O básico que muita gente pula
- **RBAC** (controle de acesso por papel)
- **MFA** (autenticação em dois fatores) para tudo que toque dado sensível
- **Segregação por RLS** no banco, cada cliente vê só o que é dele
- **Gestão de segredos** centralizada (nunca em código)
- **DPA** assinado com fornecedores que tratam dados pessoais
- **RIPD** documentado para tratamentos de risco
- **Playbook de incidente** testado, não escrito e esquecido
O que muda na prática
Cliente PME que vai assinar contrato sério pergunta isso. Compliance pergunta isso. Auditoria pergunta isso.
Quem não tem, perde contrato. Simples assim.
Como a gente faz
Padrão de fábrica em todo projeto. Não é módulo extra. Não tem desconto pra "rodar mais rápido".