Pentest Readiness Pack

Objetivo

Este documento fornece todas as informações necessárias para a equipe de Segurança da Informação (SI) conduzir o Pentest (Black/White/Gray Box) no portal Aura (Profarma Apps).

Versão do Worker

Versão em produção: f5656ebc-856c-47cc-b53f-2c82f1b3059b

---

URLs do Ambiente

Ambiente	URL	Status
Produção	https://app.profarma.dev	Ativo
Redirect	https://profarma.dev	→ app.profarma.dev
Redirect	https://www.profarma.dev	→ app.profarma.dev

Não existe ambiente de staging. Cloudflare Workers isola por design — cada deploy é atômico e reversível em segundos.

---

Contas de Teste

Admin (SSO)

Campo	Valor
Método	Login Microsoft (Azure AD SSO)
Email	(conta @profarma.com.br com isAdmin — fornecida pela TI)
Acesso	Todos os apps + painel Admin

Usuário Regular

Campo	Valor
Método	Login Microsoft (Azure AD SSO)
Email	(conta @profarma.com.br sem isAdmin — fornecida pela TI)
Acesso	Apps publicados (via Turnstile verification)

Guest

Campo	Valor
Método	Link de convite com Turnstile
Criação	Admin cria via /admin → Convidados → Novo Convite
Acesso	Apenas apps autorizados no convite

Contas de teste devem ser criadas pelo time de TI da Profarma com antecedência. Recomendamos pelo menos 1 conta admin e 1 regular.

---

Scope do Pentest

IN-SCOPE

Categoria	Detalhes
Portal Aura	https://app.profarma.dev/ — SPA principal
Auth flows	SSO Microsoft, login local, guest access
Admin Panel	/admin — CRUD de apps e convites
Optimizer	/optimizer/* — catálogo VTEX, enrichment
Captain	/captain/* — geospatial/maps
QR Code	/qrcode/* — gerador de QR
APIs	Todos os endpoints /api/* e /auth/*
Security headers	CSP, HSTS, X-Frame-Options, etc.
Session management	JWT cookies, TTL, invalidation
RBAC	Admin vs User vs Guest permissions
Rate limiting	Auth endpoints throttling
Anti-bot	Cloudflare Turnstile bypass attempts

OUT-OF-SCOPE

Categoria	Motivo
Ciclos (/ciclos/*)	Deploy independente — será testado à parte
Cloudflare CDN/Edge	Infraestrutura gerenciada pela Cloudflare
Azure AD	Infraestrutura gerenciada pela Microsoft
VTEX API	Infraestrutura gerenciada pela VTEX
DNS	Gerenciado pelo Cloudflare
DDoS	Proteção nativa do Cloudflare (não testar)

---

Stack Tecnológico

Componente	Tecnologia
Runtime	Cloudflare Workers (V8 isolate)
Framework	Hono (TypeScript)
Database	Cloudflare D1 (SQLite distribuído)
Real-time	Durable Objects (WebSocket)
CDN/Assets	Cloudflare Workers Assets
Auth	Azure AD SSO (OIDC) + JWT local
Anti-bot	Cloudflare Turnstile
Email	Resend

---

Documentação Complementar

Attack Surface

Inventário completo de 56 endpoints, auth, integrações e storage.

Auth Flows

Diagramas dos fluxos de autenticação — SSO, local, guest, API key.

Security Controls

Tabela de controles implementados — headers, rate limiting, RBAC.

Request Access

Solicitar acesso ao pentest — contas, convites, chaves PEM.

---

Canal de Resposta Rápida

Canal	Contato	SLA
Responsável Técnico	Felipi Fernandes (TL)	Resposta em até 2h úteis
P.O. do Processo	CE (Engenheiro de Conexões)	Coordenação e escalonamento
Email	admin@profarma.dev	Questões não-urgentes

---

Rollback e Recuperação

Em caso de incidente durante o pentest:

1. Rollback instantâneo: Cloudflare Workers — reverter para versão anterior em < 30 segundos via Dashboard
2. Emergency Stop: POST /optimizer/api/internal/emergency-stop (requer auth) para parar syncs
3. Emergency Reset: Via EMERGENCY_RESET_KEY (secret) — reseta Durable Objects
4. Database: D1 tem point-in-time recovery nativo

---

Checklist Pré-Pentest

• Contas de teste criadas (admin + regular + guest)
• Time de SI confirmou recebimento deste pack
• Time de SI aceitou o scope proposto
• Janela de pentest definida e comunicada
• Canal de resposta rápida estabelecido
• Backup de emergência verificado