Pular para conteúdo

Credenciais — registro de ponteiros

Este arquivo não contém nenhum valor de segredo. É um índice de quais segredos o backbone da Bepex usa, onde o valor real vive, e o que cada um destrava. No repo só existem os placeholders (${NOME}), espelhados no .env.example da raiz. Os valores reais vivem num arquivo restrito no Drive da Bepex (rafael@bepex.com.br), fora deste repositório e fora do controle de versão.

Estrutura derivada do de-para de segredos da migração (S2). Nada aqui é rotacionável a partir daqui — este é o mapa, não o cofre.

Tier 1 — segredos criptográficos (placeholder no repo · valor no Drive · ROTACIONAR)

Concedem acesso. Como estiveram em texto puro em arquivos possivelmente sincronizados, a recomendação é rotacionar, não só mover.

Decisão de operação (2026-07-13): rotação adiada por escolha do Rafael (prefere assumir o risco a ter trabalho manual agora). Risco aceito e consciente: os valores antigos seguem válidos até serem trocados. Quando for conveniente, rotacionar começando pelos de maior estrago (chaves Omie e senhas de e-mail). A prevenção de novos vazamentos, essa sim, está ativa (ver "Onde configurar").

Placeholder O que destrava Onde o valor vive
OMIE_APP_KEY_DALE / _SECRET_DALE API Omie da empresa DALE Drive restrito
OMIE_APP_KEY_ONIX / _SECRET_ONIX API Omie da ONIX Drive restrito
OMIE_APP_KEY_ATARES / _SECRET_ATARES API Omie da ATARES Drive restrito
OMIE_APP_KEY_LGR / _SECRET_LGR API Omie da LGR Drive restrito
OMIE_APP_KEY_BPX / _SECRET_BPX API Omie da BPX Drive restrito
FLOWTECH_BASIC_AUTH Basic Auth do sistema de orçamento BPEX (FlowTech/DateCode) Drive restrito
FLOWTECH_SENHA ⚠️ Senha em texto puro (enrico@bepex.com.br no FlowTech) — prioridade de rotação Drive restrito
OPENWEBUI_N8N_BEARER Bearer das valves Open WebUI ↔ n8n (padrão Betão) Drive restrito
WEBHOOK_MAKE_PIPEDRIVE_OMIE Webhook Make de produção (Pipedrive → Omie) — POST não-autenticado Drive restrito
WEBHOOK_MAKE_PIPEDRIVE_OMIE_CLONE Webhook Make (clone de teste) Drive restrito
WEBHOOK_MAKE_CONTEUDO_INFINITO Webhook Make do Disparador Vendas (nutrição) Drive restrito
N8N_MCP_SSE_TOKEN Token do MCP Inspector do n8n (bearer-in-URL) Drive restrito
N8N_CHATWOOT_MCP_TOKEN Token do endpoint MCP Chatwoot Drive restrito
CHATWOOT_INBOX_IDENTIFIER_WHATS_BEPEX inbox_identifier do WhatsApp Bepex no Chatwoot Drive restrito
BEPEXMKT_EMAIL_PASSWORD Senha das caixas Hostinger @bepexmkt.com.br (reusada na conta Cal.com de prospecção) Drive restrito
CHATWOOT_BEPEX_API_TOKEN Token de API do Chatwoot chat.bepex.com.br (account 2) Drive restrito

Straggler encontrado na S9 (WhatsApp/SMTP): uma credencial SMTP de um usuário Pipedrive (vendas6@bepex.com.br) apareceu em texto puro num doc de monitoramento (fora do escopo do repo). Não foi carregada para este repo. É Tier 1 → rotacionar (trocar a senha do usuário). Registrada no de-para da sessão (_migracao-repo/sessoes/depara_s9.md) para a sessão principal consolidar no DEPARA_SEGREDOS.md. Placeholder sugerido: ${PIPEDRIVE_SMTP_VENDAS6_PASSWORD}.

Tier 2 — identificadores internos (config, baixo risco — ficam nos docs)

Não são material criptográfico; são IDs internos só válidos dentro das respectivas plataformas. Ficam nas referencia-tecnica.md / docs de infra porque o repo é interno.

  • Conta AWS SES: número 9549-7631-8135, região us-east-2 (ver amazon-ses.md).
  • Org Make: 115055 (ver make-bepex.md).
  • Credential IDs n8n (Pipedrive CHj11AO6T3756SqM / n5IiwdsiIB3dAUQE, Postgres 7F3gxDoPsQGjAbOW, AWS kqmbhAWS0tyL5fuI, n8nApi hJX4nrWluQt6BE28, Chatwoot FzLnFD8cohSYSYIN, OpenRouter por sistema — ver openrouter.md, Betão SESgn3rDg6E6qtJG). Só válidos dentro da instância.
  • Webhook UUIDs n8n (IA losand, IA Prospecção, DIFY legado, Arquitetos, Omie MO/MP, Betão/Kowalski) — semi-sensíveis (disparam workflow); genericizados como ${WEBHOOK_*_UUID} nos docs de projeto quando aparecem. Os de infra (helper MCP exec-node-out-bepex) ficam nos docs.
  • browser-id do n8n — lido do localStorage em runtime, não é segredo fixo.

Fora do escopo Bepex (não migrar)

  • Token de API do Chatwoot white-label (atendimento.agencialacos.com.br) — credencial cross-empresa (Laços); não pertence a este repo. Tratada na trilha de scrub cross-empresa.

Onde configurar

Ao provisionar o ambiente de destino, o operador cria o arquivo restrito no Drive com os valores reais e aponta BEPEX_DRIVE_ROOT + a pasta restrita de segredos. Os placeholders acima são a lista canônica do que precisa existir. .claude/settings.json da raiz do repo já tem permissions.deny para .env/secrets.

Como o Claude acessa os valores (armazenamento + acesso)

  • A maioria das credenciais já vive dentro das ferramentas (n8n, Make, Chatwoot guardam suas próprias credenciais). Ao operar via os MCPs autenticados dessas ferramentas, o Claude não precisa do valor cru — a ferramenta já o tem.
  • Para os poucos casos de valor cru (criar credencial nova numa ferramenta, chamar uma API direto): os valores vivem no arquivo restrito do Drive, e o Claude lê sob demanda via o MCP do Google Drive. Fica fora do disco local (alinhado ao remote-first) e é controlado por permissão do Drive. Upgrade futuro possível: um gerenciador de segredos dedicado (1Password, Infisical) com MCP, se quiser mais segurança.

Prevenção de vazamento (ativa, zero trabalho)

  • Hook .githooks/pre-commit roda gitleaks e bloqueia qualquer commit que contenha um segredo real. Silencioso no uso normal; só interrompe se um segredo estiver prestes a entrar no git.
  • Bootstrap em clone novo: git config core.hooksPath .githooks (e ter o gitleaks no PATH).
  • GitHub Secret Scanning server-side não está disponível neste plano (repo privado sem GHAS).