Passo 1
Validar limites de autorização
Confirme que cada endpoint exige autenticação e checagens explícitas de papel, com limites de acesso por workspace aplicados nos filtros de consulta.
- Verifique a aplicação de RBAC em operações de leitura e escrita.
- Confirme que o acesso a dados do tenant fica restrito ao workspace ativo.
- Revise fluxos exclusivos de administrador e proteções para privilégios elevados.
Passo 2
Validar proteções contra abuso
Verifique se fluxos sensíveis incluem limitação de requisições e se operações de alto custo não podem ser abusadas.
- Revise limites de taxa em autenticação e comportamento 429.
- Revise limites de taxa em ciclo de vida de tenant e gestão de identidade.
- Revise controles de equidade por tenant para picos de ingestão.
Passo 3
Validar inventário e controle de mudanças
Use inventário versionado de APIs e plano de descontinuação para manter controles alinhados com os endpoints ativos.
- Revise entradas do inventário com modelo de autenticação e limites de acesso.
- Registre descontinuações com datas-alvo concretas.
- Repita esta revisão pelo menos uma vez por trimestre.