# Segurança e credenciais

## Regras obrigatórias

- Não versionar `.env` real.
- Não versionar senha de banco, usuário de SMTP, token EVO, token Google, JWT secret, token Power BI ou credencial de parceiro.
- Não deixar `phpinfo()` público.
- Não deixar arquivos `.sql`, `.zip`, `.bak`, logs e dumps acessíveis pela web.
- Rotacionar qualquer credencial que apareceu em ZIP enviado, backup, print ou repositório.

## Modelo seguro de variáveis

```env
APP_ENV=production
APP_DEBUG=false
DB_HOST=<HOST_DO_BANCO>
DB_NAME=<NOME_DO_BANCO>
DB_USER=<USUARIO_DO_BANCO>
DB_PASS=<SENHA_NO_SERVIDOR>
JWT_SECRET=<SEGREDO_JWT_NO_SERVIDOR>
EVO_TOKEN=<TOKEN_EVO_NO_SERVIDOR>
SMTP_HOST=<HOST_SMTP>
SMTP_USER=<USUARIO_SMTP>
SMTP_PASS=<SENHA_SMTP_NO_SERVIDOR>
```

## Checklist antes de publicar

- [ ] `.env` real fora do ZIP público.
- [ ] Diretórios de upload sem execução PHP.
- [ ] Admin protegido por sessão e CSRF quando houver POST sensível.
- [ ] Senhas com hash seguro.
- [ ] Erros técnicos desativados em produção.
- [ ] Backups fora de `public_html`.
- [ ] Credenciais antigas rotacionadas.
- [ ] Permissões de arquivos revisadas no cPanel/UOL.