IdeiaSUS
Proposta · Abril 2026

Modernização
da Plataforma IdeiaSUS

Uma nova infraestrutura para a maior plataforma colaborativa do SUS — mais segura, mais rápida e preparada para o futuro.

Ventila Digital Abril de 2026 Confidencial
ventila.digital
01 / Diagnóstico

O Estado Atual da Plataforma

Análise técnica conduzida com acesso direto à infraestrutura da Fiocruz via API REST administrativa.

1.000ms

Tempo de Resposta

Limite recomendado: 600ms. Plataforma opera 67% acima do aceitável.

10,1GB

wp_options

Normal: 5 MB. Carregada integralmente a cada request. Gargalo crítico.

32

Plugins Ativos

Cada plugin é um vetor de ataque. WordPress responde por 90%+ dos CMS comprometidos.

40MB

Memória WP

Insuficiente para 32 plugins, 31 mil posts e 1,5M de registros de meta.

ventila.digital
02 / Problema Crítico

Performance em Estado Crítico

O diagnóstico automático do WordPress confirma a situação — sem intervenção editorial:

Plataforma atual1.000 ms
Limite recomendado600 ms
Nova plataforma (estimado)~150 ms

Causa Raiz Identificada

A tabela wp_options com 10,1 GB é carregada em cada request. Uma tabela que deveria ter 5 MB.

Zero Cache Ativo

Auditoria confirma ausência total de cache. Cada usuário gera uma query completa ao banco de dados, incluindo os 10 GB da wp_options.

Risco em Picos de Acesso

Em eventos de divulgação nacional, a plataforma não tem capacidade de absorver tráfego elevado sem queda.

ventila.digital
03 / Segurança

Superfície de Ataque Atual

32

Plugins de Terceiros

Código externo em PHP executando no servidor. Uma vulnerabilidade em qualquer plugin compromete tudo.

Elementor Pro, JetEngine e Frontend Admin Pro tiveram CVEs críticos documentados nos últimos 24 meses.

WordPress: o CMS mais atacado do mundo

Responde por mais de 90% dos CMS comprometidos em ataques registrados globalmente. Plataformas governamentais são alvos prioritários.

Vetores de ataque ativos:

Execução remota de PHP

Falha em plugin → execução de código no servidor

Injeção SQL via plugins

Sem RLS — acesso direto ao banco via queries mal sanitizadas

Escalação de privilégio

Roles do WordPress com histórico de bypass por plugin

Sequestro de sessão

Sessions PHP em banco — vulnerável a session hijacking

Ausência de isolamento

Uma brecha = comprometimento total do servidor

ventila.digital
04 / WordPress — Os Números Reais

90% de Todos os CMS Hackeados São WordPress

Dados globais, não opinião. Os plugins instalados no IdeiaSUS têm CVEs documentados agora.

90%
dos CMS comprometidos globalmente são WordPress
32
plugins = 32 vetores de ataque simultâneos no servidor

Plugins com CVEs críticos no IdeiaSUS — agora

  • Elementor Pro — RCE e escalação de privilégio (CVEs 2023–2024)
  • JetEngine — XSS stored, injeção SQL via queries dinâmicas
  • Frontend Admin Pro — bypass de autenticação documentado
  • ACF Pro — XSS e RCE em versões legadas

wp_options 10 GB — Vetor Duplo

Além de destruir a performance, autoloads maliciosos injetados por plugins são executados em todo request — backdoor persistente invisível.

PHP Dinâmico Exposto à Internet

Um arquivo PHP malicioso enviado via plugin ou upload compromete o servidor inteiro. Sem sandbox, sem isolamento.

Sem Isolamento de Serviços

Brecha em qualquer um dos 32 plugins acessa o mesmo banco, os mesmos arquivos, o mesmo servidor. Tudo ou nada.

Sessions PHP = Sequestro de Sessão

Sessões no banco são vulneráveis a session fixation e hijacking — crítico para plataforma de saúde pública com dados de usuários.

MySQL Sem RLS — LGPD Exposta

Qualquer vazamento de credencial expõe dados de todos os 31.552 práticas e usuários cadastrados. Sem isolamento nativo por usuário.

ventila.digital
05 / "Por que não usar Drupal?"

Drupalgeddon: 3 Crises Globais, EOL em 2025, Devs em Extinção

A "alternativa enterprise" que frequentemente aparece nas reuniões de TI — com dados que precisam estar na mesa.

2014

Drupalgeddon 1 — SQL Injection Crítico

12 milhões de sites expostos. Execução SQL arbitrária por atacante anônimo, sem autenticação. Altamente Crítico.

2018

Drupalgeddon 2 — Remote Code Execution

1 milhão+ de sites vulneráveis. 264 exploits públicos no GitHub. 81% dos comprometidos entregavam cryptominer aos visitantes. Patch exigia ação em horas.

2018

Drupalgeddon 3 — Bypass de Autenticação

Semanas após o anterior. Mesmo vetor, exploração diferente. Comunidade ainda aplicando patches do D2.

2025

4 CVEs Críticos Apenas em 2025

RCE via desserialização, PHP Object Injection, XSS no core, DoS. Vulnerabilidades contínuas a uma taxa de 2–6 por mês em módulos.

EOL

Drupal 7 — Fim de Suporte: 5 Jan 2025

Sites em D7 estão em violação técnica da LGPD — sem patches de segurança. ANPD pode multar até 2% do faturamento.

$$

Migração de Versão: R$ 25K–250K

D7 → D10 custa US$ 5K a US$ 50K e leva 16 a 30 semanas. Drupal não mantém retrocompatibilidade — cada versão é uma reescrita.

Dev

Escassez Crítica de Desenvolvedores

53% das empresas não encontram devs Drupal qualificados. No DrupalCon 2024: quase ninguém com menos de 3 anos de experiência existia na plateia.

GovCon 2024

O próprio Drupal recomendou Next.js

A conferência oficial de governo apresentou Next.js como solução de frontend para portais governamentais. O monolito "não resolve mais sozinho".

ventila.digital
06 / A Solução

Nova Plataforma IdeiaSUS

Desenvolvida pela Ventila Digital. Já em operação em ambiente de homologação, sincronizando dados reais da Fiocruz.

Frontend

Next.js 14 + TypeScript + Tailwind CSS + GSAP

Server-side rendering, cache nativo, páginas pré-geradas. Interface moderna e acessível.

Em produção

Banco de Dados

PostgreSQL 15 via Supabase com Row Level Security nativo

Queries indexadas, connection pooling, conformidade LGPD nativa. Substitui MySQL + PHP.

Em produção

Infraestrutura

Docker Swarm + JWT stateless + Traefik

Isolamento total entre serviços. Rollback em segundos. Escalabilidade horizontal sem custo.

Em produção

Autenticação

JWT stateless com expiração configurável

Sem sessões no servidor. Elimina sequestro de sessão. Roles em múltiplas camadas: JWT + RLS + API.

Funcionalidades Prontas

Cadastro, login, OTP por email, submissão de práticas, moderação, publicação, busca por taxonomias, área do usuário.

Sincronização de Dados

Sistema automático importando as 31.552 práticas existentes para o novo banco. Rodando agora.

Rodando agora
ventila.digital
07 / Segurança

Comparativo de Segurança

WordPress / Drupal (monolíticos)
  • Dezenas de plugins/módulos — código não auditado
  • PHP dinâmico — execução remota de código possível
  • MySQL/MariaDB sem RLS — sem isolamento de dados
  • Sessions PHP — vulnerável a sequestro de sessão
  • Sem containerização — brecha = comprometimento total
  • LGPD: conformidade básica, sem garantias técnicas
  • Drupal 7 em EOL — violação técnica da LGPD desde jan/2025
Nova Plataforma — Ventila Digital
  • 3 dependências auditadas — 90% menos superfície de ataque
  • TypeScript compilado — sem execução dinâmica de código
  • PostgreSQL + RLS — isolamento nativo por usuário no banco
  • JWT stateless — sem sessão no servidor, sem sequestro
  • Docker — brecha em um serviço não afeta os outros
  • LGPD: RLS nativo + direito ao esquecimento técnico
  • Stack moderna, sem EOL forçado ou migração obrigatória

Row Level Security (RLS): Camada de segurança no nível do banco — mesmo que a aplicação seja comprometida, um usuário jamais acessa dados de outro. Exigido por ISO 27001. Nem WordPress nem Drupal possuem esse mecanismo nativamente.

ventila.digital
08 / Performance

Ganho de 85% em Tempo de Resposta

WordPress atual (IdeiaSUS)1.000 ms
Drupal típico (não otimizado)200–800 ms
Limite aceitável600 ms
Nova plataforma (Next.js)~150 ms

Cache Nativo

Next.js pré-renderiza páginas. Servidor responde sem tocar no banco.

Sem wp_options

Nenhuma tabela de 10 GB carregada a cada request.

Queries Indexadas

PostgreSQL com índices específicos por operação.

Escala Horizontal

Pico de acesso? Réplicas Docker com um comando.

0
% mais rápido
Zero
plugins carregados por request
10x
mais rápido no mobile vs Drupal
ventila.digital
09 / Arquitetura

Como Funciona na Fiocruz

O nginx existente não é substituído. Apenas recebe um bloco de configuração adicional de reverse proxy.

🌐
Internet
Usuários do SUS
⚙️
nginx
Já existe
+ bloco proxy
🐳
Docker Swarm
Novo — 1 instalação
Next.js 14
Frontend · 3001
Node.js Admin
Backend · 3002
PostgreSQL 15
Banco · interno

WordPress continua

Opera normalmente até a virada final. Nenhum risco de indisponibilidade durante a transição.

Dados preservados

MySQL não é alterado. Dados migrados por cópia — sem deletar nada do banco atual.

Rollback garantido

Se necessário, reverter é um único comando Docker + apontar DNS de volta.

ventila.digital
10 / Responsabilidades

O Que Cada Equipe Faz

A carga sobre o TI da Fiocruz é mínima e pontual. Todo o trabalho técnico de deploy é responsabilidade da Ventila Digital.

ventila.digital
11 / Cronograma

~2 Semanas até Produção

O WordPress atual opera normalmente durante todo o processo de migração.

1
Preparação
Docker + nginx configurados pela TI Fiocruz
1 Dia
2
Deploy
Ventila Digital implanta todos os containers via SSH
1 Dia
3
Homologação
Testes funcionais e de segurança com equipe IdeiaSUS
5–10 Dias
4
Produção
Virada do domínio. WordPress em standby por 30 dias.
1 Dia

Risco Zero de Perda

Dados migrados por cópia. Sistema original preservado integralmente até a validação final.

Sem Janela de Manutenção

Os dois sistemas em paralelo. A virada é um redirecionamento de DNS — transparente para o usuário.

Rollback Garantido

Se necessário, reverter para o WordPress é imediato — basta apontar o DNS de volta.

ventila.digital
12 / Visão Estratégica

Uma Infraestrutura para Todos os Projetos Fiocruz

O Docker instalado para o IdeiaSUS se torna a base digital de qualquer iniciativa futura — sem custo adicional de infraestrutura.

Deploy em Minutos, Não Semanas

Novo projeto? Um arquivo de configuração e um comando. Sem provisionamento de servidor do zero.

🔒

Isolamento Total entre Projetos

Cada iniciativa roda em seu próprio container. Um problema em um projeto jamais afeta os outros.

↩️

Rollback Instantâneo

Qualquer atualização pode ser revertida em segundos. Fim das janelas de manutenção críticas.

💰

Zero Custo de Licença

Stack 100% open source. Sem licenças de CMS, sem plugins pagos, sem dependência de fornecedor único.

Exemplos imediatos: Portais de conteúdo · Sistemas de inscrição · Plataformas de cursos · APIs de dados do SUS · Qualquer iniciativa digital da Fiocruz

ventila.digital
13 / Comparativo Final

WordPress vs Drupal vs Nova Plataforma

Critério WordPress Atual Drupal Nova Plataforma
Tempo de resposta 1.000 ms 200–800 ms <150 ms
Cache Nenhum Parcial (Varnish, pago) Nativo (Next.js)
Superfície de ataque 32 plugins Centenas de módulos 3 dependências auditadas
Segurança ativa CVEs 2024/25 em plugins 4 CVEs críticos em 2025 Arquitetura reduz vetores
Suporte / EOL WP 6.9 ativo D7 EOL jan/2025 (LGPD!) Stack moderna, sem EOL
LGPD — RLS nativo Não Não PostgreSQL RLS nativo
Isolamento de serviços Nenhum Nenhum Docker containers
Migração de versão WP é mais simples US$ 5K–50K / 16–30 sem. Atualizações incrementais
Disponibilidade de devs Moderada Escassez crítica (53%) React: maior pool do mercado
Custo de hosting Plugins pagos Acquia: US$1.5K–10K/mês Open source, VPS próprio
Vendor lock-in Plugins WP Acquia / Pantheon Nenhum (open standards)
Escalabilidade Manual e cara Complexa e cara Horizontal / grátis
ventila.digital
Próximos Passos

A plataforma está pronta.
Quando começamos?

O trabalho da TI Fiocruz resume-se a 4 comandos e liberação de acesso SSH. Todo o resto é com a Ventila Digital.

~2
semanas até produção
0
risco de perda de dados
85%
ganho de performance
90%
menos superfície de ataque
Ventila Digital

conecte@ventiladigital.com.br

Abril de 2026

ventila.digital