Conformidade com o Termo de Referência

Hoje consumimos diretamente o dataset SIGEFES via dados.es.gov.br (Portal de Dados Abertos do ES) — padrão Prodest. Para o DOM-ES usamos IOES (apifront público). Para PNCP usamos a API federal. **Compromisso da PoC:** integrar com qualquer barramento Prodest (XML-SOAP ou REST OAuth2) com fallback automático para a coleta pública — sem perda de funcionalidade durante janelas de indisponibilidade.

Todas as respostas da API são JSON UTF-8. Schema OpenAPI 3 publicado em /docs. Permalinks imutáveis em /p/{hash} (citáveis em peças jurídicas).

ETL diário via LaunchAgent (cron 23h) com idempotência por chave primária. Snapshot semanal completo. Retomada automática de scan PNCP/DOM via tabela de estado (pncp_scan_state).

Art. 7º, III (cumprimento de obrigação legal — Lei 12.527/2011 LAI) + Art. 7º, IV (políticas públicas previstas em lei). Detalhes em docs/LGPD-COMPLIANCE.md.

CPFs de PF são mascarados no backend antes de sair da API (***.XXX.XXX-**). CNPJs de PJ permanecem públicos (publicidade prevista na Lei 14.133/2021).

Sem cadastro. Sem cookies de tracking. Sem analytics que coletem IP. Logs server-side rotacionados sem identificadores pessoais.

Canal de Ouvidoria SECONT designado para pedidos LGPD. Procedimento documentado em docs/LGPD-COMPLIANCE.md §6.

Lighthouse Accessibility: 100/100 em /, /achados, /risco e /empenho/21607 (4 rotas críticas, ver scripts/qa/lighthouse_gate.sh). Lighthouse cobre cerca de 30% dos critérios WCAG 2.1 AA — automaticamente verificáveis: contraste 4.5:1, role landmarks, alt em ícones, focus visible, navegação por teclado básica. Critérios remanescentes (compreensibilidade do texto, ordem de leitura em layouts complexos, comportamento de leitores de tela, uso semântico de cabeçalhos) exigem auditoria manual por especialista — prevista no marco M2.4 do Plano de Teste PoC.

Componente <FundamentoLegal /> traduz 40+ citações da Lei 14.133, 8.666, 13.303 para PT-BR sem jargão. Glossário em /glossario. Tutorial em /como-usar.

Layout responsivo Tailwind. Sem login obrigatório.

Next.js + FastAPI + DuckDB embarcado. docker-compose.prod.yml provisiona em qualquer servidor Linux. Sem dependências SaaS pagas (Cloudflare Tunnel é opcional).

Algoritmos determinísticos com pesos públicos (não ML opaco). LLM local (Ollama qwen2.5:14b) para inferência — rotulada explicitamente como não-oficial. Repositório git auditável.

Snapshot diário do warehouse DuckDB (10 GB) replicado para SSD externo. Permalinks em /p/{hash} citáveis em peça jurídica permanecem válidos.

Cloudflare Tunnel termina TLS 1.3. HSTS max-age 1 ano.

X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin. Verificável via securityheaders.com.

Pydantic v2 em todos os endpoints. Pagination ≤ 100. Query parameters tipados. Zero SQL injection risk (DuckDB parametrizado).

Cloudflare Tunnel oferece DDoS L3/L4 de fábrica. Rate limit aplicativo a implementar na PoC (~30 req/min por IP).

docs/PLANO-TESTE-POC.md com cinco marcos (M1-M5), critérios de aceite por KPI, plano de recrutamento de testadores, instrumentos SUS-10 + UMUX-Lite-2.

Infraestrutura completa em produção: formulário público em /usabilidade (sem cadastro, sem PII), POST /api/feedback/sus persistindo em DuckDB, dashboard admin protegido por X-Admin-Key, export.csv. Anexo VI auto-gerado por scripts/qa/usabilidade_export.py. Coleta com cidadãos reais em andamento — alvo mínimo 5 respondentes antes da submissão (11/06/2026). Plano de recrutamento e mensagens prontas em docs/RECRUTAMENTO-USABILIDADE.md.

CPSI-PITCH.md §5 mapeia cada indicador para uma rota verificável.

5.111 de 7.800 dispensas/inexig com fundamento legal completo via cascata SIGEFES→PNCP→DOM-ES IA. Detalhes verificáveis em DATA-QUALITY-REPORT.md e METRICS-SNAPSHOT.md.