8a-ab33-494d-8b92-74341fd3d133)
+- [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10)
+- [Plano de Controle](/projects/d4712bc3-bc32-40a6-874c-401cf773c55c)
+- [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654)
+- [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6)
+- [Matriz de Foco](/projects/e0a4fc74-f1c6-4466-8a9c-dcb31f03fb20)
+- [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304)
+- [Competências](/projects/ffc892d4-d7b4-46cd-883d-01ffeb99b2f4)
+- [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
+- [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
+- [Pulso](/projects/f49c7856-0bf8-4aa7-be0b-a6c5c5bf3ca1)
+
+| Bucket | Admin | Educação | Colaboradores | Treinamentos | Matriz Foco | PDI | Desempenho | Cockpit | Documentos |
+|---|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|:-:|
+| `library-assets` | ✅ | | | | | | | | |
+| `imports` | ✅ | | | | | | | | |
+| `thumbnails` | | ✅ | | | | | | | |
+| `university-assets` | | ✅ | | | | | | | |
+| `certificates` | | ✅ | | 🔎 read | | | | | |
+| `content-files` | | ✅ | | | | | | | |
+| `content-videos` | | ✅ | | | | | | | |
+| `career-banners` | | | ✅ | | | | | | |
+| `resumes` | | | ✅ | | | | | (policy) | |
+| `contracts` | | | ✅ | | | | | | |
+| `user-uploads` | | | ✅ (interviews) | ✅ (training-requests, trainings, imported-evidence) | ✅ (evidence-images, evidence-attachments) | | | | |
+| `pdi-uploads` | | | | | | ✅ (evidences) | | | |
+| `trainings` | | | | ✅ | | | | | |
+| `performance` | | | | | | | ✅ (1:1) | | |
+| `knowledge-files` | | | | | | | | | ❓ |
+
+Legenda: ✅ uso confirmado em código · 🔎 só leitura · (policy) tem RLS mas sem código consumidor encontrado · ❓ a confirmar com o time.
+
+---
+
+## 3. Detalhamento por bucket
+
+### 3.1 `library-assets` — ✅ corrigido
+
+- **Finalidade:** logos, favicons e marca branca da lib (Qualiex / Saber).
+- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `lib/assets/index.ts`, `lib/setup/favicon.ts`. Consumido como leitura pública por todos os projetos via URL pública.
+- **Estrutura:** raiz do bucket (`logo-qualiex-white.svg`, `favicon.png`, etc.).
+- **Visibilidade:** público.
+- **RLS atuais:** **nenhuma policy de write** no `storage.objects` para esse bucket. SELECT continua público pelo flag de bucket público. INSERT/UPDATE/DELETE bloqueados para qualquer role (apenas service_role contorna RLS).
+- **Mudança recente:** a antiga policy `Allow public upload to library assets` (INSERT anônimo sem condição) foi **removida**.
+- **Riscos:**
+  - 🟢 Upload anônimo eliminado.
+  - 🟡 `LIST` anônimo (default de bucket público) ainda expõe inventário, mas como são logos é baixo impacto.
+- **Recomendação:** se precisar permitir upload via app, adicionar policy `TO authenticated` + checagem de admin. Caso contrário, manter como está (gerenciado via service_role/console).
+
+---
+
+### 3.2 `imports` — ok, com ressalvas
+
+- **Finalidade:** arquivos Excel/CSV submetidos pelo wizard de importação.
+- **Consumidor:** [Admin](/projects/9dc9be11-bf85-4561-b36a-8d8f35fdbc06) — `src/imports/wizard/services/importJobService.ts`.
+- **Estrutura:** `{alias}/{timestamp}_{filename}`.
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `imports_bucket_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_insert` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_update` — UPDATE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `imports_bucket_delete` — DELETE, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+- **Riscos:**
+  - 🟡 Policies estão atribuídas ao role `public` — funcional, mas inconsistente com o padrão `TO authenticated`.
+- **Recomendação:** converter as policies para `TO authenticated` (mais explícito e linter-friendly).
+
+---
+
+### 3.3 `thumbnails` — ⚠️ sem scoping por alias
+
+- **Finalidade:** miniaturas/capas de cursos e conteúdos.
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useImageUpload.ts` (default bucket).
+- **Estrutura atual:** sem prefixo obrigatório (uploads vão na raiz).
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `Users can upload thumbnails` — INSERT `TO authenticated`, sem scoping por alias.
+  - `Users can update thumbnails` — UPDATE `TO authenticated`, sem scoping por alias.
+  - `Users can delete thumbnails` — DELETE `TO authenticated`, sem scoping por alias.
+- **Histórico:**
+  - Hardening anterior (`thumbnails_auth_insert/update/delete` exigindo `foldername[1] = jwt.alias`) quebrou os uploads do projeto Educação, que escreve direto na raiz do bucket.
+  - Em 29/04/2026 fizemos rollback para o estado anterior (3 policies permissivas para `authenticated`).
+- **Riscos:**
+  - 🔴 Sem isolamento multi-tenant: qualquer usuário autenticado pode sobrescrever/apagar arquivos de qualquer tenant.
+  - 🟡 `LIST` público (bucket público) — inventário visível.
+- **Próximo passo (P1):** ajustar `src/modules/contents/hooks/useImageUpload.ts` para gravar em `{alias}/...` e então reaplicar as policies com scoping por alias.
+
+---
+
+### 3.4 `university-assets` — média
+
+- **Finalidade:** imagens da plataforma de cursos (banners, ilustrações, IA-docs).
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useImageUpload.ts`, `src/modules/contents/services/aiDocsService.ts`.
+- **Estrutura:** `{alias}/...` em parte das chamadas (não obrigatório).
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `university_assets_auth_insert` — INSERT `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_update` — UPDATE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+  - `university_assets_auth_delete` — DELETE `TO authenticated`, `jwt.alias IS NOT NULL`. Sem scoping por pasta.
+- **Riscos:**
+  - 🟠 Qualquer usuário autenticado de qualquer tenant pode sobrescrever/excluir arquivos de qualquer outro tenant.
+  - 🟡 `LIST` público.
+- **Recomendação:** adicionar scoping `(storage.foldername(name))[1] = jwt.alias` no INSERT/UPDATE/DELETE.
+
+---
+
+### 3.5 `certificates` — média
+
+- **Finalidade:** PDFs/imagens de certificados emitidos para alunos.
+- **Consumidores:**
+  - [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/hooks/useUserCertificateUpload.ts`, `src/hooks/useBulkCertificateUpload.ts` (uploads usam **signed URLs** com TTL 1 ano).
+  - [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `src/training/utils/evidenceUrlResolver.ts` (leitura via `getPublicUrl`).
+- **Estrutura:** sem padrão por alias (arquivos no root).
+- **Visibilidade:** público (mesmo o código gerando signed URLs — ou seja, a privacidade pretendida não é real).
+- **RLS atuais:**
+  - `Authenticated users can upload certificates` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update certificates` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete certificates` — DELETE `TO authenticated`, sem scoping.
+- **Riscos:**
+  - 🔴 Certificados são **PII** (nome do aluno, curso, datas). Bucket público + sem scoping = qualquer URL adivinhada/descoberta vaza dados pessoais.
+  - 🟠 `LIST` anônimo expõe inventário com nomes de arquivo.
+- **Recomendação:** **tornar privado** e migrar Treinamentos para usar signed URLs (já é o padrão de Educação). Adicionar scoping por alias.
+
+---
+
+### 3.6 `content-files` — média/alta
+
+- **Finalidade:** materiais de cursos (apostilas, planilhas, pacotes SCORM).
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/modules/contents/hooks/useFileUpload.ts`, `docs/SCORM_IMPLEMENTATION.md`.
+- **Estrutura:** `{packageFolder}/...` (SCORM); demais sem padrão claro.
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `Authenticated users can upload content-files` — INSERT `TO authenticated`, sem scoping.
+  - `Authenticated users can update content-files` — UPDATE `TO authenticated`, sem scoping.
+  - `Authenticated users can delete content-files` — DELETE `TO authenticated`, sem scoping.
+- **Riscos:**
+  - 🟠 Materiais de treinamento de um cliente podem estar acessíveis publicamente para quem tiver a URL/listar o bucket.
+  - 🟡 `LIST` público.
+- **Recomendação:** scoping por `alias` e avaliar deixar privado com signed URLs (impacta player de cursos — exige mudança no front).
+
+---
+
+### 3.7 `content-videos` — ok (mais maduro)
+
+- **Finalidade:** vídeos das aulas de Educação.
+- **Consumidor:** [Educação](/projects/075796dc-6ed4-43d3-92e3-3ab7f6314db6) — `src/contexts/UploadQueueContext.tsx`, `src/modules/contents/hooks/useVideoUpload.ts`.
+- **Estrutura:** `{alias}/{filename}`.
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `content_videos_auth_insert` — INSERT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_update` — UPDATE `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `content_videos_auth_delete` — DELETE `TO authenticated`, `foldername[1] = jwt.alias`.
+- **Riscos:**
+  - 🟠 Vídeos premium acessíveis por URL pública direta.
+  - 🟡 `LIST` público (alto volume — 326 GB).
+- **Recomendação:** considerar privado + signed URLs (igual a Vimeo/Mux). Custo: rever player e CDN.
+
+---
+
+### 3.8 `career-banners` — baixa
+
+- **Finalidade:** banners da página pública de carreiras.
+- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654).
+- **Estrutura:** raiz.
+- **Visibilidade:** público.
+- **RLS atuais:**
+  - `career_banners_upload` — INSERT, role `public`, `auth.role() = 'authenticated'`.
+  - `career_banners_delete` — DELETE, role `public`, `auth.role() = 'authenticated'`.
+- **Riscos:**
+  - 🟡 Sem scoping por alias — qualquer admin de qualquer tenant pode deletar banners de outro.
+  - 🟡 Policies em role `public` em vez de `TO authenticated`.
+- **Recomendação:** scoping por alias se for multi-tenant. Padronizar para `TO authenticated`.
+
+---
+
+### 3.9 `resumes` — média
+
+- **Finalidade:** currículos de candidatos (RH).
+- **Consumidores:**
+  - [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — fluxo de RH.
+  - [Cockpit](/projects/e6853fb4-67f9-4776-b427-7768a9136f10) — migração `20260330141432` cria policy escopada por `auth.uid()`.
+- **Estrutura:** `{alias}/{filename}` (Colaboradores) e `{auth.uid()}/...` (Cockpit) — **dois esquemas convivendo**.
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `resumes_alias_select` — SELECT `TO authenticated`, `foldername[1] = jwt.alias`.
+  - `resumes_auth_upload` — INSERT `TO authenticated`, `foldername[1] = jwt.alias` + extensões `pdf|doc|docx|jpg|jpeg|png`.
+- **⚠️ Incongruência MIME:** o bucket aceita apenas `pdf/doc/docx` (configuração `allowed_mime_types`), mas a policy `resumes_auth_upload` lista também `jpg|jpeg|png`. Na prática o bucket rejeitaria imagens pelo MIME antes da policy ser avaliada, mas a policy está desatualizada.
+- **Riscos:**
+  - 🟠 Há duas convenções de path conflitantes (alias vs uid). Pode haver arquivos "órfãos" que não casam com nenhuma policy.
+  - 🟠 Não há policy explícita de UPDATE/DELETE listada.
+- **Recomendação:** alinhar uma única convenção (`{alias}/{auth.uid()}/{file}` cobre os dois) e adicionar UPDATE/DELETE. Remover extensões de imagem da policy para casar com o bucket.
+
+---
+
+### 3.10 `contracts` — ok
+
+- **Finalidade:** templates DOCX e contratos gerados.
+- **Consumidor:** [Colaboradores](/projects/37cdf18f-3d54-4af2-a02b-9f7e2d94e654) — `src/contracts/contractService.ts`, edge function `contract-processor`.
+- **Estrutura:** `{templates|generated}/{alias}/{filename}`.
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `contracts_select` — SELECT, role `public`, `foldername[1] IN ('templates','generated')` + `foldername[2] = jwt.alias`.
+  - `contracts_insert` — INSERT, role `public`, mesma condição.
+  - `contracts_update` — UPDATE, role `public`, mesma condição.
+  - `contracts_delete` — DELETE `TO authenticated`, mesma condição.
+- **Riscos:**
+  - 🟢 Bem segregado por alias.
+  - 🟡 SELECT/INSERT/UPDATE em role `public` (funcional mas inconsistente).
+- **Recomendação:** padronizar para `TO authenticated`.
+
+---
+
+### 3.11 `user-uploads` — 🚨 alta complexidade
+
+Bucket multi-projeto, segregado por subpasta. **Usado por 3 projetos** (Colaboradores, Treinamentos, Matriz de Foco).
+
+- **Visibilidade:** privado.
+- **Estrutura por consumidor:**
+
+  | Subpasta raiz | Projeto | Uso |
+  |---|---|---|
+  | `interviews/{alias}/...` | Colaboradores | Áudios/anexos de entrevistas |
+  | `training-requests/{alias}/...` | Treinamentos | Anexos de solicitações de treinamento |
+  | `imported-evidence/{alias}/...` | Treinamentos | Evidências importadas em massa |
+  | `trainings/.../{alias}/...` | Treinamentos | Evidências de treinamento (alias na 3ª pasta) |
+  | `evidence-images/...` | Matriz de Foco | Imagens coladas no rich-text editor |
+  | `evidence-attachments/{evidenceId}/...` | Matriz de Foco | Anexos de evidências |
+
+- **RLS atuais (05/05/2026):**
+
+  | Policy | Cmd | Role | Scoping |
+  |--------|-----|------|---------|
+  | `interview_scoped_select` | SELECT | `public` | `foldername[1] = 'interviews'` + `foldername[2] = jwt.alias` |
+  | `authenticated_interview_upload` | INSERT | `public` | `auth.role() = 'authenticated'` — **sem scoping por subpasta/alias** ⚠️ |
+  | `training_requests_attachments_select` | SELECT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_insert` | INSERT | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `training_requests_attachments_delete` | DELETE | `public` | `foldername[1] = 'training-requests'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_select` | SELECT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `imported_evidence_insert` | INSERT | `public` | `foldername[1] = 'imported-evidence'` + `foldername[2] = jwt.alias` |
+  | `evidence_uploads_select` | SELECT | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `evidence_uploads_delete` | DELETE | `authenticated` | `foldername[1] IN ('evidence-images','evidence-attachments')` + `jwt.alias IS NOT NULL` — **sem checagem de alias** ⚠️ |
+  | `Authenticated users can update user-uploads` | UPDATE | `authenticated` | `foldername[2] = jwt.alias` (cobre `*/{alias}/...`, mas não `evidence-images/` nem `evidences/`) |
+
+- **Riscos:**
+  - 🔴 `authenticated_interview_upload` continua permitindo que qualquer authenticated grave em qualquer subpasta do bucket (cross-tenant + cross-projeto).
+  - 🔴 `evidence_uploads_select/delete` não checam alias — qualquer authenticated lê/deleta evidências da Matriz de Foco de outros tenants.
+  - 🟠 Padrão de path inconsistente entre projetos (uns usam alias na 1ª pasta, outros na 3ª, outros não usam).
+
+- **Recomendação:**
+  - Padronizar para `{projeto}/{alias}/...`.
+  - Substituir `authenticated_interview_upload` por INSERT por subpasta + alias.
+  - Adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco).
+
+---
+
+### 3.12 `trainings` — ok
+
+- **Finalidade:** evidências de treinamentos (PDFs, fotos).
+- **Consumidor:** [Treinamentos](/projects/e02280e1-3f95-4114-8d83-80d3e8ced304) — `LeaderResolveModal`, `LeaderPendingSelectModal`.
+- **Estrutura:** `.../.../{alias}/...` (alias na 3ª pasta — esquisito).
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `trainings_bucket_select` — SELECT, role `public`, `foldername[2] = jwt.alias`.
+  - `trainings_bucket_insert` — INSERT, role `public`, `foldername[2] = jwt.alias`.
+- **Riscos:**
+  - 🟡 Discrepância: a policy usa pasta `[2]`, mas o resolver de evidências em `evidenceUrlResolver.ts` aceita o bucket. Validar se o path real bate.
+  - 🟠 Sem policy explícita de UPDATE/DELETE.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
+- **Recomendação:** confirmar convenção de path, adicionar UPDATE/DELETE escopados e padronizar para `TO authenticated`.
+
+---
+
+### 3.13 `performance` — ✅ corrigido (05/2026)
+
+- **Finalidade:** anexos do módulo de **One-on-One** dentro de Desempenho — evidências de tarefas e relatórios.
+- **Consumidor:** [Desempenho](/projects/7c73eab6-bf0a-4cb5-93b3-e1809d1363d7)
+  - `src/one-on-ones/services/evidenceService.ts` → pasta `evidences/`
+  - `src/one-on-ones/services/taskReportService.ts` → pasta `task-reports/`
+- **Estrutura:** `{alias}/evidences/...` e `{alias}/task-reports/...`.
+- **Visibilidade:** 🔒 **privado** (alterado de público para privado).
+- **RLS atuais (pós-hardening):**
+  - `performance_authenticated_select` — SELECT `TO authenticated`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_insert` — INSERT, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_update` — UPDATE, role `public`, `jwt.alias = foldername[1]`.
+  - `performance_authenticated_delete` — DELETE, role `public`, `jwt.alias = foldername[1]`.
+- **Mudança recente:** bucket tornado privado + 4 policies com scoping por alias na 1ª pasta. Resolve os riscos P0 apontados anteriormente.
+- **Riscos:**
+  - 🟢 Isolamento multi-tenant via alias — resolvido.
+  - 🟡 INSERT/UPDATE/DELETE em role `public` (funcional mas inconsistente com o padrão `TO authenticated`).
+  - 🟡 O código de Desempenho pode precisar migrar de `getPublicUrl` para `createSignedUrl` (bucket agora privado).
+- **Recomendação:** padronizar policies para `TO authenticated`. Confirmar que o front de Desempenho já usa signed URLs.
+
+---
+
+### 3.14 `knowledge-files` — ❓ a confirmar
+
+- **Finalidade provável:** base de conhecimento para IA / chatbot.
+- **Consumidor:** sem uso direto encontrado em nenhum dos 14 projetos. 8 objetos, último em março/2026.
+- **Estrutura:** `{alias}/...`.
+- **Visibilidade:** privado.
+- **RLS atuais:**
+  - `knowledge_files_select` — SELECT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+  - `knowledge_files_upload` — INSERT, role `public`, `auth.role() = 'authenticated'` + `foldername[1] = jwt.alias`.
+- **Riscos:**
+  - 🟡 Sem UPDATE/DELETE explícitos.
+  - 🟡 Provavelmente consumido por uma edge function (não por front) — confirmar.
+  - 🟡 Policies em role `public` (funcional mas inconsistente).
+- **Recomendação:** identificar consumidor e validar fluxo antes de mexer.
+
+---
+
+### 3.15 `pdi-uploads` — ✅ novo (05/2026)
+
+- **Finalidade:** evidências de ações nos Planos de Desenvolvimento Individual (PDI).
+- **Consumidor:** exclusivamente [PDI](/projects/7269db93-bd03-4b7d-842a-cd74404d2606)
+  - `src/modules/plans/utils/evidenceStorage.ts` — helper centralizado (`uploadEvidence`, `resolveEvidenceUrl`, `getEvidenceSignedUrl`)
+  - `src/modules/plans/components/tracking/EvidenceModal.tsx` — upload de evidências no acompanhamento
+  - `src/modules/plans/components/ActionManagementModal.tsx` — upload/edição de evidências em ações
+- **Estrutura:** `{alias}/evidences/{timestamp}_{sanitized_filename}`.
+- **Visibilidade:** 🔒 **privado** — acesso via signed URLs (1h de validade).
+- **Limites:** sem restrição de MIME type ou tamanho no bucket (validação no front: 10 MB max).
+- **RLS atuais (3 policies, todas `TO authenticated` com scoping por alias):**
+  - `pdi_uploads_select` — SELECT, `bucket_id = 'pdi-uploads' AND foldername[1] = jwt.alias`.
+  - `pdi_uploads_insert` — INSERT, mesma condição em `WITH CHECK`.
+  - `pdi_uploads_update` — UPDATE, mesma condição em `USING` e `WITH CHECK`.
+- **Sem policy de DELETE** — alinhado com a regra de soft delete do projeto (evidências são desvinculadas no registro, não apagadas do storage).
+- **Origem:** bucket criado durante migração de evidências do PDI, que antes usava `user-uploads/evidences/`. Migração concluída em 05/2026 (ver `docs/pdi-storage-migration-plan.md`).
+- **Riscos:**
+  - 🟢 Isolamento multi-tenant via alias — correto desde a criação.
+  - 🟢 Todas as policies usam `TO authenticated` (padrão correto).
+  - 🟢 Signed URLs no front (bucket privado desde o início).
+- **Recomendação:** nenhuma ação necessária — bucket exemplar.
+
+---
+
+## 4. Padrões de policies (síntese)
+
+### 4.1 Boas práticas observadas
+
+| Padrão | Onde aparece | Recomendar generalizar |
+|---|---|---|
+| `(storage.foldername(name))[1] = ((SELECT auth.jwt()) ->> 'alias')` | content-videos, contracts, imports, knowledge-files, training-requests, imported-evidence, resumes, performance, **pdi-uploads** | ✅ sim — virar padrão |
+| `TO authenticated` explícito | thumbnails, certificates, content-files, university-assets, content-videos, resumes, evidence_uploads, **pdi-uploads** | ✅ sim — converter as policies em role `public` |
+| `(SELECT auth.jwt())` (e não `auth.jwt()`) | a maioria das policies novas | ✅ obrigatório (linter) |
+| Bucket privado + signed URLs | certificates (Educação), contracts, performance, **pdi-uploads** | ✅ aplicar a thumbnails, content-files, content-videos |
+
+### 4.2 Policies com role `public` (debt técnico)
+
+As seguintes policies usam `roles: {public}` com `auth.role() = 'authenticated'` no body em vez do mais correto `TO authenticated`. Funcionam, mas geram warnings no linter e são inconsistentes com o padrão:
+
+| Bucket | Policies afetadas |
+|--------|-------------------|
+| `career-banners` | `career_banners_upload`, `career_banners_delete` |
+| `contracts` | `contracts_select`, `contracts_insert`, `contracts_update` |
+| `imports` | `imports_bucket_select`, `imports_bucket_insert`, `imports_bucket_update`, `imports_bucket_delete` |
+| `knowledge-files` | `knowledge_files_select`, `knowledge_files_upload` |
+| `performance` | `performance_authenticated_insert`, `performance_authenticated_update`, `performance_authenticated_delete` |
+| `trainings` | `trainings_bucket_select`, `trainings_bucket_insert` |
+| `user-uploads` | `authenticated_interview_upload`, `interview_scoped_select`, `training_requests_*`, `imported_evidence_*` |
+
+**Recomendação:** migrar todas para `TO authenticated` em uma migration batch (P2 — sem mudança funcional).
+
+---
+
+## 5. Itens em aberto (a confirmar com o time)
+
+1. **`knowledge-files`**: quem consome? É edge function?
+2. **`performance`**: confirmar que o front de Desempenho já migrou de `getPublicUrl` para signed URLs após o bucket ser tornado privado.
+3. **`certificates` precisa ser público?** O código de Educação já gera signed URLs, então não.
+4. **`content-videos` privado?** Avaliar custo (player) vs benefício (proteger PII e propriedade intelectual).
+5. **`user-uploads` para Matriz de Foco**: `evidence_uploads_select/delete` não checam alias — risco cross-tenant confirmado. (PDI já migrou para `pdi-uploads`).
+6. **`resumes`**: policy permite `jpg/jpeg/png` mas bucket só aceita `pdf/doc/docx` — limpar policy.
+
+---
+
+## 6. Próximos passos sugeridos (priorizados)
+
+> Cada item é uma migração isolada — abrir uma issue/PR separada por bucket.
+
+| Prioridade | Bucket | Ação |
+|---|---|---|
+| ✅ done | `library-assets` | INSERT anônimo removido (sem policies de write). |
+| ✅ done | `thumbnails` | INSERT/UPDATE/DELETE `TO authenticated` (sem scoping — pendente ajuste no front). |
+| ✅ done | `performance` | Tornado privado + 4 policies com scoping por alias. |
+| ✅ done | `performance-files` | Bucket deprecado e removido. |
+| ✅ done | `pdi-uploads` | Bucket criado (privado) + 3 policies `TO authenticated` com scoping por alias. Migração de `user-uploads` concluída. |
+| 🔴 P0 | `user-uploads` | Substituir `authenticated_interview_upload` (INSERT genérico) por INSERT por subpasta + alias; adicionar checagem de alias em `evidence_uploads_select/delete` (Matriz de Foco). |
+| 🔴 P0 | `certificates` | Tornar privado + migrar Treinamentos para signed URLs. |
+| 🟠 P1 | `thumbnails` | Ajustar front de Educação para gravar em `{alias}/...` e reaplicar scoping por alias. |
+| 🟠 P1 | `university-assets`, `content-files` | Adicionar scoping por alias em UPDATE/DELETE/INSERT. |
+| 🟠 P1 | `resumes` | Unificar convenção de path (alias + uid), adicionar UPDATE/DELETE, remover extensões de imagem da policy. |
+| 🟡 P2 | Múltiplos | Padronizar ~20 policies de role `public` para `TO authenticated` (limpeza, sem mudança funcional). Ver seção 4.2. |
+| 🟡 P2 | `contracts`, `imports` | Padronizar `TO authenticated` (limpeza). |
+| 🟡 P2 | `career-banners` | Scoping por alias se for multi-tenant. |
+| 🟡 P2 | `content-videos` | Avaliar privado + signed URLs (impacto no player). |
+
+---
+
+## 7. Como manter este documento
+
+- Atualizar a cada migração que toque `storage.objects` ou `storage.buckets`.
+- Refresh trimestral dos números (objetos / tamanho) via:
+  ```sql
+  SELECT bucket_id, COUNT(*) AS objects,
+         pg_size_pretty(SUM((metadata->>'size')::bigint)) AS total_size
+  FROM storage.objects GROUP BY bucket_id ORDER BY bucket_id;
+  ```
+- Quando um novo projeto consumir um bucket existente, adicioná-lo à matriz da seção 2 e à seção 3 do bucket.