Segurança

Modelo de Permissões

Permission Sets

flowchart LR
    subgraph PS["PERMISSION SETS"]
        subgraph ADMIN["FTS_App_Access<br/>(Administrators)"]
            A1["App: FlexibleTeamShare"]
            A2["Tabs: All visible"]
            A3["Apex: All classes"]
            A4["Objects: Full CRUD + MAR"]
            A5["Team_Sharing_Config: CRUD"]
        end

        subgraph USER["FTS_Data_Access<br/>(End Users)"]
            U1["ObjectTeamMember__c: CRUD"]
            U2["Team_Sharing_Config__c: Read"]
            U3["Apex: Controller only"]
            U4["No View/Modify All Records"]
        end
    end

Permission Set	Público	Capacidades
FTS_App_Access	Administradores	Acesso completo ao aplicativo, todas as abas, todas as classes Apex, CRUD completo + Modify All Records em objetos, Team_Sharing_Config CRUD
FTS_Data_Access	Usuários Finais	ObjectTeamMember__c CRUD, Team_Sharing_Config__c Read, apenas classes Apex controller, sem View/Modify All Records

Lógica de Controle de Acesso

flowchart TB
    START["Who can manage<br/>team members?"] --> CHECK1{"System<br/>Administrator?"}
    CHECK1 -->|Yes| ALLOWED["ALLOWED"]
    CHECK1 -->|No| CHECK2{"Record<br/>Owner?"}
    CHECK2 -->|Yes| ALLOWED
    CHECK2 -->|No| CHECK3{"Team Member with<br/>Role = Manager<br/>or Owner?"}
    CHECK3 -->|Yes| ALLOWED
    CHECK3 -->|No| DENIED["DENIED"]

O método isCurrentUserManager() determina quem pode gerenciar membros da equipe:

1. System Administrators — sempre permitido
2. Record Owners — sempre permitido
3. Membros da equipe com função Manager/Owner — permitido
4. Todos os outros — negado

Aplicação CRUD/FLS

flowchart LR
    subgraph CRUD["CRUD/FLS Checks"]
        C["Create"] --> C1["isCreateable()"]
        U["Update"] --> U1["isUpdateable() +<br/>isCurrentUserManager()"]
        D["Delete"] --> D1["isDeletable() +<br/>isCurrentUserManager()"]
        R["Read"] --> R1["WITH USER_MODE"]
    end

    subgraph LOC["Execution Mode"]
        L1["Enforced in Controller"]
        L2["Elevated Access<br/>(without sharing)"]
        L3["Respects OWD/Sharing"]
    end

    C1 --> L1
    U1 --> L2
    D1 --> L2
    R1 --> L3

Operação	Verificação de Segurança	Implementação
Create Team Member	Schema.sObjectType.ObjectTeamMember__c.isCreateable()	Aplicado no controller
Update Team Member	isUpdateable() + isCurrentUserManager()	Acesso elevado (without sharing) após autorização
Delete Team Member	isDeletable() + isCurrentUserManager()	Acesso elevado (without sharing) após autorização
Read Team Members	WITH USER_MODE / sharing model	Respeita OWD/sharing

Nota

Operações de Update e Delete usam acesso elevado (without sharing) para permitir que managers modifiquem qualquer membro da equipe no registro, não apenas os que criaram. A autorização é sempre verificada primeiro via isCurrentUserManager().

Validação de Entrada

Entrada	Validação	Localização
recordId	Não em branco, formato de ID Salesforce válido	Controller
userId	Não em branco, ID de User válido	Controller
accessLevel	Não em branco, valor de picklist válido	Controller + Picklist
role	Não em branco, valor de picklist válido	Controller + Picklist
endDate	Deve ser data futura ou null	Controller + Validation Rule
objectApiName	Derivado do ID Salesforce (não entrada do usuário)	Controller

Validation Rules

Regra	Objeto	Descrição
End_Date_Cannot_Be_Past	ObjectTeamMember__c	Impede definir data de término no passado

Mapeamento de Nível de Acesso

flowchart LR
    subgraph INPUT["ObjectTeamMember__c<br/>Access_Level__c"]
        I1["Read Only"]
        I2["Read/Write"]
    end

    subgraph OUTPUT["[Object]Share<br/>AccessLevel"]
        O1["Read"]
        O2["Edit"]
    end

    I1 --> O1
    I2 --> O2

Visão Geral Completa de Segurança

flowchart TB
    subgraph PERM["Permission Sets"]
        PS1["FTS_App_Access<br/>Administrators"]
        PS2["FTS_Data_Access<br/>End Users"]
    end

    subgraph ACCESS["Access Control"]
        AC1["System Admin"]
        AC2["Record Owner"]
        AC3["Manager/Owner Role"]
    end

    subgraph SHARE["Sharing Model"]
        SH1["ObjectTeamMember__Share"]
        SH2["[Object]Share"]
    end

    subgraph LEVELS["Access Levels"]
        LV1["Read Only → Read"]
        LV2["Read/Write → Edit"]
    end

    PERM --> ACCESS
    ACCESS --> SHARE
    SHARE --> LEVELS

Melhores Práticas de Segurança Implementadas

Controle	Status	Implementação
Verificações CRUD em controllers	Implementado	isAccessible(), isCreateable(), isUpdateable(), isDeletable()
Aplicação FLS	Implementado	Permission Sets controlam acesso a campos
Prevenção de injeção SOQL	Implementado	Bind variables para entrada de usuário, whitelist para nomes de objeto
Sharing model	Implementado	with sharing em controllers, without sharing apenas onde documentado
Validação de entrada	Implementado	Verificações null, validação de formato, regras de negócio
Prevenção XSS	Implementado	Framework LWC trata codificação de saída

Segurança de Integração Externa

Verificação	Resultado
HTTP Callouts	Nenhum — pacote não faz chamadas externas
Named Credentials	Não usado
External Objects	Não usado
Remote Site Settings	Não necessário
CSP Violations	Pass — sem violações de Content-Security-Policy