HAI — Histórias de Autenticação e Identidade (B)

Ponto de vista: ESP — Especificação · Pasta: ESP (Especificação)/02-historias/HAI/

---

O que são

Requisitos de autenticação e identidade: login, SSO, MFA, perfis de usuário, RBAC (Role-Based Access Control), ABAC (Attribute-Based Access Control), expiração de sessão e auditoria de acesso.

Toda solução com acesso externo deve ter HAI correspondente indicando o nível gov.br exigido.

---

Cabeçalho YAML padrão

---
id: ESP-HAI-0001
tipo: HAI
titulo: "Autenticação de cidadão via gov.br — nível Prata"
status: rascunho
autor: fulano.de.tal
data: 2026-04-11
versao: "1.0"
tipo-usuario: externo   # externo | interno | sistema
nivel-govbr: prata      # bronze | prata | ouro | n/a
mecanismo: "Integração OAuth2 com gov.br via camada de abstração"
hc-vinculadas:
  - ESP-HC-0001
criticidade: alta
criterios-de-aceite:
  - "Autenticação via gov.br nível Prata obrigatória para acesso ao painel do beneficiário"
  - "Sessão deve expirar após 30 minutos de inatividade"
  - "Toda autenticação deve gerar log com timestamp, usuário e resultado"
---

---

Níveis de autenticação gov.br

Nível	Quando exigir
Bronze	Consultas sem dado sensível — identificação básica
Prata	Acesso a benefícios, dados pessoais, serviços com efeito legal
Ouro	Atos com efeito jurídico, dado sensível, assuntura digital

---

Modelos de controle de acesso

Modelo	Descrição	Quando usar
RBAC	Acesso baseado em papéis (cargo, função)	Perfis bem definidos e estáveis
ABAC	Acesso baseado em atributos (lotação, unidade)	Regras de acesso dinâmicas
SSO	Login único para múltiplos sistemas	Ecossistema com vários subsistemas

---

Relação com outros artefatos

Artefato	Direção
HC	HAI implementa conformidade de segurança e privacidade
INF-HAII	Infraestrutura de autenticação implementa a HAI
PDP	Dados de identidade são dados pessoais — PDP obrigatório
IMP-API	Contratos de API incluem requisitos de autenticação

---

← HC · HAC →