Developer · Compliance
Controles técnicos
Nove controles que impedem que a plataforma seja usada como rede de bots ou ferramenta de coordinated inauthentic behavior. Enforced server-side — não dependem de confiança no cliente.
- 01
Fila editorial com aprovação humana
Cada republicação de apoiador entra numa fila editorial por cliente. Um operador humano (equipe de comunicação do cliente) precisa aprovar cada item antes da publicação. A Bandeira não cria nem auto-aprova conteúdo.
Enforcement: Camada de aplicação · state machine por cliente
- 02
Atribuição visível automática
Posts republicados carregam um marcador de atribuição visível (ex.: "via @conta_origem"). Remover o marcador é impossível pela UI e seria capturado pelo audit log se tentado via chamada direta de API.
Enforcement: Pipeline de publicação · template-enforced
- 03
Cap diário por conta
Limite rígido de 3 reposts por dia por conta de apoiador. Enforced por uma stored function PostgreSQL chamada dentro do caminho de INSERT — mesmo uma sessão psql direta bypassando a aplicação bate na restrição.
Enforcement: Banco · stored function + check constraint
- 04
Janela de blackout (22:00 – 07:00)
Sem publicação durante a janela de blackout no horário local. Dois propósitos: respeitar o horário de sono do apoiador (boa UX, reduz revogações) e evitar o padrão de assinatura de atividade automatizada noturna que a Meta sinaliza como suspeita.
Enforcement: Banco · stored function checa timezone do apoiador
- 05
Time jitter em publicações agendadas
Horários agendados são randomizados ±10 minutos por apoiador. Derrota padrões assinaláveis (várias contas publicando nos mesmos segundos), que é o sinal mais forte que a Meta usa pra detectar coordinated inauthentic behavior.
Enforcement: Scheduler · randomização por publicação
- 06
Filtro IA pré-publicação
Cada item enfileirado é classificado pelo Anthropic Claude antes de ficar elegível pra aprovação humana. Classes flaggeadas: discurso de ódio, incitação à violência, desinformação eleitoral, promoção paga não declarada. Itens flaggeados exigem override explícito com motivo registrado.
Enforcement: Camada de aplicação · classificador async · override auditado
- 07
Detector de crise em comentários
Anomalias na taxa e sentimento de comentários disparam alertas pro contato de operações do cliente (ex.: pico de 10× em comentários negativos num repost recente). Permite retirar conteúdo antes de um problema pequeno escalar.
Enforcement: Stream processor · detecção de anomalia em janela
- 08
Audit log imutável (retenção 5 anos)
Cada evento relevante (autorização de apoiador, repost, revogação, override de IA, ação admin) grava em uma tabela audit_events append-only. Um trigger BEFORE UPDATE OR DELETE levanta exceção — mesmo acesso DBA-level não consegue tampering sem deixar evidência.
Enforcement: Banco · append-only trigger · retenção 5 anos
- 09
Revogação self-service do apoiador
Apoiadores podem revogar a autorização OAuth a qualquer momento por um link público na bio do Instagram ou via URL direta. A revogação é instantânea: a próxima publicação agendada para a conta é cancelada e o evento fica logado pra auditoria.
Enforcement: Revogação OAuth · cancel idempotente + audit write
Por que isso é server-side, não na UI
Checks de UI são documentação, não defesa. Qualquer coisa que um operador malicioso pudesse desabilitar no browser é enforced novamente na camada de aplicação ou no banco — tipicamente nos dois. O audit log registra todo override, então mesmo exceções legítimas deixam trilha auditável.