Consent de Impersonation
Em conformidade com a LGPD Art. 7 e Art. 9, toda solicitação da equipe de suporte para acessar seu workspace passa por um workflow de consentimento explícito.
## Modos de consent
per_request(padrão, recomendado): a cada solicitação você recebe notificação e pode aprovar/negar. Sessão tem hard timeout (max 4h).always_allow: apenas para contratos Enterprise — suporte pode iniciar sessão sem confirmação (ainda auditado).never_without_emergency: acesso só via emergency override (requer 2 super_admins + justificativa ≥50 chars).
## O que a equipe de suporte NÃO pode fazer durante impersonation
- 🔴 Iniciar Smart Campaigns
- 🔴 Gerar ou aprovar templates Meta (permanentes)
- 🔴 Mudar limites de tokens
- 🔴 Exportar contatos/mensagens
- 🔴 Deletar dados
- 🔴 Resetar senhas
- 🔴 Desativar emergency_stop
## O que é rastreado
- IP origin, user-agent, horário de início e fim
- Cada leitura e escrita com before/after state
- Chamadas IA em nome do tenant (não debitadas da quota)
- Acesso fora do scope aprovado → auto-revoga sessão e alerta security@
Todos os eventos ficam em security_audit_log (append-only, imutável, retido 7 anos). Você pode exportar o log completo em Settings → Segurança.