// Guia prático
Checklist de segurança para SaaS feito com IA
Por onde começar quando o SaaS já está no ar
Se você criou o produto com IA e ele já tem login, cobrança ou cliente testando, a pergunta não é "está 100% seguro?" — é "onde pode liberar acesso errado agora?". Este checklist organiza a primeira revisão em torno de fluxos reais, não de teoria.
A regra é simples: cada item olha um caminho que, se quebrar, vira perda de receita, exposição de dado ou venda B2B travada. Você não precisa fazer tudo de uma vez; precisa saber a ordem.
- Mapeie os fluxos que tocam dinheiro, acesso e dados antes de olhar código.
- Priorize o que um usuário mal-intencionado alcançaria com uma conta comum.
- Anote evidência sem colar dado sensível no material.
Acesso e autenticação
A maioria dos incidentes em SaaS pequeno não vem de exploit exótico: vem de controle de acesso frouxo. Confirme que cada rota que devolve dado verifica quem está pedindo e se aquela pessoa pode ver aquele registro específico.
- Login com rate limit, bloqueio de força bruta e sessão que expira.
- Rotas protegidas de verdade no servidor, não só escondidas no front.
- IDOR: trocar um id na URL não pode devolver dado de outro cliente.
- Reset de senha e convite não podem virar sequestro de conta.
Cobrança, plano pago e checkout
Produto feito com IA erra muito na fronteira entre "pagou" e "liberou acesso". Preço tem que vir do servidor, o webhook precisa ser validado por assinatura, e a liberação do plano só acontece após confirmação real do pagamento.
- Preço e plano definidos no servidor, nunca confiando no cliente.
- Webhook do provedor validado por assinatura e idempotente.
- Downgrade, reembolso e cancelamento não deixam acesso pago órfão.
Dados por cliente, upload e IA
Em SaaS multi-tenant, todo query precisa carregar o escopo do tenant. Upload precisa validar tipo, tamanho e destino. E se você usa agente de IA com ferramenta, a fronteira do que ele pode executar é parte da superfície de ataque.
- Isolamento por tenant em toda leitura e escrita.
- Upload com validação de tipo/tamanho e sem execução no destino.
- Agente de IA com permissão mínima e sem token amplo demais.
O que fazer com o resultado
Separe o achado em três faixas: corrigir agora, acompanhar e validar com humano. Sinal que toca receita, dado de cliente ou venda B2B não deve morrer na suspeita — é quando faz sentido uma leitura humana paga ou um teste manual com escopo.
Perguntas frequentes
Esse checklist substitui um pentest?
Não. Ele organiza a primeira revisão e ajuda a priorizar. Quando o sinal toca acesso, plano pago, dados ou venda B2B, o próximo passo é uma leitura humana (Risk Review) ou um pentest manual com escopo.
Serve para app feito em Lovable, Bolt, v0 ou Replit?
Serve. O checklist olha fluxos reais do produto (login, cobrança, dados, upload), não a ferramenta que gerou o código. Vale para qualquer SaaS criado com IA.
Meu SaaS ainda é pequeno. Faz sentido revisar agora?
Faz, se já existe usuário, cobrança, dado de cliente ou promessa comercial. Quanto antes você separa sinal de ruído, mais barato sai corrigir.