> ## Documentation Index
> Fetch the complete documentation index at: https://docs.buildzero.ai/llms.txt
> Use this file to discover all available pages before exploring further.

# Segurança

> Mecanismos de segurança do sistema

# Segurança

## Token Vault

Tokens sensíveis nunca aparecem nas respostas da IA. O sistema intercepta padrões conhecidos e substitui por referências opacas:

| Padrão     | Exemplo                        | Substituição    |
| ---------- | ------------------------------ | --------------- |
| `b0_tok_*` | Tokens de conta BuildZero      | `[TOKEN_REF_0]` |
| `EAA*`     | Access tokens do Meta/Facebook | `[TOKEN_REF_1]` |

Os tokens reais só são resolvidos no momento da entrega final da mensagem ao Telegram, depois que a IA já terminou de processar.

## Autenticação entre serviços

* **QStash HMAC-JWT** em todas as mensagens do event bus — cada serviço verifica a assinatura
* **Session tokens JWT** com expiração de 5 minutos — emitidos pelo gate, validados pelo AI Worker
* **SERVICE\_TOKEN** compartilhado entre serviços para chamadas internas

## API Keys

* Prefixo `b0_k_` para identificação visual
* Armazenadas como hash SHA-256 (nunca em texto plano)
* CRUD completo: criar, listar, revogar
* Validação unificada: o sistema aceita JWT ou API key no mesmo endpoint

## Credenciais Meta Ads

* Tokens do Meta são trocados por versão de longa duração (60 dias) no momento da conexão
* Armazenados no banco de dados por usuário
* Mascarados via Token Vault durante processamento
