Credenciais — registro de ponteiros¶
Este arquivo não contém nenhum valor de segredo. É um índice de quais segredos o backbone da Bepex usa, onde o valor real vive, e o que cada um destrava. No repo só existem os placeholders (
${NOME}), espelhados no.env.exampleda raiz. Os valores reais vivem num arquivo restrito no Drive da Bepex (rafael@bepex.com.br), fora deste repositório e fora do controle de versão.Estrutura derivada do de-para de segredos da migração (S2). Nada aqui é rotacionável a partir daqui — este é o mapa, não o cofre.
Tier 1 — segredos criptográficos (placeholder no repo · valor no Drive · ROTACIONAR)¶
Concedem acesso. Como estiveram em texto puro em arquivos possivelmente sincronizados, a recomendação é rotacionar, não só mover.
Decisão de operação (2026-07-13): rotação adiada por escolha do Rafael (prefere assumir o risco a ter trabalho manual agora). Risco aceito e consciente: os valores antigos seguem válidos até serem trocados. Quando for conveniente, rotacionar começando pelos de maior estrago (chaves Omie e senhas de e-mail). A prevenção de novos vazamentos, essa sim, está ativa (ver "Onde configurar").
| Placeholder | O que destrava | Onde o valor vive |
|---|---|---|
OMIE_APP_KEY_DALE / _SECRET_DALE |
API Omie da empresa DALE | Drive restrito |
OMIE_APP_KEY_ONIX / _SECRET_ONIX |
API Omie da ONIX | Drive restrito |
OMIE_APP_KEY_ATARES / _SECRET_ATARES |
API Omie da ATARES | Drive restrito |
OMIE_APP_KEY_LGR / _SECRET_LGR |
API Omie da LGR | Drive restrito |
OMIE_APP_KEY_BPX / _SECRET_BPX |
API Omie da BPX | Drive restrito |
FLOWTECH_BASIC_AUTH |
Basic Auth do sistema de orçamento BPEX (FlowTech/DateCode) | Drive restrito |
FLOWTECH_SENHA ⚠️ |
Senha em texto puro (enrico@bepex.com.br no FlowTech) — prioridade de rotação |
Drive restrito |
OPENWEBUI_N8N_BEARER |
Bearer das valves Open WebUI ↔ n8n (padrão Betão) | Drive restrito |
WEBHOOK_MAKE_PIPEDRIVE_OMIE |
Webhook Make de produção (Pipedrive → Omie) — POST não-autenticado | Drive restrito |
WEBHOOK_MAKE_PIPEDRIVE_OMIE_CLONE |
Webhook Make (clone de teste) | Drive restrito |
WEBHOOK_MAKE_CONTEUDO_INFINITO |
Webhook Make do Disparador Vendas (nutrição) | Drive restrito |
N8N_MCP_SSE_TOKEN |
Token do MCP Inspector do n8n (bearer-in-URL) | Drive restrito |
N8N_CHATWOOT_MCP_TOKEN |
Token do endpoint MCP Chatwoot | Drive restrito |
CHATWOOT_INBOX_IDENTIFIER_WHATS_BEPEX |
inbox_identifier do WhatsApp Bepex no Chatwoot |
Drive restrito |
BEPEXMKT_EMAIL_PASSWORD |
Senha das caixas Hostinger @bepexmkt.com.br (reusada na conta Cal.com de prospecção) |
Drive restrito |
CHATWOOT_BEPEX_API_TOKEN |
Token de API do Chatwoot chat.bepex.com.br (account 2) |
Drive restrito |
Straggler encontrado na S9 (WhatsApp/SMTP): uma credencial SMTP de um usuário Pipedrive (
vendas6@bepex.com.br) apareceu em texto puro num doc de monitoramento (fora do escopo do repo). Não foi carregada para este repo. É Tier 1 → rotacionar (trocar a senha do usuário). Registrada no de-para da sessão (_migracao-repo/sessoes/depara_s9.md) para a sessão principal consolidar noDEPARA_SEGREDOS.md. Placeholder sugerido:${PIPEDRIVE_SMTP_VENDAS6_PASSWORD}.
Tier 2 — identificadores internos (config, baixo risco — ficam nos docs)¶
Não são material criptográfico; são IDs internos só válidos dentro das respectivas plataformas. Ficam
nas referencia-tecnica.md / docs de infra porque o repo é interno.
- Conta AWS SES: número
9549-7631-8135, regiãous-east-2(veramazon-ses.md). - Org Make:
115055(vermake-bepex.md). - Credential IDs n8n (Pipedrive
CHj11AO6T3756SqM/n5IiwdsiIB3dAUQE, Postgres7F3gxDoPsQGjAbOW, AWSkqmbhAWS0tyL5fuI, n8nApihJX4nrWluQt6BE28, ChatwootFzLnFD8cohSYSYIN, OpenRouter por sistema — veropenrouter.md, BetãoSESgn3rDg6E6qtJG). Só válidos dentro da instância. - Webhook UUIDs n8n (IA losand, IA Prospecção, DIFY legado, Arquitetos, Omie MO/MP, Betão/Kowalski)
— semi-sensíveis (disparam workflow); genericizados como
${WEBHOOK_*_UUID}nos docs de projeto quando aparecem. Os de infra (helper MCPexec-node-out-bepex) ficam nos docs. browser-iddo n8n — lido dolocalStorageem runtime, não é segredo fixo.
Fora do escopo Bepex (não migrar)¶
- Token de API do Chatwoot white-label (
atendimento.agencialacos.com.br) — credencial cross-empresa (Laços); não pertence a este repo. Tratada na trilha de scrub cross-empresa.
Onde configurar¶
Ao provisionar o ambiente de destino, o operador cria o arquivo restrito no Drive com os valores reais
e aponta BEPEX_DRIVE_ROOT + a pasta restrita de segredos. Os placeholders acima são a lista
canônica do que precisa existir. .claude/settings.json da raiz do repo já tem permissions.deny
para .env/secrets.
Como o Claude acessa os valores (armazenamento + acesso)¶
- A maioria das credenciais já vive dentro das ferramentas (n8n, Make, Chatwoot guardam suas próprias credenciais). Ao operar via os MCPs autenticados dessas ferramentas, o Claude não precisa do valor cru — a ferramenta já o tem.
- Para os poucos casos de valor cru (criar credencial nova numa ferramenta, chamar uma API direto): os valores vivem no arquivo restrito do Drive, e o Claude lê sob demanda via o MCP do Google Drive. Fica fora do disco local (alinhado ao remote-first) e é controlado por permissão do Drive. Upgrade futuro possível: um gerenciador de segredos dedicado (1Password, Infisical) com MCP, se quiser mais segurança.
Prevenção de vazamento (ativa, zero trabalho)¶
- Hook
.githooks/pre-commitroda gitleaks e bloqueia qualquer commit que contenha um segredo real. Silencioso no uso normal; só interrompe se um segredo estiver prestes a entrar no git. - Bootstrap em clone novo:
git config core.hooksPath .githooks(e ter ogitleaksno PATH). - GitHub Secret Scanning server-side não está disponível neste plano (repo privado sem GHAS).