Trust Score — Anatomia do Relatório

Documento canônico: 04-operations/trust-score-report-anatomy.md

Status: operacional publico
Produto: Trust Score by Tech Human
Privacidade: usar apenas estrutura sanitizada em Playbook, Docs, decks e one-pagers publicos

Regra de privacidade

Relatorios reais de Trust Score podem conter nome de cliente, nome de sistema, trechos de codigo, stack, vulnerabilidades, scores, dados de operacao e decisoes sensiveis. Esse material nao deve ser publicado em Docs, Playbook, site comercial, deck publico ou post.

Material publico pode mostrar:

metodologia;
estrutura do relatorio;
tipos de criterio avaliados;
exemplos sinteticos ou anonimizados;
faixas de score;
narrativa de decisao.

Material publico nao deve mostrar:

nome de cliente;
nome do sistema auditado;
score real de um cliente;
evidencia tecnica identificavel;
screenshot, tabela ou trecho copiado de relatorio real;
vulnerabilidade associada a cliente identificavel.

O que os 5 niveis resolvem

Os 5 niveis explicam quando IA e apenas produtividade assistida e quando vira risco empresarial. Eles sao a ponte entre BMAI, AI-First Blueprint, Trust Score e Governanca Continua.

Nivel	Natureza	Criticidade	Decisao
1	Texto, pesquisa e rascunhos	Baixa	Uso livre com orientacao
2	Automacoes simples e scripts leves	Baixa/moderada	Registrar dono, dado usado e reversibilidade
3	Sistemas internos e workflows operacionais	Media	Aprovar antes de ampliar
4	Sistemas com dados de clientes	Alta	Trust Score antes de producao ou expansao
5	SaaS, multi-tenant, financeiro ou missao critica	Critica	Trust Score completo + Governanca Continua

Regra executiva:

Niveis 1 e 2 podem ser orientados. Nivel 3 precisa de controle. Niveis 4 e 5 precisam de evidencia.

O que o Trust Score avalia

O Trust Score transforma uma preocupacao difusa em um score de confiabilidade. O relatorio responde a quatro perguntas executivas, cada uma sustentada por pilares tecnicos e evidencias.

Dimensao	Pergunta	O que valida
D1	Funciona de verdade?	Arquitetura, qualidade, backend, frontend, testes e prontidao para usuarios reais
D2	Aguenta crescer?	Escalabilidade, DevOps, deploy, observabilidade e operacao
D3	Protege a empresa?	Seguranca, dados, LGPD, autenticacao, autorizacao, backup e exposicao
D4	Gera ou destroi valor?	Governanca, Produto/Negocio, TCO, continuidade, divida tecnica e potencial de ativo

Scorecard tecnico

Os criterios tecnicos usam escala 0-5. Cada pilar precisa ter evidencia concreta quando afeta score, risco ou proximo passo.

Pilar	Dimensao	Exemplos de evidencia
Arquitetura	D1	separacao de responsabilidades, acoplamento, modularidade
Qualidade de Codigo	D1	padroes, tipagem, linting, legibilidade
Backend	D1	regras de negocio, API, tratamento de erro
Frontend	D1	componentizacao, estados, performance
Testes	D1	cobertura, testes criticos, regressao
Escalabilidade	D2	volume, filas, paginacao, multi-tenancy
DevOps / CI-CD	D2	pipeline, deploy, rollback, monitoramento
Seguranca	D3	autenticacao, autorizacao, segredos, criptografia
Dados / Banco	D3	modelagem, isolamento, LGPD, integridade
Governanca	D4	documentacao, rastreabilidade, ownership
Produto / Negocio	D4	valor real, TCO, dependencia, potencial comercial

As 6 perguntas estrategicas

O relatorio precisa ser lido por CEO e CTO ao mesmo tempo. Por isso, alem do score tecnico, ele responde seis perguntas em linguagem de negocio:

Quem governa esse sistema dentro da empresa?
Se a pessoa que criou sair, qual o impacto?
Isso pode virar produto SaaS/B2B?
O sistema aguenta escala?
O sistema protege a empresa?
Isso gera valor real ou divida futura?

Cada resposta deve conter:

resposta curta;
classificacao visual;
evidencia;
impacto de negocio;
acao recomendada.

Diagnostico de origem

O diagnostico de origem explica como o sistema provavelmente nasceu, sem culpar quem criou.

Categorias possiveis:

humano;
AI-augmented;
vibe coding;
no-code/low-code;
legado;
mistura.

O objetivo editorial e mostrar a diferenca entre velocidade de prototipo e maturidade de producao. Uma solucao pode ter valor real e, ao mesmo tempo, exigir engenharia, seguranca e governanca antes de escalar.

Mapa de riscos

O mapa de riscos traduz achados em decisao.

Campos minimos:

risco;
dimensao afetada;
severidade;
probabilidade;
evidencia;
impacto de negocio;
owner sugerido;
prazo recomendado.

Gatilhos de escalonamento:

score geral abaixo de 35;
D3 abaixo de 40;
segredos, API keys, dados sensiveis ou falha de autorizacao exposta;
divergencia maior que 10 pontos entre avaliadores;
recomendacao de reconstruir, desligar ou pausar;
indicio de produto repetivel ou ativo Trustyu.

Roadmap padrao

Fase	Janela	Objetivo	Entrega
0	0-7 dias	Contencao	segredos, acesso, backup, rollback, risco imediato
1	7-21 dias	Estabilizacao	testes, observabilidade, arquitetura minima, owners
2	21-45 dias	Remediacao	dados, seguranca, CI/CD, refatoracao priorizada
3	45-90 dias	Escala	multi-tenancy, governanca, TCO, evolucao de produto

Saida por faixa de score

Score	Classificacao	Proximo passo
0-35	Risco critico	Assessment de Viabilidade antes de execucao grande
36-60	Risco moderado	Trust Score Completo ou TH Build + JARVIS
61-80	Base solida com gaps	Plano pontual + Governanca Continua
81-100	Maduro	Governanca Continua para manter maturidade
Padrao repetivel	Sinal de ativo	Conversa Trustyu Forge
Falta de operador	Lacuna humana	THunting
Perda de contexto	Lacuna de memoria	NeedyU.ai embedded

Como demonstrar publicamente

Para Playbook, site, deck e one-pager:

usar sistemas sinteticos;
trocar nomes reais por “Sistema interno com IA”, “Portal operacional” ou “Produto B2B”;
usar faixas de score, nao score real;
mostrar a anatomia do relatorio, nao o relatorio de cliente;
destacar que exemplos detalhados so podem ser apresentados sob NDA ou com aprovacao explicita.