Segurança operacional
Segurança operacional é o conjunto de práticas que evita acesso indevido, alteração acidental, envio errado de mensagens e exposição de dados. Na Agilize, ela envolve usuários, permissões, equipes, canais, automações, integrações e revisão periódica.
Áreas principais
| Área | Caminho público | O que revisar |
|---|---|---|
| Usuários | https://my.agilize.app/user/ | Contas ativas, e-mail, perfil, equipe e desligamentos. |
| Permissões | https://my.agilize.app/permission/role | Perfis de acesso, permissões administrativas e módulos sensíveis. |
| Equipes organizacionais | https://my.agilize.app/teamOrg/ | Escopo de dados, supervisores, líderes, usuários do time e subequipes. |
| Equipes de distribuição | https://my.agilize.app/team/ | Regras de atendimento, filas e responsáveis. |
| Canais e integrações | https://my.agilize.app/config?module=messenger | Contas conectadas, números, departamentos, webhooks e integrações. |
| Automações | https://my.agilize.app/crm/automation | Regras que alteram dados, enviam mensagens ou chamam sistemas externos. |
Use também os guias Usuários, equipes e permissões e Escopo de dados por equipe organizacional para a configuração detalhada de acesso.
Princípio de menor privilégio
Cada pessoa deve ter apenas o acesso necessário para executar sua função.
Exemplos:
- operador de atendimento não precisa administrar integrações;
- gestor pode acompanhar relatórios sem editar todos os canais;
- supervisor pode acompanhar registros do time por equipe organizacional sem receber administrador;
- administrador de CRM pode configurar funis sem alterar números de voz;
- responsável por campanhas pode criar transmissões sem gerenciar permissões globais;
- desenvolvedor pode consultar documentação técnica sem acesso administrativo à plataforma.
Evite perfis amplos por conveniência. Eles reduzem controle e dificultam auditoria.
Revisão de usuários
Revise periodicamente:
- usuários inativos;
- colaboradores desligados ou transferidos;
- e-mails pessoais;
- acessos administrativos sem necessidade;
- usuários sem equipe;
- usuários em equipes erradas;
- supervisores fora da equipe organizacional correta;
- usuários com Registros próprios que precisam ou não precisam dessa restrição;
- perfis duplicados;
- contas temporárias antigas.
Ao remover acesso de uma pessoa, revise também automações, filas, tarefas e oportunidades associadas.
Permissões sensíveis
Trate como sensíveis permissões que permitem:
- criar, editar ou remover usuários;
- alterar permissões;
- configurar canais;
- conectar WhatsApp, voz, SMS ou integrações;
- criar transmissões em massa;
- editar funis e etapas;
- alterar automações;
- apagar dados;
- exportar informações;
- configurar webhooks ou integrações externas.
Essas permissões devem ficar restritas a administradores e responsáveis formais.
Canais e mensagens
Canais conectados podem enviar mensagens para clientes. Por isso, revise:
- quem pode configurar números e contas;
- quais usuários podem criar modelos de WhatsApp;
- quem pode disparar transmissões;
- quais departamentos recebem conversas;
- quais automações enviam mensagens;
- se templates estão aprovados e atuais;
- se há risco de envio duplicado por múltiplas regras.
Mensagens automáticas exigem atenção especial. Um erro de variável, público ou condição pode afetar muitos clientes.
Automações e integrações
Automações podem modificar registros, criar tarefas, enviar mensagens e chamar sistemas externos.
Antes de ativar:
- defina dono da automação;
- registre objetivo;
- teste com poucos registros;
- valide condição inicial;
- evite reexecução sem necessidade;
- confira variáveis de mensagem;
- confirme endpoints externos e segurança de integração;
- monitore primeiras execuções.
Pause automações sem dono, sem uso claro ou com processo antigo.
Rotina de revisão
Sugestão de frequência:
| Frequência | Revisão |
|---|---|
| Semanal | usuários novos, filas, canais críticos e automações recém-ativadas. |
| Mensal | permissões administrativas, usuários inativos, transmissões e templates. |
| Trimestral | perfis de acesso, equipes, integrações, webhooks, funis e políticas operacionais. |
| Após mudança de equipe | desligamentos, transferências, responsáveis, filas, tarefas e oportunidades. |
Checklist rápido
- Todos os usuários ativos pertencem à empresa e função corretas.
- Administradores são poucos e conhecidos.
- Supervisores usam equipe organizacional para visão de time, sem acesso administrativo desnecessário.
- A opção Registros próprios está coerente com a política de dados de cada perfil.
- Permissões sensíveis foram revisadas.
- Canais conectados têm responsáveis.
- Transmissões estão restritas a pessoas autorizadas.
- Automações têm dono e histórico monitorado.
- Webhooks e integrações têm finalidade clara.
- Usuários desligados foram removidos ou desativados.
- Equipes de distribuição refletem a operação atual.
Segurança operacional deve ser simples de manter. Se uma regra de acesso exige explicação longa demais, provavelmente precisa ser reorganizada.