Pular para o conteúdo

Trust Score v4 — Processo Operacional

Documento canônico: 04-operations/trust-score-v4-operating-process.md

Status: Entregue como kit operacional v4 · Issue: #24

O Trust Score v4 precisa ser repetível sem depender da memória do fundador. Este documento define o fluxo mínimo para sair de uma auditoria artesanal e operar como produto.


Transformar o Trust Score em uma linha operacional executável por Tech Human Lead + Analista de Auditoria, com relatório padronizado, score 0-100, evidências técnicas e próximo passo comercial claro.

Este processo complementa o documento fundador 00-foundation/trust-score-product.md. O documento fundador define o produto. Este documento define como operar.


ArtefatoUso
trust-score-v4-report-template.mdTemplate completo do relatório com as 12 seções padronizadas
trust-score-v4-checklist-by-tier.mdChecklist por tier: Laudo, Completo e Governança Contínua
trust-score-v4-html-automation.mdModelo de automação HTML, contrato de dados e comando de geração
trust-score-report-anatomy.mdAnatomia sanitizada do relatório para Playbook, Docs e materiais públicos
trust-score-v4-migration-plan.mdMigração de relatórios reais confidenciais para v4
trust-score-v4-training-guide.mdGuia de treinamento da equipe na formula 0-100, nos 10 pilares tecnicos e na lente Produto / Negocio

Regra central do kit:

Todo relatorio deve usar Trust Score by Tech Human, score 0-100, 10 pilares tecnicos, lente Produto / Negocio, 4 dimensoes e as 12 secoes na ordem aprovada.


SituaçãoTier provávelObjetivo
MVP, ferramenta interna, planilha migrada ou app vibe-codedTrust Score LaudoIdentificar risco rápido e orientar decisão
Sistema em produção ou perto de escalarTrust Score CompletoMedir maturidade, risco e custo de evolução
Empresa com múltiplas squads, sistemas ou agentes de IAGovernança ContínuaAcompanhar evolução mensalmente

PapelResponsabilidade
Tech Human LeadDefine escopo, valida score, aprova narrativa executiva
Analista de AuditoriaColeta evidências, preenche checklist, monta relatório
Security ReviewerValida achados críticos de segurança quando houver
AI Documentation AgentConsolida evidências, resumo executivo e inventário
Cliente sponsorAprova escopo, fornece acesso e recebe decisão executiva

Antes de iniciar, o time precisa ter:

  • acesso ao repositório ou pacote de código;
  • acesso a ambiente de staging ou produção, quando existir;
  • descrição do sistema em 2 frases;
  • lista de usuários reais ou personas internas;
  • stack técnico declarado;
  • contexto de negócio: receita, risco, operação ou área impactada;
  • decisão esperada pelo cliente: continuar, corrigir, reconstruir, escalar ou desligar.

Sem estes inputs, o Trust Score vira opinião. Com eles, vira instrumento de gestão.


  • Confirmar tier contratado.
  • Confirmar sistema, repositórios e ambientes no escopo.
  • Definir pergunta executiva principal.
  • Registrar restrições: LGPD, segurança, prazo, integrações, dados sensíveis.

Saída: briefing de auditoria aprovado.

  • Mapear arquitetura, frontend, backend, banco, integrações, autenticação e deploy.
  • Identificar sinais de origem: vibe coding, AI-augmented, no-code, legado ou mistura.
  • Registrar decisões técnicas sem julgamento ainda.

Saída: inventário técnico bruto.

  • Avaliar os 10 pilares tecnicos e a lente Produto / Negocio em escala 0-5.
  • Converter cada dimensão para 0-100.
  • Separar evidências por severidade: crítico, alto, médio, baixo.
  • Validar achados de segurança críticos com reviewer.

Saída: score preliminar + evidências.

  • Responder as 6 perguntas estratégicas.
  • Traduzir risco técnico em impacto de negócio.
  • Classificar decisão: manter, corrigir, reconstruir, escalar ou governar.

Saída: resumo executivo e recomendação.

  • Montar relatório v4 nas 12 seções.
  • Validar nomenclatura e score.
  • Preparar apresentação de 30-60 minutos.
  • Definir próximo passo na jornada Tech Human.

Saída: relatório final + reunião de entrega.


Os pilares usam escala 0-5. Cada dimensão vira 0-100 multiplicando a média por 20.

D1_score = media(Arquitetura, Qualidade, Backend, Frontend, Testes) * 20
D2_score = media(Escalabilidade, DevOps) * 20
D3_score = media(Seguranca, Dados) * 20
D4_score = media(Governanca, Produto) * 20
Trust Score = (D1_score + D2_score + D3_score + D4_score) / 4

Regra: nenhum score final pode ser aprovado sem evidência concreta para cada pilar avaliado abaixo de 3/5 ou acima de 4/5.

  1. Preencher os 10 pilares tecnicos e a lente Produto / Negocio em escala 0-5.
  2. Registrar pelo menos uma evidência para cada pilar.
  3. Calcular D1 com Arquitetura, Qualidade de Código, Backend, Frontend e Testes.
  4. Calcular D2 com Escalabilidade e DevOps / CI-CD.
  5. Calcular D3 com Segurança e Dados / Banco.
  6. Calcular D4 com Governança e Produto / Negócio.
  7. Multiplicar cada média por 20.
  8. Calcular a média das quatro dimensões.
  9. Classificar o resultado:
    • 0-35: Risco crítico;
    • 36-60: Risco moderado;
    • 61-80: Base sólida com gaps;
    • 81-100: Maduro.
  10. Aprovar narrativa executiva apenas depois que o score estiver reproduzível por outra pessoa.

Todo relatório deve seguir esta ordem:

  1. Capa com nome Trust Score by Tech Human, tier, data e score geral.
  2. Resumo executivo.
  3. Trust Score por dimensão.
  4. Os 5 níveis de maturidade.
  5. As 6 perguntas estratégicas.
  6. Análise de valor e decisão recomendada.
  7. Achados de segurança.
  8. Scorecard tecnico dos 10 pilares + lente Produto / Negocio.
  9. Diagnóstico de origem do sistema.
  10. Inventário técnico.
  11. Mapa de riscos.
  12. Roadmap e próximo passo na jornada Tech Human.

O template operacional completo esta em trust-score-v4-report-template.md.


O checklist detalhado por tier esta em trust-score-v4-checklist-by-tier.md.


O primeiro prototipo gerável esta em 04-operations/trust-score-v4-automation/.

Comando:

Terminal window
node 04-operations/trust-score-v4-automation/render-report.mjs \
04-operations/trust-score-v4-automation/sample-audit-data.json \
/tmp/trust-score-v4-sample.html

O gerador calcula as dimensões e bloqueia nomes antigos como TH Vetting, Due Diligence e Tech Due Diligence.

O modelo operacional completo esta em trust-score-v4-html-automation.md.


Relatorios reais devem ser migrados para v4 antes de virar case, treinamento, referencia externa ou demonstracao publica. A versao publica deve ser anonima, sintetica ou aprovada explicitamente pelo cliente. O plano detalhado esta em trust-score-v4-migration-plan.md.


O treinamento deve garantir que outra pessoa do time consiga:

  • aplicar a fórmula 0-100;
  • defender os 10 pilares tecnicos e a lente Produto / Negocio;
  • explicar as 12 seções;
  • diferenciar Laudo, Completo e Governança;
  • revisar nomenclatura;
  • gerar o HTML a partir de dados estruturados.

O guia completo esta em trust-score-v4-training-guide.md.


O processo sai de pendente quando:

  • o template v4 existir e estiver publicado;
  • a fórmula 0-100 estiver documentada como passo operacional;
  • o checklist por tier estiver pronto;
  • a automação HTML tiver protótipo executável;
  • o plano de migração dos relatorios reais confidenciais estiver documentado;
  • o guia de treinamento estiver pronto.

O uso em cliente real passa a ser a próxima melhoria operacional, não bloqueio para fechar a issue de estruturação.