Proposta · Maio 2026
Modernização da
Plataforma IdeiaSUS
Nova infraestrutura para a maior plataforma colaborativa do SUS — adequada às exigências legais vigentes e ao padrão técnico do governo federal.
Confidencial
01 / Diagnóstico
Exposição de Dados de Saúde — Diagnóstico
O IdeiaSUS é a plataforma colaborativa do SUS vinculada à VPAAPS — Vice-Presidência de Ambiente, Atenção e Promoção da Saúde da Fiocruz. Armazena dados de profissionais, gestores e conselheiros de saúde de todo o Brasil.
Classificação legal dos dados
LGPD Art. 11 classifica dado de saúde como dado sensível — categoria de proteção máxima. Exige isolamento no banco, trilha de auditoria e base legal documentada para qualquer processamento.
Situação atual da infraestrutura
A arquitetura atual não implementa isolamento de dados no banco. Um acesso indevido expõe registros de todos os usuários simultaneamente. Não é uma vulnerabilidade pontual — é uma limitação estrutural do modelo CMS com plugins, sem solução dentro dessa arquitetura.
Escopo deste documento
Esta apresentação descreve a solução técnica já desenvolvida e em operação em ambiente de homologação, com os dados reais do IdeiaSUS. O objetivo é adequar a infraestrutura às exigências legais vigentes e ao padrão técnico adotado pelo governo federal.
02 / Diagnóstico Técnico
A Plataforma Está no Limite
Diagnóstico técnico baseado na plataforma pública IdeiaSUS. Os números abaixo são mensuráveis e verificáveis.
1.000ms de tempo de resposta
Limite recomendado: 600ms. Opera 67% acima do aceitável.
Causa raiz: wp_options carregada integralmente a cada requisição — independente do conteúdo da página.
wp_options: 10,1 GB
Tabela interna do WordPress que deveria ter no máximo 5 MB. Está 2.000× acima do normal. Cada visita ao site carrega essa tabela inteira para a memória.
Gerada pelo acúmulo de 32 plugins ao longo de anos. Não há solução dentro do WordPress.
32 plugins ativos — superfície de ataque
Cada plugin é código externo de terceiros executando com permissão total no servidor. CVEs críticos documentados nos últimos 24 meses nos plugins principais instalados.
Elementor Pro, JetEngine, Frontend Admin Pro — todos com vulnerabilidades conhecidas e publicadas.
Banco sem isolamento de dados
Sem Row Level Security (RLS) — controle de acesso no nível do banco de dados. Um acesso indevido ao banco expõe registros de todos os usuários. Uma brecha no servidor afeta toda a infraestrutura.
03 / Segurança
90% dos CMS Hackeados São WordPress
Dados globais, não opinião. Os plugins instalados no IdeiaSUS têm CVEs documentados neste momento.
WordPress: o CMS mais atacado do mundo
90% de todos os CMS comprometidos globalmente são WordPress. Não por falha do núcleo — mas porque plugins de terceiros criam superfície de ataque massiva sem isolamento.
Fonte: Sucuri Web Hacked Report (dado consolidado dos últimos 5 anos).
32 vetores de ataque simultâneos
Cada plugin instalado é um vetor independente. Uma falha em qualquer um — sem relação com os outros — compromete o servidor inteiro. Não há isolamento entre eles.
CVEs documentados nos plugins do IdeiaSUS
Elementor Pro (RCE — execução remota de código, CVSS 9.8 · 2023), JetEngine (SQL Injection · 2024), Frontend Admin Pro (privilege escalation · 2023). Patches existem mas dependem de atualização manual e teste de regressão.
Drupal também não resolve
Histórico: Drupalgeddon (2014, 12 milhões de sites comprometidos), Drupalgeddon2 (2018, RCE crítico), Drupalgeddon3 (2018). EOL em 2025.
A questão não é qual CMS usar — é sair do modelo CMS-com-plugins para uma plataforma auditável e com código controlado.
04 / A Solução
Nova Plataforma IdeiaSUS
Desenvolvida e em operação em ambiente de homologação com a base de conteúdo do IdeiaSUS mapeada e pronta para migração.
Frontend: Next.js 16 + TypeScript
Cache nativo, páginas pré-geradas, interface moderna e acessível (e-MAG 3.1). Substitui PHP dinâmico por HTML pré-renderizado — servidor responde sem processar nada para visitantes.
Mesmo framework usado por Netflix, GitHub e gov.uk.
Banco: PostgreSQL + Row Level Security
Cada usuário enxerga apenas seus próprios dados — isolamento no nível do banco, não da aplicação. Elimina a classe inteira de ataques de acesso indevido. Conformidade LGPD nativa.
Busca: Meilisearch — tolerância a erros e filtros simultâneos
Gestores encontram práticas mesmo com erros de digitação ("saudde", "municipio"). Filtros por COP, região e categoria funcionam simultaneamente. Resposta em menos de 50ms independente do volume de práticas cadastradas.
Usado por Stripe, Algolia concorrente — open source, auto-hospedado, zero dependência externa.
Infraestrutura: containers isolados
Cada serviço em container independente. Uma falha não propaga para outros serviços. Deploy com 1 comando. Rollback em segundos.
5 dependências auditadas versus 32 plugins não auditados.
Sincronização automática com o WordPress atual
Sync semanal automático mantém o conteúdo do IdeiaSUS atualizado. WordPress continua operando normalmente durante toda a transição. Zero risco de perda de dados.
09 / Cronograma
~2 Semanas até Produção
O WordPress atual opera normalmente durante todo o processo. Sem janela de manutenção forçada, sem interrupção de serviço.
1
Preparação
Docker + nginx configurados pela COGETIC
1 dia · COGETIC
2
Deploy
Equipe técnica implanta todos os serviços via SSH
1–2 dias · Equipe técnica
3
Homologação
Testes funcionais e de segurança com equipe IdeiaSUS e COGETIC
5–10 dias · Conjunto
4
Virada de DNS
Um registro DNS atualizado. WordPress para de receber tráfego novo.
1 hora · COGETIC
5
Período de standby
WordPress permanece ativo por 30 dias como fallback. Desativação somente após validação completa.
30 dias · Segurança
10 / Padrão Federal
O Governo Federal Já Usa. A Fiocruz Se Alinha.
Containers são o padrão de infraestrutura dos principais órgãos federais. Esta decisão coloca a Fiocruz no mesmo nível técnico já adotado pelo governo federal.
Adoção de containers no governo federal
SERPRO — Serviço Federal de Processamento de Dados, principal empresa de TI do governo federal ·
TCU — Tribunal de Contas da União ·
ANATEL — Agência Nacional de Telecomunicações ·
STJ — Superior Tribunal de Justiça ·
Portal gov.br
Padrão da CTIC/ME — Coordenação de Tecnologia da Informação e Comunicação do Ministério da Economia — e da Estratégia Gov Digital 2024–2027.
Uma infraestrutura para todos os projetos da Fiocruz
A infraestrutura instalada para o IdeiaSUS pode suportar qualquer iniciativa futura. Novo portal, novo sistema de gestão: um arquivo de configuração e um comando — sem nova VM, sem novo processo de aprovação de infraestrutura.
Redução de custo operacional
Sem licenças de plugins premium recorrentes. Sem servidores separados por projeto. Infraestrutura compartilhada com isolamento nativo entre serviços.
05 / Já Implementado
Pronto Hoje. Não é Promessa.
Cada item abaixo está ativo no ambiente de homologação — pronto para virar produção na Fiocruz com os dados reais do IdeiaSUS.
Login com Gov.br
O usuário entra com a mesma conta da Receita Federal, INSS e CNH digital. Sem criar nova senha. Identidade verificada pelo governo federal.
Integração via OAuth2 com a Plataforma de Cidadania Digital do Ministério da Gestão e da Inovação.
Login por código de e-mail (OTP)
Código de 6 dígitos enviado ao e-mail cadastrado. Expira em 10 minutos. Sem senha para vazar, sem ataque de força bruta possível.
Trilha de auditoria + controle de acesso
Cada operação crítica registrada com timestamp, IP e usuário. Máximo 5 tentativas de login por minuto por IP — força bruta bloqueada automaticamente.
Exigido pela LGPD Art. 37 e IN GSI/PR nº 1/2020 — Instrução Normativa do GSI (Gabinete de Segurança Institucional da Presidência da República).
Backup diário + monitoramento contínuo
Backup comprimido gerado às 02h com retenção de 7 dias. Verificação automática a cada 5 minutos — alerta por e-mail na primeira falha. 100% de uptime desde ativação.
06 / Performance
85% Mais Rápido — Com Dados Reais
Medições feitas no ambiente de homologação com o conteúdo real do IdeiaSUS sincronizado.
0%
mais rápido que o WordPress atual
WordPress atual (IdeiaSUS)1.000ms
Limite aceitável600ms
Nova plataforma (Next.js)~150ms
Cache nativo
Next.js pré-renderiza páginas. Servidor responde sem tocar no banco para visitantes. Sem wp_options, sem plugins, sem PHP dinâmico.
Impacto real para o SUS
Cada 100ms de atraso reduz engajamento em ~7% (Google Research). 850ms de ganho = mais práticas lidas, mais conhecimento compartilhado no sistema de saúde.
06b / Auditoria Independente
Nota D → A — Relatório GTmetrix Real
Gerado em 21/05/2026 · Chrome 142 · Lighthouse 12.6 · Servidor Seattle (pior caso — mais distante do Brasil).
Hoje — Estado atual
D
GTmetrix Grade
Performance: 56% · Estrutura: 68%
Performance
Estrutura
5.7s
LCP ●
33ms
TBT ●
0.04
CLS ●
Nova plataforma — Expectativa
A
GTmetrix Grade esperada
Performance: ~90% · Estrutura: ~88%
Performance
Estrutura
~1.2s
LCP ●
~20ms
TBT ●
~0.02
CLS ●
LCP — Largest Contentful Paint
Tempo até o maior elemento da página aparecer. Causa raiz aqui: resposta lenta do servidor (wp_options com 10 GB). Meta Google: abaixo de 2,5s.
TBT — Total Blocking Time
Tempo em que o navegador fica bloqueado para interação. Já está bom no IdeiaSUS atual — e se mantém com a nova plataforma.
CLS — Cumulative Layout Shift
Estabilidade visual — quanto a página "pula" enquanto carrega. Também está bom e será mantido com o novo frontend.
08 / Arquitetura
Como Funciona na Fiocruz
O nginx existente não é substituído — apenas recebe um bloco de configuração adicional. A COGETIC executa 4 comandos. O restante é responsabilidade da equipe técnica.
Internet — Usuários do SUS
Gestores, profissionais, pesquisadores e conselheiros de saúde de todo o Brasil
↓
nginx — Já existe no servidor
Recebe 1 bloco de proxy adicional sem remover nada. Zero impacto no WordPress atual.
↓
Containers — Nova Plataforma
Next.js · PostgreSQL · Meilisearch · Redis · Backup · Monitor — cada serviço em container isolado
Requisitos mínimos do servidor
| Recurso | Em uso (operação) | Recomendado |
|---|---|---|
| RAM | ~600–800 MB | 2 GB+ |
| Disco (imagens Docker) | ~480 MB | 1 GB |
| Disco (dados + banco) | ~300 MB | 2 GB |
| CPU | 1 vCPU suficiente · 2 vCPU recomendado | |
Se o servidor tiver menos de 2 GB de RAM disponível, a implantação do Meilisearch deve ser postergada para uma segunda fase.
↓
WordPress — Em standby
Opera normalmente. Permanece como fallback por 30 dias após a virada.
O que a COGETIC executa
1
Instalar Docker
apt install docker.ioO Ubuntu já sabe onde buscar o Docker — este comando se conecta ao repositório oficial e instala tudo automaticamente. Nenhum download manual, nenhum site externo. É o mesmo mecanismo usado para instalar qualquer software no servidor.
COGETIC · 1 comando · ~2 minutos
2
Ativar modo cluster
docker swarm initAtiva o Docker Swarm — o modo de orquestração que permite ao servidor gerenciar múltiplos serviços isolados simultaneamente. É como ligar um painel de controle que já estava instalado. Leva menos de 10 segundos.
COGETIC · 1 comando · <10 segundos
3
Liberar acesso SSH
SSH é o protocolo seguro de acesso remoto — o mesmo que a COGETIC já usa para administrar o servidor. A equipe técnica gera um par de chaves criptográficas: a chave pública é entregue à COGETIC e instalada no servidor; a chave privada fica exclusivamente com a equipe técnica e nunca trafega. Nenhuma senha é compartilhada. O acesso é permanente para suporte e operação contínua da plataforma — e revogável pela COGETIC a qualquer momento com 1 comando, sem depender da equipe técnica.
COGETIC · ~10 min · acesso permanente para operação
4
Deploy e configuração
Com acesso SSH liberado, a equipe técnica conecta remotamente e implanta todos os serviços: containers, banco de dados, configuração de rede e integração com o nginx existente. A COGETIC não precisa executar nada nessa fase — apenas acompanhar se desejar.
Equipe técnica · ~2 dias
07 / Controle
A COGETIC Mantém Controle Total
Nenhuma decisão de infraestrutura sai das mãos da COGETIC. A equipe técnica executa o trabalho — a Fiocruz decide, aprova e controla.
Acesso SSH revogável a qualquer momento
A COGETIC libera o acesso e pode cancelar com 1 comando se necessário. Nenhuma credencial fica em posse exclusiva da equipe técnica. O servidor pertence à Fiocruz.
Containers isolados — sem acesso a outros projetos
A nova plataforma roda em rede própria e completamente isolada. Os containers não acessam outros sistemas, bancos ou projetos do servidor da Fiocruz. Isolamento garantido por design — não por configuração manual.
Visibilidade total para a COGETIC
A COGETIC pode ver todos os containers ativos, parar qualquer serviço e inspecionar logs a qualquer momento. Nenhuma caixa-preta. Tudo auditável em tempo real.
Sem dependência exclusiva — código aberto e documentado
Se necessário, qualquer profissional de DevOps assume a operação. A solução pertence à Fiocruz. Aprovar essa infraestrutura é alinhar a Fiocruz ao padrão que o governo federal já adota.
11 / Conformidade Regulatória
Conforme as Normas Exigidas do Governo Federal
Não é diferencial — é obrigação. Cada norma abaixo é exigida de todos os sistemas digitais da administração pública federal, incluindo a Fiocruz.
Dados Sensíveis
LGPD — Art. 11
Dados de saúde exigem proteção máxima, base legal e trilha de auditoria.
Atendemos: RLS isola dados por usuário no banco; auditoria registra todo acesso.
Segurança Federal
PNSI — Decreto nº 12.572/2025
Política Nacional de Segurança da Informação — gestão de riscos, continuidade operacional e proteção de dados.
Atendemos: Backup automático, monitoramento contínuo e recuperação documentada.
Obrigatória Fiocruz
IN GSI/PR nº 1/2020
Instrução Normativa do GSI — Gabinete de Segurança Institucional — controles de acesso e resposta a incidentes.
Atendemos: Controle por papel, rate limiting, trilha de auditoria e alertas automáticos.
Base Técnica Gov BR
ABNT NBR ISO/IEC 27001
Norma internacional adotada pelo Guia PSI do Governo Federal como referência técnica normativa.
Atendemos: Isolamento, controle de acesso, auditoria e continuidade.
Portaria SISP
e-MAG 3.1 + LBI nº 13.146/2015
WCAG 2.1 AA + Lei Brasileira de Inclusão: serviços públicos digitais devem ser acessíveis.
Implementamos: skip navigation, contraste 5,7:1, navegação por teclado, leitores de tela.
Decreto 12.198/2024
Estratégia Gov Digital 2024–2027
Exige modernização de serviços digitais com foco em acessibilidade, segurança e integração com gov.br.
Atendemos: autenticação Gov.br pronta, acessibilidade e segurança implementadas.
Próximos Passos
A Nova Plataforma Está em Desenvolvimento. Quando Migramos?
O trabalho da COGETIC resume-se a 4 comandos e liberação de acesso SSH. O restante é executado pela equipe técnica.
Agende a apresentação técnica
Demonstração ao vivo da plataforma em homologação com os dados reais do IdeiaSUS — disponível para qualquer equipe da Fiocruz.
conecte@ventiladigital.com.br
~2 semanas
até produção
0
risco de perda de dados
85%
ganho de performance
90%
menos superfície de ataque
ventila.digital · Confidencial
Referência
Glossário de Termos Técnicos
ACF (Advanced Custom Fields)
Plugin do WordPress para criar campos personalizados. Um dos 32 plugins ativos no IdeiaSUS.
API REST
Interface que permite dois sistemas trocarem dados pela internet em formato padronizado.
Cache
Cópia temporária de uma página já processada — entregue pronta ao próximo visitante, sem reprocessar.
CLS (Cumulative Layout Shift)
Métrica de estabilidade visual: quanto a página "pula" enquanto carrega. Quanto menor, melhor.
CMS (Content Management System)
Sistema de gerenciamento de conteúdo. Permite publicar no site sem programar. Ex: WordPress, Drupal.
CVE (Common Vulnerabilities and Exposures)
Código oficial que identifica uma vulnerabilidade de segurança conhecida e publicada mundialmente.
DNS (Domain Name System)
Sistema que traduz um endereço legível (ideiasus.fiocruz.br) para o IP do servidor — a "lista telefônica" da internet.
Docker
Tecnologia que empacota cada aplicação em um contêiner isolado. Se um falha, os demais não são afetados.
Docker Swarm
Gerenciador de contêineres Docker: reinicia serviços automaticamente, distribui carga e escala com um comando.
Gov.br SSO (Single Sign-On)
Login único do governo federal. O usuário acessa com a conta Gov.br — sem criar nova senha no sistema.
GTmetrix
Ferramenta de auditoria de performance web que usa Chrome + Lighthouse para medir velocidade e qualidade técnica de um site.
ISO 27001
Norma internacional de segurança da informação. Exige isolamento de dados e controle de acesso — o que o RLS garante.
JWT (JSON Web Token)
Mecanismo interno de sessão. Após o login, o sistema gera um "crachá digital" temporário que expira automaticamente.
LCP (Largest Contentful Paint)
Tempo até o maior elemento da página aparecer. É o principal indicador de velocidade percebida pelo usuário. Meta: abaixo de 2,5s.
LGPD (Lei Geral de Proteção de Dados)
Lei nº 13.709/2018. Exige que sistemas impeçam um usuário de acessar dados de outro, sob pena de sanções.
MySQL / PostgreSQL
Bancos de dados relacionais. MySQL é o do WordPress; PostgreSQL é o da nova plataforma — mais robusto, com RLS nativo.
Next.js
Framework web moderno com cache nativo, melhor performance e maior segurança que o PHP do WordPress.
nginx
Servidor web de alta performance que recebe requisições dos usuários e as direciona para a aplicação correta.
OTP (One-Time Password)
Senha de uso único enviada por email ou SMS, válida por minutos. Elimina a necessidade de senha permanente.
PHP
Linguagem usada pelo WordPress. Executa código dinamicamente a cada requisição — fonte de lentidão e vulnerabilidades.
RLS (Row Level Security)
Isolamento de dados no nível do banco: cada usuário só enxerga seus próprios dados, mesmo se a aplicação for comprometida.
SSH (Secure Shell)
Protocolo seguro para gerenciar servidores remotamente via terminal criptografado.
TBT (Total Blocking Time)
Tempo em que o navegador fica bloqueado para interação do usuário. Abaixo de 200ms é considerado bom.
wp_options
Tabela do banco WordPress que armazena configurações. No IdeiaSUS está com 10,1 GB (normal: 5 MB) — causa raiz da lentidão.