🎙️ Sou o Camilo, teu professor de TI. Chegamos no bloco que mais "conversa" com o que você já manda bem. Aqui Fluência encosta no Direito — LGPD é lei, sigilo fiscal é CTN art. 198, e você é bacharel em Direito. Pega firme: este é dos blocos mais "de graça" da Fluência pra você, porque metade já mora na sua cabeça.
🟡 Prioridade do bloco: MÉDIA — mas com 2 ilhas de OURO dentro. Não é o eixo que decide a vaga (esse é ML, Aula 04), mas tem ponto fácil que o concorrente larga.
⚡ O que JÁ CAIU (fato, não aposta): nas provas-espelho de 2026, a SEFAZ-MT detonou esse bloco — 2 questões de pilares CID (controle→pilar, gab C nas duas), 1 de controle de acesso (RBAC/privilégio mínimo) e 3 de LGPD. A SEFAZ-SP trouxe anonimização (arts. 15-16 LGPD). Tudo confirmado no banco, com tec_id.
💰 As 2 ilhas de ouro pro CE:
LGPD — transita em Fluência E em Direito Administrativo (bloco do Daud). Lei federal estável, FCC ama, perfeito pra SEFAZ (Poder Público trata dado sem consentimento). Estuda 1x, pontua em 2 matérias.
Sigilo fiscal — CTN art. 198-199 + IN SEFAZ-CE 92/2021. É o ângulo CE: ninguém que treinou só os espelhos MT/GO/SP tem a IN estadual. É a tua vantagem competitiva — e amarra direto na Legislação Tributária que você domina.
🧭 Tradução do Camilo: não vou te fazer decorar criptografia simétrica × assimétrica até de noite (isso cai pouco e embutido). Vou martelar o que dá ponto: a tabela controle→pilar (CID), LGPD no Poder Público, anonimização e CTN 198 + IN 92. O resto é blindagem de leitura.
Hueliton Fontes — 26º lugar SEFAZ-AP (FCC), 42 anos, ex-militar, partiu do ZERO em TI.
🔗 Fonte: DEPOIMENTOS_APROVADOS.md (depoimento #11)
🎯 A tática dele: não tentou virar especialista de TI — mirou os tópicos mais prováveis (ele citou NF-e e EFD) e fez 80% em TI partindo do pavor total. Tradução do Camilo: este bloco é exatamente isso — você não vai estudar todo o universo de segurança da informação. Vai mirar os 4 alvos que cravam (CID, LGPD, anonimização, sigilo fiscal) e deixar o resto.
💎 O ouro anti-desânimo: você é 42, militar, do zero — igual ao Hueliton. E neste bloco você tem uma carta que ele não tinha: diploma de Direito. LGPD e CTN 198 não são "TI estranha" pra você — são lei, teu terreno. Joga em casa.
| Aula | Tema | 💰 Onde está o ponto |
|---|---|---|
| 00 | Fundamentos (tipos de dado, DIKW, ciclo de vida) | 🛡️ blindagem — base + mapa |
| 01 | CRISP-DM (as 6 fases na ordem) | 🥉 alto — campeão recorrente |
| 02 | Arquitetura & Eng. de Dados (DW/Lake/Lakehouse, ETL×ELT, OLAP, DAG) | 🥈 ouro |
| 03 | Banco de Dados & SQL (relacional, normalização, NoSQL, SQL na mão) | 🥈 OURO |
| 04 | Machine Learning & IA (sup × não-sup, clusterização, over/underfit, Lasso/Ridge) | 🥇 O OURO MÁXIMO (7 de 11 em SP) |
| 05 | Governança & Ética de Dados (governança, qualidade, viés, IA generativa) | 🟡 médio |
| 06 ⬅️ (esta) | Segurança / LGPD / Sigilo Fiscal (CID, LGPD, CTN 198 + IN SEFAZ-CE 92/21) | 🟡 médio — ponto nomeado no edital + 2 ilhas de ouro |
| 07 | Python / Pandas / NumPy (Pandas, leitura de código) | 👻 órfão eliminatório (hedge) |
🔑 Leitura do mapa: esta Aula 06 não é o coração da prova (ML é), mas é território conhecido pra você e tem alvos cravados que muito concorrente despreza. ROI alto pelo esforço baixo — joga rápido e sólido.
Estes são os professores que a gente "ouviu" pra montar a munição. Eles são INSUMO — a palavra final é minha. Faro neste bloco específico (Segurança/LGPD).
| Prof | Faro no bloco | Confie nele para... |
|---|---|---|
| Renato da Costa (prof oficial de Fluência do CE) | 8/10 aqui | deu o bloco de Segurança INTEIRO na Aula 3 — CID literal, hash=integridade, CID×ACID. ⭐ a fonte-mãe do CE |
| Felipe Mathias (TI Descompl.) | 9/10 | LGPD ("é minha aposta do bloco final" — cravou MT+SP) + anonimização + trilha de auditoria |
| André Castro (Estratégia) | 4/10 | IAM/controle de acesso conceitual — ⚠️ martelou SDN/redes e FUROU feio em SP (cuidado) |
| Camilo (eu) | — | a IN SEFAZ-CE 92/2021 (fonte única, ninguém cobre) + a tabela controle→pilar |
⚠️ HONESTIDADE OBRIGATÓRIA: o André Castro é a referência teórica de segurança, mas o faro de prova dele furou — ele apostou pesado em SDN/Wi-Fi (WPA3/AES) na SEFAZ-SP e NÃO caiu. 🧭 Tradução: uso o André pro conceito de IAM, mas não vou te mandar decorar redes/Wi-Fi com base na aposta dele. Sigo o Renato (que deu o bloco certo) e o Mathias (que cravou LGPD na prova real).
🎯 A FCC NÃO pergunta "o que é confidencialidade". Ela monta um cenário fiscal (sistema de NF-e, SOC detecta phishing, conta de serviço acessando sigilo fiscal) e te faz mapear controle → pilar ou escolher a conduta certa. É aplicado, não decoreba seca.
🪤 O padrão das questões de CID: ela dá 5 alternativas longas e uma só faz o mapeamento 1-pra-1 certo (cripto→confidencialidade, hash→integridade, redundância→disponibilidade, certificado→autenticidade, assinatura→não-repúdio). As outras 4 trocam uma peça de lugar. Caça a troca.
⚡ Dica de prova nº 1 (a mesma das outras aulas): leia o COMANDO primeiro. Em LGPD/segurança a alternativa certa costuma ser a mais completa e equilibrada; as erradas têm absolutismo ("a LGPD NÃO se aplica", "somente com consentimento", "responsabilidade exclusiva").
🔗 Conexão (não-ilha): LGPD = lei (você é bacharel) · sigilo fiscal = CTN 198 (você manda em Leg. Tributária) · descarte seguro liga com o ciclo de vida do dado da Aula 00 (a fase de descarte puxa LGPD/sigilo). Você não está estudando "TI nova" — está reencontrando o Direito vestido de TI.
🔑 Bordão da aula: segurança e LGPD na FCC não se decoram — se aplicam num cenário de SEFAZ; e metade disso já é o teu Direito.
Bloco 1 — A trinca CID + as 4 propriedades 🔴 o alvo nº1 técnico: confidencialidade · integridade · disponibilidade + autenticidade · não-repúdio · rastreabilidade (a tabela controle→pilar que CRAVOU 2x no MT).
Bloco 2 — Ameaça × vulnerabilidade × risco + controle de acesso 🔴: o trio que a FCC confunde + RBAC/ABAC/MAC/DAC + privilégio mínimo (órfão = ponto de graça).
Bloco 3 — Os controles técnicos 🟡: criptografia simétrica × assimétrica, hash, certificado e assinatura digital, MFA (o que diferencia cada um — sem aprofundar).
Bloco 4 — LGPD 🔴 a ilha de ouro nº1: dado pessoal × sensível, princípios, bases legais, papéis (controlador/operador/DPO), ANPD, anonimização, incidente.
Bloco 5 — SIGILO FISCAL 🔴 a ilha de ouro nº2 e o ângulo CE: CTN art. 198-199 (regra + exceções) + IN SEFAZ-CE 92/2021 + segurança em nuvem.
▶️ Próximo (Bloco 1): a fundação de toda a segurança da informação — a trinca CID — ancorada no caso do novo sistema de NF-e da SEFAZ que o Guilherme está implantando. Esse caso foi praticamente a questão real do MT, palavra por palavra. Bora.
🎯 O que travar neste bloco (o coração técnico):
A tríade CID: Confidencialidade · Integridade · Disponibilidade. ⚠️ CID = CIA em inglês, e o "A" é Availability (disponibilidade), NÃO Authenticity.
As propriedades adicionais: autenticidade · não-repúdio (irretratabilidade) · rastreabilidade (essa o edital do CE adicionou de propósito).
A tabela controle → pilar (decora ela inteira — foi a questão literal do MT, 2x).
A pegadinha de ouro CID × ACID: a sigla compartilha C/I/D, mas os conceitos são de mundos diferentes (segurança × transação de banco).
🔴 PROBABILIDADE PRO CE: ALTA. Os 3 sinais batem: caiu 2x literal na SEFAZ-MT 2026 ⚡, o Renato (prof oficial do CE) deu o bloco inteiro na Aula 3, e está no edital (tema #15: "princípios CID + rastreabilidade"). Se você só tem tempo pra um tema técnico desta aula, é este.
O Guilherme (seu amigo auditor) está no comitê que vai botar no ar o novo sistema de recepção e auditoria de NF-e da SEFAZ-CE. O contribuinte manda o XML, o sistema valida, guarda, processa. O Guilherme precisa garantir 5 coisas — e cada uma tem um controle técnico específico:
| O que o Guilherme precisa garantir | Pilar | Controle técnico que resolve |
|---|---|---|
| 🔒 "Ninguém de fora lê o dado do contribuinte no caminho" | Confidencialidade | criptografia (em trânsito e em repouso) |
| 🧬 "O XML não foi adulterado entre o envio e a guarda" | Integridade | hash (resumo/digest) + controle de versões |
| 🔌 "O sistema fica no ar mesmo se um servidor cair" | Disponibilidade | redundância (backup, RAID, no-break) + monitoramento |
| 🪪 "Quem enviou é de fato quem diz ser" | Autenticidade | certificado digital |
| ✍️ "O emissor não pode negar depois que enviou" | Não-repúdio (irretratabilidade) | assinatura digital + log imutável |
A sacada: a FCC pega exatamente este cenário (sistema fiscal de NF-e) e pergunta qual alternativa mapeia certo cada controle no seu pilar. Quem decorou a tabela acima acerta em 30 segundos; quem não decorou cai na alternativa que trocou "hash" por "criptografia" ou "redundância" por "confidencialidade". O enunciado real da MT é praticamente este caso — você vai ver na questão.
🧊 A TRINCA CID + AS 4 PROPRIEDADES — caixa-mãe (decore esta tabela)
| Propriedade | O que garante | Gatilho na FCC | Controle |
|---|---|---|---|
| Confidencialidade 🔒 | dado só é acessado por quem pode (caráter restritivo) | "apenas / somente / sigilo / não autorizado" | criptografia |
| Integridade 🧬 | dado não foi alterado (inteireza, completeza) | "não modificado / não violado / íntegro" | hash, versionamento |
| Disponibilidade 🔌 | dado acessível sob demanda a quem pode | "acessível / contínuo / sob demanda / sem interrupção" | redundância (backup/RAID/no-break) |
| Autenticidade 🪪 | garante a identidade de quem age/envia | "comprovar quem é / identidade" | certificado digital |
| Não-repúdio / irretratabilidade ✍️ | a pessoa não pode negar que fez (ligado à origem/autoria) | "não pode negar / comprovar autoria" | assinatura digital + log |
| Rastreabilidade 🐾 (extra do edital CE) | saber quem fez o quê e quando | "log / trilha / quem acessou" | trilha de auditoria (append-only) |
🔑 A REGRA DE OURO (cole na parede):
CID = CIA em inglês → o "A" é Availability (Disponibilidade), NUNCA Authenticity. Renato: "tem questão que coloca CIA em inglês e o povo pensa que o A é Authenticity — NÃO, é Availability."
CID = a TRÍADE/os pilares. Autenticidade, não-repúdio, conformidade são adicionais, não fazem parte da tríade clássica.
Hash = INTEGRIDADE. "Associe SEMPRE." Hash NÃO é sigilo (não tem volta, é unidirecional).
🪤 A PEGADINHA DE OURO — CID × ACID (Renato chama assim)
Não confunda os pilares da SEGURANÇA com as propriedades das TRANSAÇÕES de banco (Aula 03):
CID(A) = Confidencialidade · Integridade · Disponibilidade (+ Autenticidade) → segurança da informação.
ACID = Atomicidade · Consistência · Isolamento · Durabilidade → transações de banco de dados.
🔑 As letras C, I e D aparecem nos dois — mas NÃO querem dizer a mesma coisa. Em CID o I é Integridade (segurança); em ACID o I é Isolamento (transação). São universos diferentes que só compartilham a sigla. A banca troca: "a atomicidade garante a confidencialidade" (FALSO — atomicidade é ACID, não é pilar de segurança). Fica esperto: ⚠️ se o enunciado disser "as letras coincidem", é verdade; o erro mora em misturar os conceitos.
🎙️ O PLACAR DOS PROFESSORES — CID e pilares
Leitura do Camilo (não é nota de dossiê): este tema tem fonte-mãe clara: o Renato, o prof oficial do CE, que deu o bloco inteiro na Aula 3. E o melhor: a prova do MT cobrou exatamente o que ele ensinou.
| Prof | Apostou? | Veredito | O que disse (literal do dossiê) |
|---|---|---|---|
| Renato da Costa (prof oficial CE) | ✅ forte | 🎯 cravou o conceito | "segurança da informação = preservação da confidencialidade, integridade e disponibilidade" · "a tríade = CID = CIA — o A é Availability, não Authenticity" · "hash = integridade, associe SEMPRE, unidirecional, NÃO é sigilo" |
| André Castro (Estratégia) | ⚠️ parcial | ⚪ não isolou | falou de "princípios de integridade" genéricos, mas martelou SDN/redes (que furou) |
| Mathias (TI Descompl.) | ✅ | 🎯 na resolução SP | ligou "CID/integridade" na questão de trilha de auditoria |
A leitura do Camilo: o Renato é o termômetro do CE e ele entregou este bloco redondo. A SEFAZ-MT cobrou a tabela controle→pilar 2 vezes (gab C nas duas). É um dos pouquíssimos temas em que o prof do CE ensinou e a prova-espelho confirmou literalmente. Confia — decora a tabela.
Uma Secretaria da Fazenda está implantando um novo sistema para recepção, processamento e auditoria de documentos fiscais eletrônicos. O sistema permite o envio de arquivos por contribuintes, valida a autoria dos documentos, garante que os dados não sejam alterados durante o tráfego ou armazenamento, assegura a continuidade do serviço mesmo diante de falhas e impede que o emissor negue posteriormente o envio das informações. No setor público, ao alinhar as práticas de governança de TI aos princípios fundamentais da Segurança da Informação, deve-se considerar que
A FCC gostou tanto que cobrou de novo na mesma prova, com cenário levemente diferente:
No contexto de uma Secretaria da Fazenda, que mantém sistemas corporativos para recepção, processamento e auditoria de documentos fiscais eletrônicos, considere as práticas de Governança e Segurança da Informação, a combinação de controles técnicos que atende simultaneamente aos princípios de confidencialidade, integridade, disponibilidade, autenticidade e não repúdio. Nesse contexto, a boa prática de segurança
🔗 CONEXÃO — não é ilha, liga com o ciclo de vida (Aula 00) e com a NF-e (Leg. Tributária)
A NF-e que você fiscaliza já USA os pilares CID: ela é assinada digitalmente (não-repúdio + autenticidade do emitente) e trafega criptografada (confidencialidade). Quando a FCC fala "assinatura digital da NF-e", está falando da mesma assinatura que você conhece da Legislação Tributária.
Rastreabilidade (o pilar extra do edital CE) é o log de quem acessou o dado — e isso volta no Bloco 5 (sigilo fiscal: rastrear quem consultou dado sigiloso do contribuinte).
Bordão da ponte: "a NF-e assinada que eu fiscalizo já é segurança da informação aplicada — autenticidade + integridade + não-repúdio num só XML."
A rastreabilidade (o pilar extra do edital CE) não é abstrata — a FCC já cobrou ela redonda em SP, num cenário que é a tua cara: log de acesso a declaração de contribuinte. Esse tema caiu órfão (nenhum cursinho previu) → ponto de graça pra quem souber os 4 atributos da trilha forte.
Uma Secretaria da Fazenda verificou que os acessos às declarações de contribuintes são registrados na mesma tabela de negócio, podem ser alterados por DBAs e que registros antigos são apagados para liberar espaço. A fiscalização pediu um desenho que aumente a integridade e a rastreabilidade dos acessos às declarações, sem prejudicar a disponibilidade do sistema. Nesse cenário, o redesign que atente à exigência de integridade e rastreabilidade forte é
🧊 GUARDE NO BOLSO (Bloco 1):
CID = tríade = CIA (o A é Availability/Disponibilidade, não Authenticity).
Tabela-cravo: cripto→Confidencialidade · hash→Integridade · redundância→Disponibilidade · certificado→Autenticidade · assinatura→Não-repúdio.
Hash = integridade (unidirecional, não é sigilo). Criptografia = confidencialidade.
🪤 CID × ACID: a sigla compartilha C/I/D, mas os conceitos não se cruzam (segurança × transação de banco) — o I de CID é Integridade, o de ACID é Isolamento.
Rastreabilidade = o pilar extra do edital CE (log/trilha de auditoria) → trilha forte = append-only + assinada + horário sincronizado + repositório segregado (caiu em SP, gab C).
➡️ Próximo (Bloco 2): antes de marcar a conduta certa, a FCC adora confundir ameaça × vulnerabilidade × risco — o trio que decide as questões de "conduta". E aí entra quem pode acessar o quê (controle de acesso) — o cenário que caiu no MT com a conta de serviço fuçando o sigilo fiscal.
🎯 O que travar neste bloco:
O trio que a FCC cruza: ameaça (o agente/evento que pode causar dano) × vulnerabilidade (a fraqueza que ele explora) × risco (a probabilidade × impacto do dano).
O quarteto de controle de acesso: DAC · MAC · RBAC · ABAC (+ ACL).
O princípio do privilégio mínimo — a resposta-padrão quando há permissão excessiva.
🔴 PROBABILIDADE PRO CE: ALTA (e é ÓRFÃO = ponto de graça). Controle de acesso caiu decisivo no MT (Q3014, gab D), está no edital (tema #16, item próprio) e nenhum cursinho de reta final isolou RBAC/ABAC/MAC/DAC. Quem souber pega o ponto que o concorrente larga.
O Guilherme está numa auditoria preventiva nos logs do sistema de arrecadação. Ele percebe algo estranho: uma conta de serviço (aquela que integra o sistema da SEFAZ com os bancos) está tentando acessar tabelas de sigilo fiscal que NÃO são do escopo dela. Cheira a código malicioso explorando uma permissão configurada errada (excessiva).
Decompondo com o trio da FCC:
Ameaça = o código malicioso / o atacante que quer exfiltrar o dado sigiloso.
Vulnerabilidade = a permissão excessiva mal configurada na conta de serviço (a porta destrancada).
Risco = a chance de o sigilo fiscal vazar vezes o impacto (dano legal/financeiro ao Fisco).
A conduta certa? Mapear o agente → achar a falha de configuração → aplicar o princípio do privilégio mínimo (a conta só acessa o mínimo que precisa pra trabalhar) → ajustar os controles pela criticidade do dado. Não é "rotular tudo como sigiloso", não é "só botar MFA", não é "criar punição disciplinar".
🧊 AMEAÇA × VULNERABILIDADE × RISCO (decore as 3 caixas)
| Conceito | O que é | No caso do Guilherme |
|---|---|---|
| Ameaça | agente/evento externo ou interno que PODE causar dano | o código malicioso / o atacante |
| Vulnerabilidade | fraqueza do sistema que a ameaça explora | a permissão excessiva mal configurada |
| Risco | probabilidade × impacto do dano se a ameaça explorar a vulnerabilidade | chance de vazar o sigilo × dano ao Fisco |
🔑 Bizu: ameaça é o "ladrão"; vulnerabilidade é a "janela aberta"; risco é a "chance de ele entrar pela janela e o estrago que faz". A FCC troca os três pra ver se você dorme.
🧊 CONTROLE DE ACESSO — o quarteto (decore tipo ↔ critério)
| Modelo | Quem decide o acesso | Critério | Exemplo |
|---|---|---|---|
| DAC (Discricionário) | o dono do recurso | a critério do proprietário | dono da pasta dá permissão pra colega |
| MAC (Mandatório/Obrigatório) | o sistema/política (rígido) | rótulo/classificação do dado (confidencial/secreto) | militar/sigilo — não dá pra burlar |
| RBAC (por Papel/Role) | papel/função do usuário | o cargo (auditor, DBA, estagiário) | "perfil Auditor-Fiscal" tem acesso X |
| ABAC (por Atributos) | atributos/contexto | regras dinâmicas (horário, local, setor) | só acessa no horário comercial, da rede interna |
| ACL (Lista de Controle de Acesso) | lista explícita por recurso | quem está na lista entra | tabela de permissões por arquivo |
🔑 Princípio do PRIVILÉGIO MÍNIMO: cada conta/usuário recebe só o acesso estritamente necessário pra sua função — nada além. É a resposta-padrão da FCC pra "permissão excessiva".
🎙️ O PLACAR DOS PROFESSORES — controle de acesso
Leitura do Camilo: este tema foi órfão na reta final — quase ninguém isolou os 4 modelos. Quem ensinou alguma coisa foi o André Castro (IAM). Como caiu decisivo no MT e está no edital do CE, aqui é onde EU agrego valor com você.
| Prof | Apostou? | Veredito | O que disse |
|---|---|---|---|
| André Castro (Estratégia) | ⚠️ parcial | conceito de IAM | deu RBAC (papéis), MFA, SSO, OAuth×OIDC, "Broken Access Control" (OWASP) |
| Demais profs do MT | ❌ | ⚪ órfão | focaram BD/ML; segurança ficou de fora |
A leitura do Camilo: ponto de graça. O concorrente que treinou só "ataque web" não decorou o quarteto DAC/MAC/RBAC/ABAC nem o privilégio mínimo. Você decora a tabela acima em 10 min e leva o ponto.
Durante uma auditoria preventiva nos logs do sistema de arrecadação da Secretaria da Fazenda, a equipe de TI detecta que uma conta de serviço, utilizada para integração com bancos, está realizando tentativas de acesso a tabelas de sigilo fiscal que não pertencem ao seu escopo. O Fiscal suspeita de um código malicioso explorando uma configuração de permissões excessivas. Para mitigar o risco de exfiltração de dados e reestabelecer a governança de segurança, a ação prática mais adequada, baseada em gestão de riscos, é
🔗 CONEXÃO — controle de acesso casa com SIGILO FISCAL (Bloco 5)
Repara que o cenário do MT já é sigilo fiscal: "tabelas de sigilo fiscal fora do escopo". A FCC do CE pode casar os dois temas numa só questão — o técnico (#16, controle de acesso) com o jurídico (#19, CTN 198). Quem acessa dado sigiloso sem necessidade viola o art. 198 — e o controle técnico que previne isso é o privilégio mínimo + RBAC/ABAC. Guarda essa ponte; ela é a cara do CE.
🧊 GUARDE NO BOLSO (Bloco 2):
Ameaça (ladrão) × vulnerabilidade (janela aberta) × risco (chance × estrago).
Quarteto: DAC (dono) · MAC (rótulo, rígido) · RBAC (papel/função) · ABAC (atributos/contexto) + ACL (lista).
Permissão excessiva → PRIVILÉGIO MÍNIMO (a resposta-padrão da FCC).
🔗 Liga direto com sigilo fiscal (CTN 198) — gancho perfeito do CE.
➡️ Próximo (Bloco 3): os controles técnicos por dentro — criptografia simétrica × assimétrica, hash, certificado × assinatura digital e MFA. Rápido e direto: o que diferencia cada um (sem virar perito).
🎯 O que travar neste bloco (blindagem, sem aprofundar):
Criptografia simétrica (1 chave, rápida) × assimétrica (par de chaves: pública + privada).
Hash = integridade (sem volta) — não é criptografia.
Certificado digital (atesta a identidade/chave pública) × assinatura digital (autenticidade + integridade + não-repúdio).
MFA / autenticação multifator = 2+ fatores ("algo que sei + algo que tenho + algo que sou").
🟡 PROBABILIDADE PRO CE: MÉDIA. Cripto não cai sozinha — cai embutida como peça da tabela CID (Bloco 1). Estuda pra reconhecer cada controle, não pra virar criptógrafo.
Pensa numa cena simples: o Filipe (médico) precisa mandar um laudo confidencial pra Camila. Como a segurança funciona:
🔒 Confidencialidade (criptografia assimétrica): o Filipe trava o laudo com a chave PÚBLICA da Camila. Só a chave PRIVADA da Camila destrava. Ninguém mais lê.
✍️ Não-repúdio + autenticidade (assinatura digital): o Filipe assina com a chave PRIVADA dele → a Camila confere com a chave PÚBLICA do Filipe → prova que foi o Filipe que mandou e ele não pode negar.
🧬 Integridade (hash): junto vai um hash do laudo. Se um bit mudar no caminho, o hash não bate → a Camila sabe que foi adulterado.
🪪 Certificado digital: quem garante que aquela chave pública é mesmo do Filipe? Uma Autoridade Certificadora (tipo o ICP-Brasil) emite o certificado que amarra a chave à identidade dele.
🔑 A regra das chaves (decore): você CIFRA pra alguém com a chave PÚBLICA dele (confidencialidade); você ASSINA com a SUA chave PRIVADA (não-repúdio). A FCC adora inverter.
🧊 OS CONTROLES TÉCNICOS — caixa-mãe
| Controle | O que faz | Pilar que atende | Pegadinha |
|---|---|---|---|
| Cripto simétrica | 1 única chave cifra e decifra (rápida, ex.: AES) | Confidencialidade | a mesma chave precisa ser compartilhada (problema de distribuição) |
| Cripto assimétrica | par de chaves: pública (cifra) + privada (decifra) | Confidencialidade | mais lenta; cifra-se com a pública do destinatário |
| Hash | gera resumo/digest unidirecional (SHA-256) | Integridade | ⚠️ NÃO é criptografia — não tem volta, não dá sigilo |
| Assinatura digital | hash + cripto com a chave privada do autor | Autenticidade + Integridade + Não-repúdio | ⚠️ NÃO garante confidencialidade (não esconde o conteúdo) |
| Certificado digital | atesta que a chave pública é de fulano (emitido por AC) | viabiliza autenticidade/cripto de chave pública | é o "RG digital", não é a assinatura em si |
| MFA (multifator) | exige 2+ fatores de naturezas diferentes | Autenticação (reforça autenticidade) | senha + senha não é MFA (mesmo fator) |
🧠 Os 3 fatores do MFA: algo que você SABE (senha) + algo que você TEM (token/celular) + algo que você É (biometria). Multifator = combinar fatores de categorias diferentes.
🎙️ O PLACAR DOS PROFESSORES — controles técnicos
Leitura do Camilo: o Renato entregou o essencial e a prova não cobrou cripto isolada — confirmou que é blindagem embutida.
| Prof | Apostou? | Veredito | O que disse |
|---|---|---|---|
| Renato da Costa (CE) | ✅ | 🎯 conceito (embutido) | "Hash → integridade · Cripto → confidencialidade · Assinatura → autenticidade+integridade+não-repúdio · Certificado → viabiliza chave pública" |
| André Castro (Estratégia) | ⚠️ | ❌ furou em SP | apostou WPA3/AES (Wi-Fi) e NÃO caiu — cuidado com redes |
⚠️ A leitura do Camilo: não decora a linha do tempo do Wi-Fi (WEP→WPA→WPA2→WPA3) que o André martelou — furou feio em SP. Decora a tabela acima e segue. Cripto é peça da questão de pilares, não protagonista.
🪤 AS PEGADINHAS QUE DECIDEM (a FCC repete):
Hash ≠ criptografia. Hash é unidirecional (sem volta), só integridade. Criptografia tem volta (decifra) e dá confidencialidade. "Hash criptografa o documento" → FALSO.
Assinatura digital NÃO dá confidencialidade. Ela prova autoria/integridade/não-repúdio, mas o conteúdo continua legível (a menos que você também cifre). "Assinar = esconder o conteúdo" → FALSO.
Cifra com a PÚBLICA, assina com a PRIVADA. Inverter isso é o erro plantado nº1. (Cifra pra alguém = chave pública dele; assina = sua privada.)
MFA precisa de fatores de naturezas diferentes. Duas senhas = 1 fator só. "Senha + pergunta secreta = multifator" → FALSO (ambos "algo que sei").
🧊 GUARDE NO BOLSO (Bloco 3):
Simétrica = 1 chave (rápida) · Assimétrica = par pública+privada.
Hash = integridade (sem volta, ≠ cripto). Assinatura = autenticidade+integridade+não-repúdio (não esconde).
Cifra com a PÚBLICA do destinatário · Assina com a SUA PRIVADA.
MFA = 2+ fatores de categorias diferentes (sabe/tem/é).
➡️ Próximo (Bloco 4): a ilha de ouro nº1 — a LGPD. Aqui você joga em casa (é lei, você é bacharel), e o melhor: o ângulo que a FCC ama é justamente o de SEFAZ (Poder Público tratando dado de contribuinte). Cravou 3x no MT + 1x em SP.
🎯 O que travar neste bloco (alto ROI):
Dado pessoal × dado sensível (a distinção que a FCC ama).
As bases legais — em especial: o Poder Público trata SEM consentimento quando há obrigação legal / execução de política pública (= SEFAZ fiscalizando).
Os papéis: controlador · operador · encarregado (DPO) + a ANPD.
Responsabilidade (solidária), incidente de segurança (notificação) e anonimização (deixa de ser dado pessoal).
🔴 PROBABILIDADE PRO CE: ALTA. Caiu 3x no MT (responsabilidade, Poder Público, incidente/phishing) + 1x em SP (anonimização). O Mathias crava ("LGPD é minha aposta do bloco final"), o Renato cobre, e está no edital (tema #18). E transita pro Direito Administrativo do Daud — estuda 1x, pontua em 2 matérias.
A SEFAZ-CE trata dados pessoais de contribuintes pra arrecadar, fiscalizar e cobrar. Pergunta capciosa: precisa do consentimento do contribuinte?
❌ NÃO. O Poder Público tem base legal pra tratar dado sem consentimento quando é pra cumprir obrigação legal ou executar política pública. Fiscalizar tributo é exatamente isso. Por isso a SEFAZ não te manda um "aceito os termos" antes de cruzar tua NF-e.
Mas a SEFAZ tem deveres: finalidade específica, segurança, respeito aos direitos do titular, e responder por incidentes.
E um dia o SOC (centro de operações de segurança) detecta: chegou uma leva de e-mails fraudulentos pros auditores. Alguns clicaram num link que imitava o portal interno → instalou malware → risco de vazar dado de contribuinte. Isso é engenharia social (manipular o humano) via phishing (o vetor). Pela LGPD, a SEFAZ (como Controladora) tem que conter, remediar e avaliar comunicar à ANPD e aos titulares conforme o risco.
🧊 LGPD — os conceitos-mãe (decore)
| Conceito | O que é | Exemplo fiscal |
|---|---|---|
| Dado pessoal | informação que identifica pessoa natural | CPF, nome, endereço do contribuinte |
| Dado pessoal SENSÍVEL | origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, biometria/genético | dado de saúde numa declaração; biometria de acesso |
| Dado anonimizado | perdeu a ligação com a pessoa, irreversível | base estatística sem identificadores → sai da LGPD |
| Titular | a pessoa dona do dado | o contribuinte |
| Controlador | quem decide sobre o tratamento (as finalidades) | a SEFAZ |
| Operador | quem trata em nome do controlador | empresa contratada que mantém o sistema |
| Encarregado (DPO) | o canal entre titulares, ANPD e o controlador | o servidor designado |
| ANPD | a autoridade nacional — fiscaliza, normatiza, aplica sanção | órgão federal |
🔑 Par-ouro da FCC: dado anonimizado (irreversível) deixa de ser dado pessoal → sai da LGPD → pode reter pra fins estatísticos. Diferente de pseudonimização/mascaramento (reversível, ainda é dado pessoal).
🧊 AS 10 BASES LEGAIS (não precisa decorar todas — fixe as fiscais)
A LGPD tem 10 hipóteses que autorizam o tratamento. As que interessam pro CE:
Consentimento (a regra geral pro privado — mas não é a única).
Cumprimento de obrigação legal/regulatória ⭐ (a SEFAZ se encaixa aqui).
Execução de políticas públicas pelo Poder Público ⭐ (SEFAZ de novo).
Exercício regular de direitos, proteção da vida, legítimo interesse, etc.
🔑 O que cai: o Poder Público NÃO depende de consentimento pra fiscalizar/arrecadar — tem base legal própria (obrigação legal + política pública). A FCC planta "só com consentimento expresso" como erro.
🎙️ O PLACAR DOS PROFESSORES — LGPD
Leitura do Camilo: aqui a fonte-mãe é o Mathias — ele cravou LGPD como aposta e bateu na prova real (MT 3x + SP). O Renato dá o eixo conceitual.
| Prof | Apostou? | Veredito | O que disse |
|---|---|---|---|
| Felipe Mathias (TI Descompl.) | ✅ forte | 🎯 CRAVOU (MT 3q + SP 1q) | "LGPD é minha aposta do bloco final" — responsabilidade, Poder Público, incidente, anonimização |
| Renato da Costa (CE) | ✅ | 🎯 conceito | "LGPD regulamenta uso de dados pessoais/sensíveis, desde que com finalidade específica → anonimização e tratamento" |
| Josés Alves (Gran) | ✅ | 🎯 vetor | phishing = "fraude eletrônica com pretexto falso pra capturar dado sensível" (casou com a Q3018) |
A leitura do Camilo: LGPD é o maior ROI desta aula. Lei estável, FCC ama, cai pra valer e você ganha de bônus no Direito Administrativo do Daud. Martela os 4 eixos: (1) Poder Público sem consentimento · (2) responsabilidade solidária · (3) incidente/phishing → ANPD · (4) anonimização.
Uma Secretaria da Fazenda realiza o tratamento de dados pessoais de contribuintes para fins de arrecadação, fiscalização tributária, cobrança administrativa e cumprimento de obrigações legais. Parte desses dados é compartilhada com outros órgãos públicos e processada por empresas contratadas para manutenção de sistemas e análise de dados fiscais. O Fiscal e a equipe de TI da Secretaria devem fundamentalmente conhecer as hipóteses legais de tratamento de dados pelo Poder Público, os direitos dos titulares, as responsabilidades dos agentes de tratamento e o papel da Autoridade Nacional de Proteção de Dados (ANPD) porque, na aplicação da legislação de proteção de dados,
O Centro de Operações de Segurança (SOC) de uma Secretaria da Fazenda detectou uma campanha de e-mails fraudulentos direcionada aos auditores fiscais. Alguns servidores clicaram em links que simulavam o portal interno, resultando na instalação de malware e no potencial acesso não autorizado a dados pessoais de contribuintes. Considerando as obrigações da Secretaria como Controladora de dados e as diretrizes da Lei Geral de Proteção de Dados (LGPD), especialmente quanto à adoção de medidas de segurança, prevenção e responsabilização, a equipe de TI deve
Um órgão fazendário estadual fiscaliza o transporte de cargas e mantém bases de NF-e e declarações tributárias com dados pessoais e sensíveis. A legislação tributária fixa prazos mínimos de guarda, enquanto a LGPD permite retenção apenas pelo tempo necessário e sob certas condições para fins estatísticos. Encerrados os prazos legais, o órgão quer seguir fazendo análises estatísticas de longo prazo. Nesse cenário, a política de retenção e descarte que atende a esses requisitos é:
🪤 AS PEGADINHAS DE LGPD QUE DECIDEM (a FCC repete):
"Poder Público só trata com consentimento" → FALSO. Tem base legal própria (obrigação legal / política pública).
"Dado anonimizado ainda é dado pessoal" → FALSO. Anonimização irreversível tira da LGPD. (Pseudonimização reversível continua sendo dado pessoal — não confunda.)
"Responsabilidade é só do operador" → FALSO. Controlador responde também (e há solidariedade — ver questão extra no drill).
"A LGPD não se aplica a incidente/ação humana" → FALSO. Incidente de segurança é central; a maioria é ação humana.
Dado sensível ≠ dado pessoal comum — sensível é a lista fechada (saúde, biometria, religião, etc.) e tem proteção reforçada.
🔗 CONEXÃO — LGPD é PONTE com Direito Administrativo (o bloco do Daud)
A LGPD não é "só TI". Ela cai em Direito Administrativo (responsabilidade do Estado, agentes públicos, transparência) — o bloco-ouro do Daud. Então:
quando você estuda dado pessoal × sensível, bases legais, controlador/operador, ANPD aqui em Fluência, está estudando a mesma matéria que pode cair em Dir. Administrativo.
é dois pelo preço de um: a LGPD transita entre as matérias. Estuda 1x, pontua em 2 frentes.
Bordão da ponte: "LGPD é lei — meu terreno de bacharel — e ela vale ponto tanto em Fluência quanto no Direito Administrativo."
🧊 GUARDE NO BOLSO (Bloco 4):
Dado pessoal (identifica) × sensível (lista fechada: saúde, biometria, religião...) × anonimizado (irreversível → sai da LGPD).
Poder Público trata SEM consentimento (obrigação legal / política pública) — a SEFAZ.
Papéis: Controlador (decide) · Operador (executa) · Encarregado/DPO (canal) · ANPD (fiscaliza/normatiza/sanciona).
Incidente: conter + remediar + avaliar notificar ANPD e titulares.
Anonimização irreversível = a chave pra reter dado pra estatística após o prazo legal.
🔗 Transita pro Direito Administrativo (Daud).
➡️ Próximo (Bloco 5): a ilha de ouro nº2 e o ângulo CE — SIGILO FISCAL. Aqui você joga em casa de novo (CTN 198 é Legislação Tributária) e tem a tua vantagem competitiva: a IN SEFAZ-CE 92/2021, que ninguém que treinou só MT/GO/SP conhece.
🎯 O que travar neste bloco (o diferencial do CE):
A regra do art. 198 CTN: é VEDADO à Fazenda e a seus servidores divulgar informação obtida sobre a situação econômica/financeira do contribuinte.
As exceções (quando PODE compartilhar): requisição judicial, autoridade administrativa (processo regular por infração), e permuta entre fiscos (convênio/lei).
Art. 199: assistência mútua entre os fiscos (União/Estados/Municípios) + intercâmbio internacional.
IN SEFAZ-CE 92/2021 — a norma estadual que regulamenta o sigilo no CE (o diferencial competitivo).
Segurança em nuvem — o gancho moderno (dado fiscal na nuvem ainda é sigiloso).
🔴 PROBABILIDADE PRO CE: ALTA. Está literal no edital (tema #19: "Sigilo Fiscal e funcional — CTN art. 198-199 + IN SEFAZ-CE 92/2021"), o Renato faz o gancho explícito ("conectar LGPD com sigilo fiscal, art. 198 CTN"), e a FCC cobra literalidade do CTN. É o tema que só você (que estuda o CE) tem munição completa.
Um conhecido liga pro Guilherme: "você que é auditor, dá uma olhada quanto a empresa do meu concorrente faturou ano passado?" O Guilherme não pode — e não é questão de educação, é crime e infração funcional. O art. 198 do CTN veda à Fazenda e a seus servidores divulgar informação obtida em razão do ofício sobre a situação econômica ou financeira do contribuinte e a natureza/estado dos seus negócios.
Mas há exceções legítimas — quando o Guilherme PODE (ou deve) compartilhar:
🏛️ Requisição de autoridade JUDICIAL (o juiz pede no interesse da justiça).
📋 Autoridade ADMINISTRATIVA, em processo regular, pra apurar infração (com formalização).
🤝 Permuta de informações entre os fiscos (União ↔ Estados ↔ Municípios), mediante lei ou convênio — é o art. 199.
E o que NÃO é quebra de sigilo (pode divulgar livremente): representações fiscais para fins penais, inscrições em dívida ativa, parcelamentos e moratória — coisas que já são públicas por natureza.
🧊 SIGILO FISCAL — CTN art. 198 (a regra e as exceções)
| Conteúdo | |
|---|---|
| REGRA (caput) | VEDADO à Fazenda Pública e a seus servidores divulgar informação obtida no ofício sobre a situação econômica/financeira e os negócios do contribuinte/terceiros |
| Exceção 1 | requisição de autoridade judiciária (interesse da justiça) |
| Exceção 2 | solicitação de autoridade administrativa no interesse de processo regular por infração (formalizado) |
| Exceção 3 (art. 199) | permuta entre os fiscos (União/Estados/DF/Municípios) por lei ou convênio + intercâmbio internacional |
| NÃO é sigilo (pode divulgar) | dívida ativa, parcelamento/moratória, representação fiscal penal |
🔑 Bizu: sigilo fiscal é a REGRA; divulgar é EXCEÇÃO (juiz, processo administrativo por infração, permuta entre fiscos). A FCC inverte: "a Fazenda pode divulgar livremente a outro órgão" → FALSO sem lei/convênio.
🧊 IN SEFAZ-CE Nº 92/2021 — o diferencial do CE
⚠️ Honestidade do Camilo: a IN 92/2021 é norma estadual do CE que entrou no edital (via retificação 002/2026) e regulamenta internamente como a SEFAZ-CE trata o sigilo fiscal — quem acessa, como registra, como compartilha. Nenhum cursinho nacional (Estratégia/Gran) cobre isso — é a maior especificidade do CE do bloco. É fonte única, que eu (Camilo) vou montar pra você como lei comentada padrão, buscando no Sefaz Legis (a fonte oficial do CE).
🔮 APOSTA (não fato): os dossiês dos profs não trazem a IN 92 detalhada (ela não caiu em MT/GO/SP porque é só do CE). Então aqui o status é aposta forte pela porta do edital, não "já caiu". O que provavelmente cai: a IN amarra o art. 198 do CTN (regra federal) com o procedimento interno da SEFAZ-CE (rastreabilidade de quem acessa dado sigiloso, controle de acesso, responsabilização). 🧭 Ação: vou produzir a lei comentada da IN 92 à parte — é o teu trunfo que o concorrente de fora não tem.
🎙️ O PLACAR DOS PROFESSORES — sigilo fiscal
Leitura do Camilo: este tema não caiu isolado nos espelhos (entrou só como cenário dentro do controle de acesso do MT — "tabelas de sigilo fiscal"). Mas é assunto recorrente da FCC histórico e está cravado no edital do CE.
| Prof | Apostou? | Veredito | O que disse |
|---|---|---|---|
| Renato da Costa (CE) | ✅ gancho | 🔮 aposta | "conectar IA generativa/ética/LGPD com sigilo fiscal (art. 198 CTN)" — gancho explícito |
| Camilo (eu) | ✅ | 🔮 produzir | a IN SEFAZ-CE 92/2021 = fonte única, lei comentada a montar |
| Espelhos MT/GO/SP | — | ⚠️ só cenário | sigilo entrou como pano de fundo no MT Q3014 (controle de acesso) |
A leitura do Camilo: você tem dupla vantagem aqui — é bacharel em Direito (CTN 198 é teu terreno) e estuda o CE (tem a IN 92 que os outros não têm). A FCC adora literalidade de artigo do CTN — então decora a regra + as 3 exceções como estão na lei.
🎙️ Por que esta questão: não achei no banco questão FCC 2026 de sigilo fiscal puro (CTN 198) — ele caiu só como cenário. Mas a FCC cobrou o primo dele, o sigilo bancário (LC 105/2001), que anda de mãos dadas com o sigilo fiscal e cobra a mesma lógica de regra + exceções + literalidade. Vale o treino do raciocínio.
De acordo com a Lei Complementar nº 105, de 10 de janeiro de 2001, que dispõe sobre o sigilo das operações de instituições financeiras, I. as empresas de fomento comercial ou factoring, embora não sejam consideradas instituições financeiras, obedecerão, para os efeitos da referida Lei Complementar, às normas aplicáveis às instituições financeiras. II. não constitui violação do dever de sigilo o fornecimento de informações referentes ao patrimônio de pessoas físicas no Brasil, bem como de informações constantes de cadastro de emitentes de cheques sem provisão de fundos e de devedores inadimplentes, a entidades de proteção ao crédito e a grandes conglomerados varejistas, de reputação ilibada, observadas as normas baixadas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil. III. a quebra de sigilo poderá ser decretada, quando necessária para apuração de ocorrência de qualquer ilícito, em qualquer fase do inquérito ou do processo judicial. IV. o dever de sigilo é extensivo ao Banco Central do Brasil, em relação às operações que realizar e às informações que obtiver no exercício de suas atribuições, mas o dever de sigilo não pode ser oposto ao Banco Central do Brasil, no desempenho de suas funções de fiscalização, compreendendo a apuração, a qualquer tempo, de ilícitos praticados por mandatários e prepostos de instituições financeiras. Está correto o que se afirma em
🌥️ BÔNUS — SEGURANÇA EM NUVEM (o gancho moderno) 🟡
O dado fiscal hoje mora muito na nuvem (cloud). A FCC pode cruzar isso com sigilo/LGPD. O essencial: - Modelo de responsabilidade compartilhada: o provedor (AWS/Azure/GCP) cuida da segurança DA nuvem (infra física); o cliente (SEFAZ) cuida da segurança NA nuvem (configuração, acesso, criptografia dos dados). ⚠️ Botar dado na nuvem não transfere a responsabilidade pelo sigilo — a SEFAZ continua Controladora. - Sigilo fiscal na nuvem: o dado continua sigiloso esteja onde estiver. Exige criptografia (confidencialidade), controle de acesso (privilégio mínimo) e rastreabilidade (log de quem acessou) — fecha o ciclo com os Blocos 1, 2 e 4. - 🎙️ Status: blindagem barata 🔮 — não vi questão FCC 2026 de nuvem pura no nosso banco; é leitura de 5 min pra não tomar susto.
🧊 GUARDE NO BOLSO (Bloco 5):
CTN 198 = REGRA: sigilo é vedado divulgar. Exceções: juiz · autoridade administrativa (processo por infração) · permuta entre fiscos (art. 199, lei/convênio).
NÃO é sigilo: dívida ativa, parcelamento/moratória, representação penal.
IN SEFAZ-CE 92/2021 = a norma estadual do CE (teu diferencial — lei comentada a montar).
FCC cobra LITERALIDADE do CTN + planta uma exceção falsa.
Nuvem: responsabilidade compartilhada, mas o sigilo continua sendo da SEFAZ.
Para tudo e respira, Felício. 🫁 Este bloco foi mais leve do que parecia — porque metade dele já é o teu Direito. Segurança da informação tem uma tabela que decide quase tudo (controle→pilar), e LGPD + sigilo fiscal são lei, teu terreno. Vamos guardar o essencial e te dar a ordem de ataque.
A tabela-mãe da segurança (cola no espelho):
Pilar Controle técnico Gatilho FCC Confidencialidade criptografia apenas/somente/sigilo Integridade hash + versão não alterado/íntegro Disponibilidade redundância (backup/RAID) acessível sob demanda Autenticidade certificado digital comprovar identidade Não-repúdio assinatura digital + log não pode negar autoria Rastreabilidade (extra CE) trilha de auditoria quem/quando/o quê
E as duas ilhas de ouro:
⚖️ LGPD — Poder Público trata sem consentimento (obrigação legal/política pública) · papéis Controlador/Operador/DPO/ANPD · anonimização irreversível sai da LGPD · incidente → notifica ANPD/titulares. Transita pro Direito Administrativo do Daud.
🏛️ Sigilo fiscal — CTN 198 (regra: vedado divulgar; exceções: juiz, processo administrativo, permuta entre fiscos) + IN SEFAZ-CE 92/2021 (teu diferencial CE).
🪤 As 3 pegadinhas que mais decidem o bloco:
CID = CIA (o A é Availability, não Authenticity) · hash = integridade (não é cripto) · CID × ACID (a sigla coincide em C/I/D, mas os conceitos são de mundos diferentes — segurança × transação).
LGPD: absolutismo é erro ("só com consentimento", "responsabilidade só do operador", "a LGPD não se aplica").
Sigilo: literalidade do CTN com uma exceção falsa plantada.
Você não tem tempo de esgotar segurança da informação — você tem que pegar os pontos cravados. Ordem por ROI:
1️⃣ DECORA a tabela CONTROLE → PILAR ⚡ — é o que CRAVOU 2x no MT.
2️⃣ MARTELA LGPD 🔴 — a ilha de ouro nº1, dois pontos pelo preço de um.
3️⃣ DOMINA SIGILO FISCAL (CTN 198 + IN 92) 🔴 — o ângulo CE, teu terreno de bacharel.
4️⃣ BLINDA controle de acesso + os controles técnicos 🟡 — órfão = ponto de graça.
🧭 Bordão do plano: a tabela controle→pilar + LGPD + CTN 198 = 80% dos pontos deste bloco com 20% do esforço — e metade já é o teu Direito.
Honestidade temporal: o CE ainda NÃO aconteceu (prova 01-02/08/2026) — tudo aqui é aposta 🔮, calibrada pelo que JÁ CAIU ✅ em MT/SP 2026.
Tema Quem apostou Veredito real Pro CE Pilares CID (controle→pilar) Renato (deu o bloco) ✅ JÁ CAIU (MT 2x, gab C) 🔴 ALTA LGPD (Poder Público/incidente/anonimização) Mathias (cravou) ✅ JÁ CAIU (MT 3x + SP 1x) 🔴 ALTA Controle de acesso + privilégio mínimo (órfão) — André só conceito ✅ JÁ CAIU (MT, gab D) 🔴 ALTA (de graça) Trilha auditoria append-only (rastreabilidade) (órfão) — Mathias só na resolução ✅ JÁ CAIU (SP, gab C) 🔴 ALTA (de graça) Sigilo fiscal (CTN 198 + IN 92) Renato (gancho) + Camilo ⚠️ só cenário no MT 🔴 ALTA (edital CE) Criptografia/Wi-Fi André Castro ❌ furou em SP (redes) 🟡 MÉDIA (embutida)
O professor de TI aqui é o Camilo. O André Castro martelou redes/Wi-Fi e furou — não vou te fazer perder tempo lá. Sigo o Renato (que deu o bloco certo e a prova confirmou) e o Mathias (que cravou LGPD na prova real). E na IN SEFAZ-CE 92/2021 sou eu quem te dá a munição que ninguém mais tem.
🔑 Bordão-mestre da Aula 06: segurança = uma tabela (controle→pilar); LGPD e sigilo = lei (teu terreno). Quem entende isso não decora o bloco — deduz e ganha o ponto de graça que o concorrente larga.
🧭 PRÓXIMA PARADA — Aula 07: Python / Pandas / NumPy (o órfão eliminatório).
É o hedge final: o tema que mais caiu na SEFAZ-MT (5 questões!) e que nenhum cursinho de reta final entregou. Você não vai virar programador — vai aprender a LER código (Pandas/NumPy) num cenário de ICMS/NF-e e pegar o ponto que está em branco pra quase todo mundo. É o nosso drill mais cirúrgico. Te espero lá em cima. 🐍🪜
🔵 Bate o olho e resolve as que você já sabe · 🔴 Corrige com calma as que travar. Todas FCC 2026, conferidas no banco. As primeiras são o alvo (CID + LGPD + controle de acesso, o que crava); a de trilha append-only (Q3718) treina a rastreabilidade; a de responsabilidade solidária (Q2932) e a de sigilo bancário (Q2908) fecham os eixos jurídicos do bloco.
Última atualização: 22/06/2026 12:08 — Camilo