Trust Score v4 — Processo Operacional
Documento canônico:
04-operations/trust-score-v4-operating-process.md
Status: Entregue como kit operacional v4 · Issue: #24
O Trust Score v4 precisa ser repetível sem depender da memória do fundador. Este documento define o fluxo mínimo para sair de uma auditoria artesanal e operar como produto.
Objetivo operacional
Seção intitulada “Objetivo operacional”Transformar o Trust Score em uma linha operacional executável por Tech Human Lead + Analista de Auditoria, com relatório padronizado, score 0-100, evidências técnicas e próximo passo comercial claro.
Este processo complementa o documento fundador
00-foundation/trust-score-product.md. O documento
fundador define o produto. Este documento define como operar.
Kit operacional v4
Seção intitulada “Kit operacional v4”| Artefato | Uso |
|---|---|
trust-score-v4-report-template.md | Template completo do relatório com as 12 seções padronizadas |
trust-score-v4-checklist-by-tier.md | Checklist por tier: Laudo, Completo e Governança Contínua |
trust-score-v4-html-automation.md | Modelo de automação HTML, contrato de dados e comando de geração |
trust-score-report-anatomy.md | Anatomia sanitizada do relatório para Playbook, Docs e materiais públicos |
trust-score-v4-migration-plan.md | Migração de relatórios reais confidenciais para v4 |
trust-score-v4-training-guide.md | Guia de treinamento da equipe na formula 0-100, nos 10 pilares tecnicos e na lente Produto / Negocio |
Regra central do kit:
Todo relatorio deve usar Trust Score by Tech Human, score 0-100, 10 pilares tecnicos, lente Produto / Negocio, 4 dimensoes e as 12 secoes na ordem aprovada.
Quando Usar
Seção intitulada “Quando Usar”| Situação | Tier provável | Objetivo |
|---|---|---|
| MVP, ferramenta interna, planilha migrada ou app vibe-coded | Trust Score Laudo | Identificar risco rápido e orientar decisão |
| Sistema em produção ou perto de escalar | Trust Score Completo | Medir maturidade, risco e custo de evolução |
| Empresa com múltiplas squads, sistemas ou agentes de IA | Governança Contínua | Acompanhar evolução mensalmente |
| Papel | Responsabilidade |
|---|---|
| Tech Human Lead | Define escopo, valida score, aprova narrativa executiva |
| Analista de Auditoria | Coleta evidências, preenche checklist, monta relatório |
| Security Reviewer | Valida achados críticos de segurança quando houver |
| AI Documentation Agent | Consolida evidências, resumo executivo e inventário |
| Cliente sponsor | Aprova escopo, fornece acesso e recebe decisão executiva |
Inputs Obrigatórios
Seção intitulada “Inputs Obrigatórios”Antes de iniciar, o time precisa ter:
- acesso ao repositório ou pacote de código;
- acesso a ambiente de staging ou produção, quando existir;
- descrição do sistema em 2 frases;
- lista de usuários reais ou personas internas;
- stack técnico declarado;
- contexto de negócio: receita, risco, operação ou área impactada;
- decisão esperada pelo cliente: continuar, corrigir, reconstruir, escalar ou desligar.
Sem estes inputs, o Trust Score vira opinião. Com eles, vira instrumento de gestão.
Fluxo Operacional
Seção intitulada “Fluxo Operacional”D0 — Kickoff e Escopo
Seção intitulada “D0 — Kickoff e Escopo”- Confirmar tier contratado.
- Confirmar sistema, repositórios e ambientes no escopo.
- Definir pergunta executiva principal.
- Registrar restrições: LGPD, segurança, prazo, integrações, dados sensíveis.
Saída: briefing de auditoria aprovado.
D1-D2 — Inventário Técnico
Seção intitulada “D1-D2 — Inventário Técnico”- Mapear arquitetura, frontend, backend, banco, integrações, autenticação e deploy.
- Identificar sinais de origem: vibe coding, AI-augmented, no-code, legado ou mistura.
- Registrar decisões técnicas sem julgamento ainda.
Saída: inventário técnico bruto.
D3-D4 — Scorecard e Evidências
Seção intitulada “D3-D4 — Scorecard e Evidências”- Avaliar os 10 pilares tecnicos e a lente Produto / Negocio em escala 0-5.
- Converter cada dimensão para 0-100.
- Separar evidências por severidade: crítico, alto, médio, baixo.
- Validar achados de segurança críticos com reviewer.
Saída: score preliminar + evidências.
D5 — Narrativa Executiva
Seção intitulada “D5 — Narrativa Executiva”- Responder as 6 perguntas estratégicas.
- Traduzir risco técnico em impacto de negócio.
- Classificar decisão: manter, corrigir, reconstruir, escalar ou governar.
Saída: resumo executivo e recomendação.
D6-D7 — Relatório e Apresentação
Seção intitulada “D6-D7 — Relatório e Apresentação”- Montar relatório v4 nas 12 seções.
- Validar nomenclatura e score.
- Preparar apresentação de 30-60 minutos.
- Definir próximo passo na jornada Tech Human.
Saída: relatório final + reunião de entrega.
Fórmula operacional obrigatória
Seção intitulada “Fórmula operacional obrigatória”Os pilares usam escala 0-5. Cada dimensão vira 0-100 multiplicando a média por 20.
D1_score = media(Arquitetura, Qualidade, Backend, Frontend, Testes) * 20D2_score = media(Escalabilidade, DevOps) * 20D3_score = media(Seguranca, Dados) * 20D4_score = media(Governanca, Produto) * 20
Trust Score = (D1_score + D2_score + D3_score + D4_score) / 4Regra: nenhum score final pode ser aprovado sem evidência concreta para cada pilar avaliado abaixo de 3/5 ou acima de 4/5.
Passo a passo para aplicar
Seção intitulada “Passo a passo para aplicar”- Preencher os 10 pilares tecnicos e a lente Produto / Negocio em escala 0-5.
- Registrar pelo menos uma evidência para cada pilar.
- Calcular D1 com Arquitetura, Qualidade de Código, Backend, Frontend e Testes.
- Calcular D2 com Escalabilidade e DevOps / CI-CD.
- Calcular D3 com Segurança e Dados / Banco.
- Calcular D4 com Governança e Produto / Negócio.
- Multiplicar cada média por 20.
- Calcular a média das quatro dimensões.
- Classificar o resultado:
- 0-35: Risco crítico;
- 36-60: Risco moderado;
- 61-80: Base sólida com gaps;
- 81-100: Maduro.
- Aprovar narrativa executiva apenas depois que o score estiver reproduzível por outra pessoa.
Estrutura do relatório v4
Seção intitulada “Estrutura do relatório v4”Todo relatório deve seguir esta ordem:
- Capa com nome Trust Score by Tech Human, tier, data e score geral.
- Resumo executivo.
- Trust Score por dimensão.
- Os 5 níveis de maturidade.
- As 6 perguntas estratégicas.
- Análise de valor e decisão recomendada.
- Achados de segurança.
- Scorecard tecnico dos 10 pilares + lente Produto / Negocio.
- Diagnóstico de origem do sistema.
- Inventário técnico.
- Mapa de riscos.
- Roadmap e próximo passo na jornada Tech Human.
O template operacional completo esta em
trust-score-v4-report-template.md.
Checklist por tier
Seção intitulada “Checklist por tier”O checklist detalhado por tier esta em
trust-score-v4-checklist-by-tier.md.
Automação HTML
Seção intitulada “Automação HTML”O primeiro prototipo gerável esta em 04-operations/trust-score-v4-automation/.
Comando:
node 04-operations/trust-score-v4-automation/render-report.mjs \ 04-operations/trust-score-v4-automation/sample-audit-data.json \ /tmp/trust-score-v4-sample.htmlO gerador calcula as dimensões e bloqueia nomes antigos como TH Vetting, Due Diligence e
Tech Due Diligence.
O modelo operacional completo esta em
trust-score-v4-html-automation.md.
Migração dos relatórios existentes
Seção intitulada “Migração dos relatórios existentes”Relatorios reais devem ser migrados para v4 antes de virar case, treinamento, referencia externa ou
demonstracao publica. A versao publica deve ser anonima, sintetica ou aprovada explicitamente pelo
cliente.
O plano detalhado esta em
trust-score-v4-migration-plan.md.
Treinamento da equipe
Seção intitulada “Treinamento da equipe”O treinamento deve garantir que outra pessoa do time consiga:
- aplicar a fórmula 0-100;
- defender os 10 pilares tecnicos e a lente Produto / Negocio;
- explicar as 12 seções;
- diferenciar Laudo, Completo e Governança;
- revisar nomenclatura;
- gerar o HTML a partir de dados estruturados.
O guia completo esta em
trust-score-v4-training-guide.md.
Critério de pronto
Seção intitulada “Critério de pronto”O processo sai de pendente quando:
- o template v4 existir e estiver publicado;
- a fórmula 0-100 estiver documentada como passo operacional;
- o checklist por tier estiver pronto;
- a automação HTML tiver protótipo executável;
- o plano de migração dos relatorios reais confidenciais estiver documentado;
- o guia de treinamento estiver pronto.
O uso em cliente real passa a ser a próxima melhoria operacional, não bloqueio para fechar a issue de estruturação.