Contas e acessos¶
Objetivo¶
Esta página oferece um caminho compartilhado para cuidar das contas e dos acessos que sustentam o trabalho digital da Cafh. Ela abrange sistemas, portais de fornecedores, contas oficiais de e-mail, redes sociais e a base de dados de membros.
Por que esta página importa¶
Muitos problemas digitais começam em silêncio, com uma senha repetida, uma conta admin antiga ou um caminho de recuperação que ninguém revisou. Em uma organização voluntária, pequenas falhas no cuidado com acessos podem crescer e virar riscos maiores. Regras pensadas com critério protegem continuidade, confiança e capacidade de recuperação. Também protegem o site, a área de membros, a nuvem, o e-mail oficial e as redes sociais que sustentam o trabalho diário.
Riscos que esta página busca reduzir¶
- Tomada de conta
- Perda de controle administrativo
- Acesso ativo de ex-voluntários ou ex-fornecedores
- Falha na recuperação de uma conta
- Mau uso de canais oficiais
- Queda de serviço ligada a uma só pessoa
Regras centrais¶
Estas regras marcam a linha mínima que ninguém deve cruzar. Mantêm propriedade legal, controle diário e capacidade de recuperação nas mãos da Cafh. Essa base importa mais em mudança de papel, saída de fornecedor ou recuperação de conta.
- A Cafh deve ser dona das contas críticas.
- Contas pessoais não devem ser donas de serviços críticos.
- Cada serviço crítico deve usar autenticação multifator.
- Credenciais compartilhadas devem ficar no gerenciador de senhas da Cafh.
Serviços críticos¶
Um serviço crítico não se define só por preço ou complexidade técnica. Ele é crítico se sustenta confiança, identidade, continuidade ou recuperação para o resto do ambiente. Na Cafh, até um serviço pequeno pode ser crítico se controla o elo seguinte.
Um serviço é crítico quando sua perda, queda ou mau uso pode:
- Tirar do ar o site público ou a área de membros
- Deixar a Cafh sem acesso a uma conta principal
- Expor dados de membros ou registros internos
- Quebrar a recuperação de outras contas
- Interromper renovações, cobranças ou alertas de segurança
- Desgastar a imagem pública da Cafh
Os serviços críticos incluem:
- DigitalOcean
- Contas do registrador de domínios
- Serviços de DNS e SSL
- Administração do site
- Sistemas da base de dados de membros
- Contas oficiais de e-mail e caixas compartilhadas
- Contas administradoras de redes sociais
- Contas administradoras do gerenciador de senhas
- Serviços de backup, monitoramento e alertas
Por que a Cafh deve controlar as contas principais¶
As contas principais devem ficar nas mãos da Cafh. Elas devem ser abertas em nome da Cafh e ligadas a e-mails controlados pela Cafh. A Cafh deve manter pelo menos duas pessoas de confiança como administradoras e um caminho de recuperação atual. Fornecedores podem receber acesso delegado para tarefas definidas. Eles não devem ser donos legais, técnicos ou de cobrança das contas centrais.
Esta regra importa mais para:
- Contas do registrador de domínios
- Contas de DNS
- Administração do e-mail oficial
- Gestão de certificados
- Contas root ou de cobrança na nuvem
- Contas admin do gerenciador de senhas
Se um terceiro for dono dessas contas, a Cafh pode perder o direito de mudar DNS, renovar o domínio, recuperar o e-mail, renovar certificados, ler avisos de cobrança ou remover um fornecedor antigo. Esse risco afeta continuidade, segurança e imagem pública.
Mapa de dependência entre domínio, e-mail e certificados¶
Este diagrama mostra por que uma só conta pode afetar muitos serviços.
flowchart TD
A["Conta do registrador"] --> B["Controle de DNS"]
B --> C["Site público"]
B --> D["E-mail oficial"]
B --> E["Registros de verificação"]
D --> F["Resets de senha e alertas de segurança"]
F --> G["Nuvem, redes sociais e portais de fornecedores"]
B --> H["Emissão e renovação de certificados"]Por que domínio e DNS têm alto risco¶
A conta do registrador controla renovação, transferência e nameservers. O DNS decide para onde apontam o site, o e-mail e muitos registros de verificação. Uma mudança errada pode tirar o site do ar, cortar o e-mail ou mandar pessoas para um serviço hostil.
Se um atacante ou um fornecedor antigo controlar a conta do registrador ou de DNS, ele pode:
- Mover nameservers
- Mudar registros do site
- Mudar a rota do e-mail
- Quebrar SPF, DKIM ou DMARC
- Bloquear a renovação do domínio
- Transferir o domínio para fora da Cafh
Por isso as contas do registrador e de DNS precisam de MFA forte, dados de recuperação atuais, bloqueio de transferência quando houver e revisão regular pela Cafh.
Por que a administração do e-mail é uma função raiz¶
O e-mail oficial não é só uma ferramenta de comunicação. Ele faz parte do plano de controle de toda a organização. Muitos serviços mandam resets de senha, alertas de segurança, faturas, convites e avisos de certificados para o e-mail oficial.
Se a Cafh perder o controle da conta principal de e-mail ou de caixas compartilhadas-chave, ela pode perder a capacidade de recuperar:
- Contas de nuvem e hosting
- Contas de domínio e DNS
- Contas de redes sociais
- Portais de fornecedores
- Avisos de cobrança e renovação
Por isso a Cafh deve controlar de forma direta o tenant principal de e-mail, as caixas admin e as caixas de recuperação.
Por que certificados precisam de controle direto¶
Os certificados protegem o acesso criptografado ao site e aos serviços de membros. Um certificado vencido gera alertas no navegador e corta a confiança de imediato. Uma renovação falha pode causar queda sem qualquer mudança no site.
A gestão de certificados precisa de dono claro para:
- Quem emite o certificado
- Onde roda a renovação
- Quais domínios ele cobre
- Qual e-mail recebe alertas de vencimento
- Quem pode trocar ou revogar
Se o DNS mudar por ação de um atacante, esse atacante pode até sustentar um site falso com certificado válido. Esse risco liga domínio, DNS e certificados em uma mesma cadeia.
Contas sob registro¶
O registro importa tanto quanto a senha. Muitas organizações perdem controle por nomes ausentes, responsáveis pouco claros ou caminhos velhos de recuperação. Um registro atual permite ver quem pode agir, quem pode recuperar e quem deve sair.
O comitê deve manter um registro atual de:
- Contas oficiais de e-mail
- Caixas compartilhadas
- Contas administradoras de redes sociais
- Contas de publicação em redes sociais
- Contas de recuperação
- Números de recuperação ligados a serviços críticos
Cada registro deve mostrar:
- Nome da conta
- Propósito
- Responsável
- Administradores atuais
- Plataforma
- Caminho de recuperação
- Estado da autenticação multifator
- Data da última revisão
Tabela modelo de serviços críticos¶
Usar uma linha por cada serviço ou conta admin de alto impacto.
| Ativo | Tipo | Por que é crítico | Responsável na Cafh | Contas admin | Caminho de recuperação | Acesso de fornecedor | Última revisão |
|---|---|---|---|---|---|---|---|
| Conta do registrador | Domínio | Controla renovação, transferência e nameservers | Comitê de tecnologia | 2 admins nomeados | domains@cafh.example |
Sem acesso de dono | 2026-04-01 |
| Conta de DNS | DNS | Controla site, e-mail e registros de verificação | Comitê de tecnologia | 2 admins nomeados | domains@cafh.example |
Acesso limitado de suporte | 2026-04-01 |
| Admin do e-mail oficial | Recebe resets, alertas, faturas e mensagens de recuperação | Coordenação do comitê | 2 admins nomeados | admin@cafh.example |
Sem acesso de dono | 2026-04-02 | |
| Conta root de cobrança na DigitalOcean | Nuvem | Controla hosting, cobrança, snapshots e rede | Comitê de tecnologia | 2 admins nomeados | infra@cafh.example |
Só acesso delegado de projeto | 2026-04-03 |
| Admin do gerenciador de senhas | Identidade | Guarda segredos compartilhados e códigos de recuperação | Comitê de tecnologia | 2 admins nomeados | security@cafh.example |
Sem acesso de dono | 2026-04-03 |
| Admin da base de membros | Dados | Dá acesso a registros e exportações de membros | Responsável por membros | 2 admins nomeados | members@cafh.example |
Suporte sob pedido | 2026-04-04 |
Tabela modelo de domínio e e-mail¶
Usar esta tabela para acompanhar toda a cadeia do domínio até a entrega do e-mail.
| Domínio ou ativo | Registrador | Host DNS | E-mail admin oficial | Auto-renovação | Bloqueio de transferência | Responsável por SPF, DKIM e DMARC | Data de renovação |
|---|---|---|---|---|---|---|---|
cafh.org |
Exemplo de registrador | Exemplo de host DNS | domains@cafh.example |
Sim | Sim | mailadmin@cafh.example |
2027-03-15 |
members.cafh.org |
Segue cafh.org |
Exemplo de host DNS | domains@cafh.example |
Sim | n/a | mailadmin@cafh.example |
Segue o domínio pai |
| Tenant oficial de e-mail | n/a | n/a | admin@cafh.example |
Revisão anual | n/a | mailadmin@cafh.example |
2026-12-01 |
Tabela modelo de certificados¶
Usar esta tabela para acompanhar certificados do site e caminhos de renovação.
| Serviço | Domínio | Fonte do certificado | Método de renovação | E-mail de alerta | Responsável | Contato de backup | Último teste |
|---|---|---|---|---|---|---|---|
| Site público | cafh.org |
Let's Encrypt ou provedor gerenciado | Automático | infra@cafh.example |
Comitê de tecnologia | Contato do fornecedor do site | 2026-04-01 |
| Área de membros | members.cafh.org |
Provedor gerenciado | Automático | infra@cafh.example |
Comitê de tecnologia | Contato técnico interno | 2026-04-01 |
| Registros de segurança de e-mail | cafh.org |
Provedor de e-mail | Revisão manual de DNS | mailadmin@cafh.example |
Responsável por e-mail | Comitê de tecnologia | 2026-04-02 |
Gerenciador de senhas¶
O gerenciador de senhas é a memória operacional do acesso compartilhado. Sem ele, o trabalho se espalha em cadernos privados, chats e navegadores pessoais. Isso cria risco silencioso e torna mais difícil a saída de uma pessoa.
- Usar um gerenciador de senhas de propriedade da organização.
- Guardar ali credenciais, códigos de recuperação e notas do serviço.
- Manter pelo menos duas pessoas do comitê como administradoras.
- Revisar acessos ao gerenciador a cada 3 meses.
Rotação¶
A rotação não é um ritual. Ela corta caminhos antigos de acesso e limita a vida de credenciais expostas. A Cafh deve manter um ritmo calmo e agir mais rápido após mudança ou suspeita.
- Rotacionar senhas críticas a cada 12 meses.
- Rotacionar senhas de imediato após mudança de papel.
- Rotacionar senhas de imediato após mudança de fornecedor.
- Rotacionar senhas de imediato diante de suspeita de exposição.
- Aplicar a mesma regra a chaves e tokens.
Acesso à DigitalOcean¶
O acesso à DigitalOcean pede cuidado especial. Poucas contas podem mudar servidores, rede, snapshots, cobrança e recuperação. Esse poder deve ficar em um grupo muito pequeno e nominal dentro da Cafh.
- Manter pequeno o grupo com acesso direto à DigitalOcean.
- Nomear cada pessoa nos registros do comitê.
- Revisar esses acessos a cada 3 meses.
- Usar contas nominais para cada pessoa.
Saída de acesso¶
A saída de uma pessoa precisa ser rápida e ficar registrada. A demora deixa caminhos antigos abertos e cria confusão sobre quem ainda representa a Cafh. Esta lista deve começar no mesmo dia em que o papel termina.
- Remover acesso ao serviço
- Remover acesso ao e-mail oficial
- Rotacionar credenciais compartilhadas
- Remover acesso ao gerenciador de senhas
- Remover acesso administrador em redes sociais
- Registrar data e responsável pela mudança