Desenvolver um sistema web seguro, anônimo e automatizado
29/09/2025 às 16:28Descrição do Projeto:
Desenvolver um sistema web seguro, anônimo e automatizado para a consultoria V.E.S., com duas funcionalidades independentes:
Análise de Riscos Psicossociais: Questionário para diagnóstico.
Canal para Solução de Conflitos: Formulário para registro anônimo.
Diretriz Principal: O sistema deve ser construído sob o princípio de "segurança por design" (security by design). O anonimato do colaborador e a integridade dos dados são inegociáveis. O fluxo de envio em duas etapas, onde o usuário recebe o protocolo de comprovação antes da submissão final, é um requisito mandatório.
2. Arquitetura Geral
Frontend: HTML Service do Google Apps Script (Interface do usuário).
Backend & Automação: Google Apps Script (Lógica, processamento, segurança).
Banco de Dados: Google Sheets (Armazenamento dos dados processados e anonimizados).
Visualização (BI): Google Looker Studio (Dashboards para o cliente final).
Segurança Adicional: O projeto Apps Script deve ser associado a um projeto Google Cloud Platform (GCP) para gerenciamento avançado de segurança e APIs.
3. Requisitos Técnicos e de Segurança Obrigatórios
A implementação deve seguir estritamente os pontos abaixo.
A — Fluxo de Coleta em Duas Etapas (HTML Service)
A interface não será um Google Form, mas sim um App da Web (doGet) construído com HTML Service.
Etapa 1 (Gerar Protocolo): O usuário preenche o formulário e clica no primeiro botão. O script deve:
Gerar um token/protocolo único, imprevisível e com tempo de expiração (ex: 30 minutos).
Criptografar o payload (as respostas) usando uma chave segura.
Salvar os dados temporariamente em uma aba de "submissões pendentes" (PendingSubmissions) na planilha, contendo: protocolo, payload_criptografado, timestamp, expiracao.
Exibir uma página de confirmação ao usuário com o protocolo/QR Code.
Etapa 2 (Confirmar Envio): O usuário clica no segundo botão. O script deve:
Recuperar o registro pendente pelo protocolo.
Validar se o token não expirou e se é de uso único.
Descriptografar o payload.
Salvar os dados finais e anonimizados na planilha principal (Dados Consolidados PGR ou Log de Conflitos).
Excluir o registro da aba PendingSubmissions.
Utilizar LockService para prevenir condições de corrida (race conditions) durante a confirmação.
B — Criptografia e Gerenciamento de Chaves
O payload temporário na aba PendingSubmissions DEVE ser armazenado de forma criptografada (AES).
A chave de criptografia NÃO PODE estar no código. Ela deve ser armazenada de forma segura usando PropertiesService ou, preferencialmente, o Google Secret Manager associado ao projeto GCP.
C — Proteção do Endpoint e Mitigação de Abusos
Implementar Rate Limiting para limitar o número de tentativas de geração de protocolo por um mesmo IP em um curto espaço de tempo.
A implementação de Google reCAPTCHA v3 no formulário HTML é recomendada para mitigar o risco de bots e scraping.
D — Minimização de Metadados e LGPD
O sistema NÃO PODE, em nenhuma hipótese, salvar na planilha final dados como timestamp exato da submissão, endereço de IP ou User-Agent.
A comunicação com o cliente final (contrato) deve deixar claro que logs do provedor (Google) existem e estão fora do nosso controle, mas que o aplicativo em si não armazena esses dados.
Incluir um banner de consentimento no formulário HTML.
E — Segurança da Conta e do Projeto
A conta Google proprietária do projeto DEVE ter autenticação de dois fatores (2FA) ativada.
O projeto Apps Script deve ser associado a um projeto GCP para permitir auditoria, uso do Secret Manager e Cloud Logging.
O acesso às planilhas de banco de dados deve ser restrito ao mínimo de pessoas possível (idealmente, apenas a conta de serviço).
4. Requisitos Adicionais de Segurança (Para o Dashboard)
Regra de Anonimato para Grupos Pequenos: No Dashboard do Looker Studio (Painel de Riscos Psicossociais), qualquer filtro por "Setor" ou "Departamento" deve ser configurado com uma regra de segurança.
Lógica: O dashboard só pode exibir os dados de um setor específico se houver um mínimo de 5 (cinco) respostas registradas para aquele setor na planilha.
Se houver menos de 5 respostas, o dashboard deve exibir uma mensagem padrão, como "Dados insuficientes para exibição anônima deste setor."
5. Checklist de Entrega e Critérios de Aceitação
O pagamento final só será liberado após a entrega e validação dos seguintes itens:
[ ] Funcionalidade Completa: App da Web funcional com o fluxo de duas etapas para ambos os serviços (Análise e Conflitos).
[ ] Criptografia Implementada: Prova de que os dados temporários estão sendo salvos de forma criptografada.
[ ] Segurança do Protocolo: Demonstração de que o protocolo expira e é de uso único (tentativas de "replay" falham).
[ ] Anonimato Garantido: Verificação de que nenhum dado de identificação pessoal ou metadado sensível é salvo na base de dados final.ra
**[ ] Reg
nt
Habilidades desejadas:
Atividades do cliente nesse projeto:
Última visualização: 21/11/2025 às 07:53
Última interação: 02/10/2025 às 19:17
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
-
Submetido: | Oferta: Privado | Duração estimada: Privado
Colocar site no ar no HostGator - Preciso de ajuda para colocar meu site no ar no HostGator. Comprei o domínio e a hospedagem por lá, mas não estou conseguindo colocá-lo no ar. Acredito que seja algo rel...
Desenvolvimento de backend para plataforma SaaS - Desenvolvi, com apoio de IA, o frontend de uma plataforma SaaS. Agora, preciso de um(a) desenvolvedor(a) backend para conectar tudo e tornar o sistema 100% funcional em produção. O ...
Desenvolvedor full stack para plataforma de eventos e submissão científica - Estou buscando um desenvolvedor full stack REAL, com experiência comprovada em plataformas educacionais ou de eventos, para desenvolver uma área integrada para realização...
Desenvolvimento de aplicativo web Khemy - Desenvolvimento de App Web SaaS – “Khemy” – Calculadora Inteligente de Formulações para Extrusão de Filmes/Bobinas em PP e PE DESCRIÇÃO C...
Otimização de site e UX para aumentar conversão de loja virtual - Queremos otimizar o site da nossa marca com foco em aumentar a conversão de visitantes, melhorar a performance técnica e entregar uma experiência mais fluida e intuitiva para o ...
