GOVEVIA Governance Dashboard

Learning Mode
Ultima atualizacao: 18/01/2026, 15:35 Commit: 19151fbe
Gestao a Vista — Painel de Governanca Ultima verificacao: --
CONFORME
O que sustenta esse estado
  • Regras aplicadas: 6 de 6
  • Decisoes registradas: 29 ADRs
  • Casos verificados: 1 CC
  • Falhas detectadas: 0
Indicadores Institucionais
  • Conformidade Tecnica: 100%
  • Exposicao a Risco: 0 pontos
  • Confiabilidade Pipeline: 100%
Pontos de Atencao
Nenhum ponto de atencao no momento. Todos os controles estao operacionais.
Impacto Institucional
Nao ha risco institucional identificado. Sistema opera em conformidade total.

Como ler este painel: Este painel foi desenhado para que qualquer pessoa entenda o estado do sistema sem conhecimento tecnico previo.

Cada informacao segue uma logica simples: regras → decisoes → execucao → evidencia → indicadores. Nada e estimado manualmente.

Se tudo estiver verde, o sistema funciona conforme o esperado. Se algo mudar, o proprio painel indica onde olhar e por que.

?

Modo Aprendizado Ativo

Passe o mouse sobre o icone (?) em qualquer elemento para entender seu significado, contexto legal e acoes recomendadas. Clique no botao no canto inferior direito para acessar o glossario completo.

ADRs
Architecture Decision Records
ADRs sao documentos que registram decisoes arquiteturais importantes. Cada ADR explica o que foi decidido, por que e quais consequencias a decisao traz.
Por que importa?
Em sistemas GovTech, decisoes precisam ser rastreaveis e justificaveis. Se o TCU perguntar "por que voces fizeram assim?", o ADR e a resposta documentada.
Acao recomendada
Toda decisao arquitetural significativa deve ter um ADR. Mantenha status atualizado.
1 / 3
All reviewed
Invariantes
Invariantes do Sistema
Invariantes sao regras que nunca podem ser violadas. Sao constraints inegociaveis definidos pelo Data Authority para garantir conformidade legal e integridade de dados.
Base legal
LGPD Art. 46 — Agentes de tratamento devem adotar medidas de seguranca para proteger dados pessoais.
Status desejado
6/6 ENFORCED = Todos os invariantes estao sendo verificados automaticamente no CI.
6 / 6
All enforced
Violations
Violacoes de Compliance
Violations sao ocorrencias onde o codigo nao atende a um invariante. Podem ser em migrations, schemas, ou configuracoes que violam regras de governanca.
Severidades
CRITICAL: Bloqueia deploy, risco legal imediato
HIGH: Requer acao em 24h
NORMAL: Corrigir no proximo sprint
Acao recomendada
Zero violations = sistema em conformidade total. Mantenha assim!
0
Open
PRs Bloqueados
Pull Requests Aguardando Aprovacao
PRs bloqueados sao aqueles que tocam em areas sensiveis e requerem aprovacao explicita do Data Authority antes do merge.
Classificacao
CRITICAL: Tabelas de pessoa, auth, audit
HIGH: Documentos, financeiro
NORMAL: Outras alteracoes
Definido por
CODEOWNERS + ADR-015 (Migration Governance Process)
0
Aguardando
Invariantes
O que sao Invariantes?
Sao as 6 regras fundamentais que garantem a integridade e conformidade legal do Govevia. Cada invariante e verificado automaticamente em todo PR que toca migrations.
Principio operacional
"Falha e sucesso" — Na duvida, o sistema bloqueia. Preferimos falso negativo a falso positivo.
6 items
INV-001 RLS em tabelas sensiveis
Row-Level Security (RLS)
Toda tabela que contem dados de pessoa fisica deve ter tenant_id + politica RLS no PostgreSQL. Isso garante que um municipio nunca acesse dados de outro.
Base legal
LGPD Art. 46 — Isolamento de dados entre controladores (municipios).
Se violar
PR e bloqueado automaticamente. Adicione coluna tenant_id e crie politica RLS.
Enforced 0 open
INV-002 Event Store append-only
Event Store Imutavel
A tabela domain_events nunca aceita UPDATE ou DELETE. Eventos sao fatos historicos — uma vez registrados, sao permanentes.
Por que importa?
Auditoria governamental exige trilha de auditoria completa. Alterar eventos e equivalente a falsificar documentos.
Base legal
Lei 8.159/91 (Arquivos) + CONARQ — Preservacao de documentos publicos.
Enforced 0 open
INV-003 Rollback obrigatorio
Migrations Reversiveis
Toda migration deve ter secao de rollback funcional. Se algo der errado em producao, precisamos poder reverter sem perda de dados.
Exemplo
changes: CREATE TABLE x
rollback: DROP TABLE x
Se violar
Adicione secao rollback: com operacoes reversas a migration.
Enforced 0 open
INV-004 FK referencia tabela existente
Integridade Referencial
Toda Foreign Key deve referenciar uma tabela que ja existe em migration anterior. Evita erros de deploy e inconsistencias de schema.
Por que importa?
FKs orfas quebram o deploy e podem corromper dados relacionais.
Enforced 0 open
INV-005 Classificacao LGPD
Classificacao de Dados Pessoais
Todo campo que armazena dado pessoal deve ter classificacao sensitivity_level ou comentario explicito indicando categoria LGPD.
Niveis
PII: Dados identificaveis (CPF, nome)
SENSITIVE: Dados sensiveis (saude, religiao)
PUBLIC: Dados publicos
Base legal
LGPD Art. 5 — Definicao de dado pessoal e dado sensivel.
Enforced 0 open
INV-006 Integridade temporal
Versionamento Temporal
Tabelas que representam entidades auditaveis devem ter colunas valid_from e valid_to para manter historico de alteracoes.
Por que importa?
Permite responder "como estava esse dado em 15/03/2025?" — essencial para auditoria e disputas legais.
Implementacao
PostgreSQL temporal tables ou soft deletes com timestamps.
Enforced 0 open
Acoes Pendentes
Fila de Acoes
Lista de items que requerem atencao do Data Authority: violations abertas, PRs bloqueados, ADRs pendentes de revisao.
Prioridade
1. Violations CRITICAL > 2. PRs bloqueados > 3. Violations HIGH > 4. ADRs pendentes
OK

Nenhuma acao pendente

Sistema em conformidade total. Bom trabalho!

ADRs
Architecture Decision Records
Registro formal de decisoes arquiteturais. Cada ADR documenta o contexto, opcoes avaliadas, decisao tomada e consequencias.
Status
ACCEPTED: Decisao aprovada e em vigor
PROPOSED: Aguardando aprovacao
DEPRECATED: Substituido por outro ADR
Enforcement
ADRs com "Active" tem verificacao automatica no CI.
3 items
ACCEPTED ADR-013 Enforcement Architecture — Arquitetura de Aplicacao do Data Governance Active
architecture compliance governance
ADR-013: Enforcement Architecture
Define a arquitetura do Data Governance Enforcer — o agente automatizado que valida invariantes em todo PR.
Decisao principal
Enforcement automatizado via GitHub Actions com poder de bloqueio (FULL-BLOCK mode).
UNKNOWN ADR-014 Evidencia Criptografica e Visibilidade de Governanca Active
architecture compliance cryptographic
ADR-014: Cryptographic Evidence
Estabelece signed commits obrigatorios e notificacoes de deploy para garantir nao-repudio e visibilidade.
Por que importa?
Commits assinados provam quem fez cada alteracao. Essencial para auditoria TCU/CGU.
UNKNOWN ADR-015 Database Migration Governance Process Active
architecture cryptographic governance
ADR-015: Migration Governance
Define o processo formal de aprovacao de migrations com CODEOWNERS e classificacao por sensibilidade.
Classificacao
CRITICAL: pessoa, auth, audit > Data Authority
HIGH: documento, financeiro > Tech Lead
NORMAL: outras > Qualquer reviewer
📋 Politica POLICY-010
📐 Decisao ADR-029
🔀 Implementacao PR #123
Evidencia Workflows
📦 Artefato CC-010
📊 KPI 100%
Casos de Conformidade
O que sao Casos de Conformidade?
Registros formais que vinculam Politica + ADR + Implementacao + Evidencia. Cada Caso de Conformidade prova que uma decisao arquitetural foi implementada corretamente.
Cadeia de rastreabilidade
POLICY (norma) → ADR (decisao) → PR (implementacao) → Workflow (evidencia) → Artefato (persistencia)
Para auditores
Cada caso e um artefato JSON que pode ser baixado e verificado independentemente.
0 itens
Carregando casos de conformidade...
KPIs Institucionais
O que sao KPIs Institucionais?
Indicadores derivados automaticamente dos Compliance Cases. Medem conformidade tecnica, exposicao a risco e confiabilidade do pipeline.
Calculo
KPIs sao calculados pelo pipeline, nunca manualmente. Cada valor e rastreavel ate os CCs que o compõem.
Para executivos
Use estes KPIs em relatorios de governanca e comites de risco.
0 KPIs
Carregando KPIs...

Glossario de Governanca

Data Authority
Pessoa responsavel pela governanca de dados do sistema. Tem poder de veto sobre alteracoes em schemas sensiveis e define as regras (invariantes) que o sistema deve seguir.
Invariante
Regra que nunca pode ser violada, independente de circunstancias. No Govevia, sao as 6 regras fundamentais que garantem conformidade legal e integridade de dados.
RLS (Row-Level Security)
Funcionalidade do PostgreSQL que permite definir politicas de acesso em nivel de linha. Usado para garantir que cada municipio so acesse seus proprios dados.
LGPD Art. 46 — Isolamento de dados entre controladores.
ADR (Architecture Decision Record)
Documento que registra uma decisao arquitetural importante: o contexto, as opcoes avaliadas, a decisao tomada e suas consequencias. Serve como memoria institucional.
LGPD
Lei Geral de Protecao de Dados (Lei 13.709/2018). Regula o tratamento de dados pessoais no Brasil, estabelecendo direitos dos titulares e obrigacoes dos controladores.
LAI
Lei de Acesso a Informacao (Lei 12.527/2011). Garante o direito do cidadao de acessar informacoes publicas, obrigando orgaos governamentais a transparencia.
CONARQ
Conselho Nacional de Arquivos. Define normas e resolucoes sobre gestao documental e preservacao de documentos publicos.
TCU / CGU
TCU: Tribunal de Contas da Uniao — fiscaliza contas publicas.
CGU: Controladoria-Geral da Uniao — controle interno e combate a corrupcao.
CODEOWNERS
Arquivo do GitHub que define quem deve aprovar PRs que tocam em determinados arquivos. No Govevia, o Data Authority e CODEOWNER de todas as migrations sensiveis.
Signed Commits
Commits assinados criptograficamente com chave GPG. Provam matematicamente quem fez a alteracao, fornecendo nao-repudio para auditoria.
Event Sourcing
Padrao arquitetural onde mudancas de estado sao armazenadas como sequencia de eventos imutaveis, permitindo reconstruir o estado em qualquer ponto no tempo.
Tenant
No contexto multi-tenant, cada tenant e um cliente (municipio) que compartilha a mesma aplicacao mas tem seus dados isolados dos demais.