Papéis e Permissões (RBAC)
O Elven Assessment usa um sistema de controle de acesso baseado em papéis (RBAC — Role-Based Access Control) com três papéis pré-definidos. Esta página descreve o que cada papel pode e não pode fazer.
Os três papéis
Admin
O Admin tem acesso total à plataforma. É o papel para líderes de segurança, gestores de TI e responsáveis pela operação da plataforma.
Editor
O Editor pode executar assessments e gerenciar conteúdo, mas não gerencia usuários nem acessa logs de auditoria. É o papel para analistas de segurança e engenheiros de infraestrutura.
Viewer
O Viewer tem acesso somente leitura. Pode visualizar todos os resultados e histórico, mas não pode executar novos assessments nem fazer alterações. É o papel para gestores, auditores externos e membros da equipe que precisam acompanhar os resultados sem executar ações.
Tabela de permissões
| Ação | Admin | Editor | Viewer |
|---|---|---|---|
| Assessments | |||
| Executar novo assessment | ✓ | ✓ | ✗ |
| Visualizar resultados | ✓ | ✓ | ✓ |
| Abrir resultados históricos | ✓ | ✓ | ✓ |
| Excluir assessment do histórico | ✓ | ✗ | ✗ |
| Exportar Excel/PDF/PowerPoint | ✓ | ✓ | ✓ |
| Findings | |||
| Visualizar findings | ✓ | ✓ | ✓ |
| Aplicar Snooze em finding | ✓ | ✓ | ✗ |
| Criar ticket Jira/GitHub | ✓ | ✓ | ✗ |
| Questionário | |||
| Responder questionário | ✓ | ✓ | ✗ |
| Editar respostas existentes | ✓ | ✓ | ✗ |
| Visualizar respostas | ✓ | ✓ | ✓ |
| Agendamentos | |||
| Criar agendamento | ✓ | ✓ | ✗ |
| Editar agendamento | ✓ | ✓ | ✗ |
| Excluir agendamento | ✓ | ✗ | ✗ |
| Executar manualmente (Run Now) | ✓ | ✓ | ✗ |
| Visualizar agendamentos | ✓ | ✓ | ✓ |
| Allowlist (Código-Fonte) | |||
| Adicionar item à allowlist | ✓ | ✓ | ✗ |
| Remover item da allowlist | ✓ | ✓ | ✗ |
| Visualizar allowlist | ✓ | ✓ | ✓ |
| Usuários | |||
| Visualizar lista de usuários | ✓ | ✗ | ✗ |
| Convidar usuário | ✓ | ✗ | ✗ |
| Alterar papel de usuário | ✓ | ✗ | ✗ |
| Remover usuário | ✓ | ✗ | ✗ |
| Redefinir senha | ✓ | ✗ | ✗ |
| Auditoria | |||
| Visualizar log de auditoria | ✓ | ✗ | ✗ |
| Configurações | |||
| Configurações da plataforma | ✓ | ✗ | ✗ |
| Configurar integrações (Jira, GitHub) | ✓ | ✗ | ✗ |
| Benchmark e Histórico | |||
| Comparar assessments (lado a lado) | ✓ | ✓ | ✓ |
| Benchmark (até 5 assessments) | ✓ | ✓ | ✓ |
Casos de uso por papel
Quando usar Admin
- Responsável pela operação e configuração da plataforma
- Líder de segurança que precisa de acesso completo incluindo auditoria
- DevOps/SRE responsável pela implantação e manutenção
Minimize o número de Admins
Siga o princípio do menor privilégio: conceda papel Admin apenas para quem realmente precisa gerenciar usuários e acessar logs de auditoria. Para execução de assessments, o papel Editor é suficiente.
Quando usar Editor
- Analista de segurança que executa assessments regularmente
- Engenheiro de infraestrutura que gerencia agendamentos
- Membro da equipe que precisa executar assessments mas não gerenciar a plataforma
Quando usar Viewer
- Diretor de TI / CISO que acompanha os resultados
- Auditor externo com acesso temporário para revisão
- Desenvolvedor que precisa ver os findings do seu repositório mas não executar novos assessments
- Qualquer stakeholder que precisa acompanhar o progresso sem executar ações
Boas práticas de RBAC
Revisão periódica de papéis
Revise a lista de usuários e seus papéis a cada 3–6 meses. Remova usuários que não fazem mais parte da equipe e faça o downgrade de papéis que não são mais necessários (ex.: Editors que viraram apenas consumidores dos relatórios → Viewer).
Contas de serviço
Se você tem automações ou integrações que acessam a plataforma programaticamente, crie uma conta de serviço dedicada com o papel mínimo necessário (geralmente Viewer para leitura de dados, Editor para criar agendamentos via API).
Futuras extensões de RBAC
A versão atual do RBAC tem 3 papéis fixos. Versões futuras poderão incluir papéis customizados com permissões granulares por provedor ou por conta específica.