# Modelo De Segurança ## Controles Obrigatórios - Banco em endpoint privado. - NSG dedicado para banco. - mTLS obrigatório. - Senhas, API keys, wallets e `.tfvars` fora do Git. - Usuários de demo sem privilégios administrativos. - SQL de reset por cenário. ## Controles Recomendados - OCI Vault com chave gerenciada pelo cliente. - Data Safe para assessment, discovery, masking e activity auditing quando suportado. - Logging e retenção de eventos OCI. - Integração com SIEM para labs avançados. - Database Vault para demonstrar bloqueio de DBA em schemas sensíveis. ## Controles Opcionais - Bastion compute com IP público restrito. - Oracle Key Vault para cenários híbridos ou multicloud. - AVDF para auditoria centralizada e Database Firewall em ambientes on-premises ou Exadata. ## Observações Importantes Deep Data Security controla autorização em tempo de execução. Ele não substitui TDE, masking de ambientes não produtivos, Database Vault, Data Safe, AVDF ou governança de chaves. Em uma arquitetura de cliente, esses controles devem ser combinados conforme o risco.