diff --git a/apps/web/src/hooks.server.ts b/apps/web/src/hooks.server.ts
index a04f98e..d9ee317 100644
--- a/apps/web/src/hooks.server.ts
+++ b/apps/web/src/hooks.server.ts
@@ -6,6 +6,92 @@ import { api } from '@sgse-app/backend/convex/_generated/api';
 export const handle: Handle = async ({ event, resolve }) => {
 	event.locals.token = await getToken(createAuth, event.cookies);
 
+	// Enforcement para endpoints sensíveis (antes de chegar nas rotas)
+	// - Foco: /api/auth/* (login, logout, etc.)
+	// - Aplica blacklist + rate limit configuráveis via Convex
+	const pathname = event.url.pathname;
+	if (pathname.startsWith('/api/auth/')) {
+		const token = event.locals.token;
+		const client = createConvexHttpClient({ token: token || undefined });
+
+		// Preferir X-Forwarded-For quando existir (proxy), senão fallback do adapter
+		const forwardedFor = event.request.headers.get('x-forwarded-for');
+		const ip =
+			forwardedFor?.split(',')[0]?.trim() ||
+			event.request.headers.get('x-real-ip') ||
+			event.getClientAddress();
+
+		try {
+			// 1) Enforcement básico (blacklist + rate limit)
+			const enforcement = await client.mutation(api.security.enforceRequest, {
+				ip,
+				path: pathname,
+				method: event.request.method
+			});
+
+			if (!enforcement.allowed) {
+				const headers = new Headers({ 'Content-Type': 'application/json' });
+				if (enforcement.retryAfterMs) {
+					headers.set('Retry-After', String(Math.ceil(enforcement.retryAfterMs / 1000)));
+				}
+				return new Response(JSON.stringify(enforcement), { status: enforcement.status, headers });
+			}
+
+			// 2) Análise de ataques e bloqueio automático
+			// Extrair dados da requisição para análise
+			const headers: Record<string, string> = {};
+			event.request.headers.forEach((value, key) => {
+				headers[key] = value;
+			});
+
+			const queryParams: Record<string, string> = {};
+			event.url.searchParams.forEach((value, key) => {
+				queryParams[key] = value;
+			});
+
+			let body: string | undefined;
+			try {
+				// Tentar ler body apenas se for POST/PUT/PATCH
+				if (['POST', 'PUT', 'PATCH'].includes(event.request.method)) {
+					const clonedRequest = event.request.clone();
+					body = await clonedRequest.text();
+				}
+			} catch {
+				// Ignorar erros ao ler body
+			}
+
+			const analise = await client.mutation(api.security.analisarRequisicaoHTTP, {
+				url: pathname + event.url.search,
+				method: event.request.method,
+				headers,
+				body,
+				queryParams,
+				ipOrigem: ip,
+				userAgent: event.request.headers.get('user-agent') ?? undefined
+			});
+
+			// Se ataque detectado e bloqueio automático aplicado, retornar 403
+			if (analise.ataqueDetectado && analise.bloqueadoAutomatico) {
+				return new Response(
+					JSON.stringify({
+						error: 'Acesso negado',
+						reason: 'ataque_detectado',
+						tipoAtaque: analise.tipoAtaque,
+						severidade: analise.severidade
+					}),
+					{
+						status: 403,
+						headers: { 'Content-Type': 'application/json' }
+					}
+				);
+			}
+		} catch (err) {
+			// Se o enforcement falhar, não bloquear login (fail-open),
+			// mas registrar erro para observabilidade via handleError (se ocorrer)
+			console.error('❌ Falha no enforcement de segurança:', err);
+		}
+	}
+
 	return resolve(event);
 };
 
diff --git a/apps/web/src/lib/components/call/CallWindow.svelte b/apps/web/src/lib/components/call/CallWindow.svelte
index b68873a..2e8f744 100644
--- a/apps/web/src/lib/components/call/CallWindow.svelte
+++ b/apps/web/src/lib/components/call/CallWindow.svelte
@@ -363,10 +363,51 @@
 		}
 
 		try {
-			const config = configJitsi();
+			const config = configJitsi;
+			if (!config) {
+				handleError(
+					'Configuração Jitsi não encontrada',
+					'Não foi possível obter a configuração do Jitsi. Verifique as configurações no painel de administração.'
+				);
+				return;
+			}
 			const { host, porta } = obterHostEPorta(config.domain);
 			const protocol = config.useHttps ? 'https' : 'http';
 
+			// Buscar token JWT se configurado
+			let jwtToken: string | null = null;
+			try {
+				const tokenResult = await client.action(api.configuracaoJitsi.gerarTokenJitsi, {
+					roomName,
+					conversaId,
+					chamadaId,
+					ambiente: config.ambiente || undefined
+				});
+
+				if (tokenResult.sucesso) {
+					jwtToken = tokenResult.token;
+					console.log('✅ Token JWT gerado com sucesso');
+				} else {
+					console.warn('⚠️ Não foi possível gerar token JWT:', tokenResult.erro);
+					// Se JWT está configurado mas falhou, mostrar erro
+					if (tokenResult.erro?.includes('JWT Secret não configurado')) {
+						// JWT não está configurado, continuar sem token
+						console.log('ℹ️ JWT não configurado, continuando sem autenticação');
+					} else {
+						// Outro erro (permissão, etc.)
+						handleError(
+							'Erro ao gerar token de autenticação',
+							`Não foi possível gerar o token de autenticação: ${tokenResult.erro}. Verifique as configurações do Jitsi.`
+						);
+						return;
+					}
+				}
+			} catch (error: unknown) {
+				const errorMessage = error instanceof Error ? error.message : String(error);
+				console.warn('⚠️ Erro ao buscar token JWT (continuando sem token):', errorMessage);
+				// Continuar sem token se não for crítico
+			}
+
 			// Configuração conforme documentação oficial do Jitsi Meet
 			// https://jitsi.github.io/handbook/docs/dev-guide/dev-guide-ljm-api/
 			const baseUrl = `${protocol}://${host}${porta && porta !== (config.useHttps ? 443 : 80) ? `:${porta}` : ''}`;
@@ -415,10 +456,17 @@
 				baseUrl,
 				serviceUrl: options.serviceUrl,
 				muc: options.hosts?.muc,
-				focus: options.hosts?.focus
+				focus: options.hosts?.focus,
+				usandoJWT: jwtToken !== null
 			});
 
-			const connection = new JitsiMeetJS.JitsiConnection(null, null, options);
+			// Criar conexão com token JWT (se disponível)
+			// Segundo parâmetro é o token JWT, primeiro é appId (pode ser null se usar token)
+			const connection = new JitsiMeetJS.JitsiConnection(
+				jwtToken ? null : config.appId, // App ID (null se usar token)
+				jwtToken, // Token JWT
+				options
+			);
 			jitsiConnection = connection;
 			setJitsiApi(connection);
 
@@ -477,6 +525,54 @@
 					atualizarStatusConexao(false);
 
 					const errorMsg = error instanceof Error ? error.message : String(error);
+					const errorStr = String(error).toLowerCase();
+
+					// Verificar se é erro relacionado a JWT
+					const isJWTError =
+						errorStr.includes('jwt') ||
+						errorStr.includes('token') ||
+						errorStr.includes('authentication') ||
+						errorStr.includes('unauthorized') ||
+						errorStr.includes('forbidden') ||
+						errorMsg.includes('401') ||
+						errorMsg.includes('403');
+
+					if (isJWTError) {
+						reconectando = false;
+						handleError(
+							'Erro de autenticação JWT',
+							`Falha na autenticação com o servidor Jitsi. Isso pode ocorrer se:\n\n` +
+								`• O token JWT está expirado ou inválido\n` +
+								`• O JWT Secret está incorreto nas configurações\n` +
+								`• Você não tem permissão para acessar esta sala\n\n` +
+								`Verifique as configurações do Jitsi no painel de administração.\n\nErro: ${errorMsg}`,
+							false
+						);
+						return;
+					}
+
+					// Verificar se é erro de servidor inacessível
+					const isServerError =
+						errorStr.includes('network') ||
+						errorStr.includes('timeout') ||
+						errorStr.includes('connection refused') ||
+						errorStr.includes('dns') ||
+						errorMsg.includes('ECONNREFUSED') ||
+						errorMsg.includes('ENOTFOUND');
+
+					if (isServerError) {
+						reconectando = false;
+						handleError(
+							'Servidor Jitsi inacessível',
+							`Não foi possível conectar ao servidor Jitsi. Verifique:\n\n` +
+								`• Se o domínio está correto nas configurações\n` +
+								`• Se o servidor está online e acessível\n` +
+								`• Se há problemas de firewall ou rede\n\n` +
+								`Erro: ${errorMsg}`,
+							false
+						);
+						return;
+					}
 
 					// Tentar reconectar se ainda houver tentativas
 					if (tentativasReconexao < MAX_TENTATIVAS_RECONEXAO) {
diff --git a/apps/web/src/lib/components/chat/ChatWindow.svelte b/apps/web/src/lib/components/chat/ChatWindow.svelte
index df1108f..1df41c9 100644
--- a/apps/web/src/lib/components/chat/ChatWindow.svelte
+++ b/apps/web/src/lib/components/chat/ChatWindow.svelte
@@ -171,6 +171,24 @@
 			return;
 		}
 
+		// Verificar se Jitsi está configurado
+		try {
+			const configJitsi = await client.query(api.configuracaoJitsi.obterConfigJitsi, {});
+			if (!configJitsi || !configJitsi.ativo) {
+				errorTitle = 'Jitsi não configurado';
+				errorMessage =
+					'O sistema de videochamadas não está configurado. Entre em contato com o administrador do sistema para configurar o Jitsi.';
+				errorInstructions =
+					'Um administrador precisa configurar o servidor Jitsi no painel de administração antes que as chamadas possam ser iniciadas.';
+				errorDetails = undefined;
+				showErrorModal = true;
+				return;
+			}
+		} catch (error: unknown) {
+			console.error('Erro ao verificar configuração Jitsi:', error);
+			// Continuar mesmo se houver erro na verificação (pode ser problema temporário)
+		}
+
 		try {
 			iniciandoChamada = true;
 			const chamadaId = await client.mutation(api.chamadas.criarChamada, {
diff --git a/apps/web/src/lib/components/ti/AttackCapabilitiesSection.svelte b/apps/web/src/lib/components/ti/AttackCapabilitiesSection.svelte
new file mode 100644
index 0000000..c64f4d3
--- /dev/null
+++ b/apps/web/src/lib/components/ti/AttackCapabilitiesSection.svelte
@@ -0,0 +1,152 @@
+<script lang="ts">
+	import { attackCapabilities, getCapabilitiesByGroup, getCapabilityStats } from '$lib/data/attackCapabilities';
+	import { Shield, Zap, AlertTriangle, Info } from 'lucide-svelte';
+	import AttackDetailsModal from './AttackDetailsModal.svelte';
+	import type { AtaqueCiberneticoTipo } from '@sgse-app/backend/convex/tables/security';
+
+	let modalAberto = $state(false);
+	let tipoSelecionado = $state<AtaqueCiberneticoTipo | null>(null);
+
+	const stats = getCapabilityStats();
+
+	const grupos = [
+		{ id: 'injection', nome: 'Injeção', cor: 'bg-error/20 border-error' },
+		{ id: 'volume', nome: 'Volume', cor: 'bg-warning/20 border-warning' },
+		{ id: 'advanced', nome: 'Avançado', cor: 'bg-error/20 border-error' },
+		{ id: 'social', nome: 'Social', cor: 'bg-info/20 border-info' },
+		{ id: 'infrastructure', nome: 'Infraestrutura', cor: 'bg-secondary/20 border-secondary' },
+		{ id: 'malware', nome: 'Malware', cor: 'bg-accent/20 border-accent' }
+	];
+
+	function abrirModal(tipo: AtaqueCiberneticoTipo) {
+		tipoSelecionado = tipo;
+		modalAberto = true;
+	}
+
+	function fecharModal() {
+		modalAberto = false;
+		tipoSelecionado = null;
+	}
+
+	const severidadeColors: Record<string, string> = {
+		informativo: 'badge-info',
+		baixo: 'badge-success',
+		moderado: 'badge-warning',
+		alto: 'badge-error',
+		critico: 'badge-error'
+	};
+
+	const severidadeLabels: Record<string, string> = {
+		informativo: 'Informativo',
+		baixo: 'Baixo',
+		moderado: 'Moderado',
+		alto: 'Alto',
+		critico: 'Crítico'
+	};
+</script>
+
+<div class="space-y-6">
+	<!-- Estatísticas Gerais -->
+	<div class="grid grid-cols-1 md:grid-cols-3 gap-4">
+		<div class="stat bg-base-200 rounded-lg shadow">
+			<div class="stat-figure text-primary">
+				<Shield class="h-8 w-8" />
+			</div>
+			<div class="stat-title">Total de Tipos</div>
+			<div class="stat-value text-2xl">{stats.total}</div>
+			<div class="stat-desc">Tipos de ataques monitorados</div>
+		</div>
+
+		<div class="stat bg-base-200 rounded-lg shadow">
+			<div class="stat-figure text-success">
+				<Zap class="h-8 w-8" />
+			</div>
+			<div class="stat-title">Com Bloqueio Automático</div>
+			<div class="stat-value text-2xl">{stats.withAutoBlock}</div>
+			<div class="stat-desc">Tipos com mitigação ativa</div>
+		</div>
+
+		<div class="stat bg-base-200 rounded-lg shadow">
+			<div class="stat-figure text-warning">
+				<AlertTriangle class="h-8 w-8" />
+			</div>
+			<div class="stat-title">Taxa de Cobertura</div>
+			<div class="stat-value text-2xl">
+				{Math.round((stats.withAutoBlock / stats.total) * 100)}%
+			</div>
+			<div class="stat-desc">Cobertura de mitigação ativa</div>
+		</div>
+	</div>
+
+	<!-- Cards por Grupo -->
+	<div class="space-y-4">
+		<h3 class="text-xl font-bold">Capacidades por Grupo de Ataque</h3>
+
+		{#each grupos as grupo}
+			{@const capabilities = getCapabilitiesByGroup(grupo.id as any)}
+			<div class="card bg-base-100 border-2 {grupo.cor} shadow-lg">
+				<div class="card-body">
+					<h4 class="card-title text-lg">{grupo.nome}</h4>
+					<p class="text-sm text-base-content/70 mb-4">
+						{capabilities.length} tipo{capabilities.length !== 1 ? 's' : ''} de ataque
+					</p>
+
+					<div class="grid grid-cols-1 md:grid-cols-2 lg:grid-cols-3 gap-3">
+						{#each capabilities as cap}
+							<div
+								class="card bg-base-200 border border-base-300 hover:border-primary cursor-pointer transition-all"
+								onclick={() => abrirModal(cap.tipo)}
+							>
+								<div class="card-body p-4">
+									<div class="flex items-start justify-between mb-2">
+										<h5 class="font-semibold text-sm">{cap.nome}</h5>
+										<button
+											type="button"
+											class="btn btn-ghost btn-xs btn-circle p-0 h-5 w-5 min-h-0"
+											onclick={(e) => {
+												e.stopPropagation();
+												abrirModal(cap.tipo);
+											}}
+										>
+											<Info class="h-3 w-3" />
+										</button>
+									</div>
+
+									<div class="flex flex-wrap gap-1 mb-2">
+										<span class={`badge badge-xs ${severidadeColors[cap.severidadePadrao]}`}>
+											{severidadeLabels[cap.severidadePadrao]}
+										</span>
+										{#if cap.deteccao.tempoReal}
+											<span class="badge badge-xs badge-success">Tempo Real</span>
+										{/if}
+									</div>
+
+									<div class="flex flex-wrap gap-1">
+										{#if cap.acoes.bloqueioAutomatico}
+											<span class="badge badge-xs badge-error">🔒</span>
+										{/if}
+										{#if cap.acoes.blacklist}
+											<span class="badge badge-xs badge-warning">📋</span>
+										{/if}
+										{#if cap.acoes.rateLimit}
+											<span class="badge badge-xs badge-info">⚡</span>
+										{/if}
+										{#if cap.acoes.alerta}
+											<span class="badge badge-xs badge-secondary">📢</span>
+										{/if}
+									</div>
+
+									<p class="text-xs text-base-content/60 mt-2 line-clamp-2">
+										{cap.descricao}
+									</p>
+								</div>
+							</div>
+						{/each}
+					</div>
+				</div>
+			</div>
+		{/each}
+	</div>
+</div>
+
+<AttackDetailsModal tipo={tipoSelecionado} aberto={modalAberto} onClose={fecharModal} />
diff --git a/apps/web/src/lib/components/ti/AttackDetailsModal.svelte b/apps/web/src/lib/components/ti/AttackDetailsModal.svelte
new file mode 100644
index 0000000..bd315a3
--- /dev/null
+++ b/apps/web/src/lib/components/ti/AttackDetailsModal.svelte
@@ -0,0 +1,187 @@
+<script lang="ts">
+	import type { AtaqueCiberneticoTipo } from '@sgse-app/backend/convex/tables/security';
+	import { attackCapabilities } from '$lib/data/attackCapabilities';
+	import { X, Shield, AlertTriangle, Zap, Bell, FileText } from 'lucide-svelte';
+
+	interface Props {
+		tipo: AtaqueCiberneticoTipo | null;
+		aberto: boolean;
+		onClose: () => void;
+	}
+
+	let { tipo, aberto, onClose }: Props = $props();
+
+	const capability = $derived.by(() => (tipo ? attackCapabilities[tipo] : null));
+
+	const grupoLabels: Record<string, string> = {
+		injection: 'Injeção',
+		volume: 'Volume',
+		advanced: 'Avançado',
+		social: 'Social',
+		infrastructure: 'Infraestrutura',
+		malware: 'Malware'
+	};
+
+	const metodoLabels: Record<string, string> = {
+		pattern: 'Padrão',
+		behavioral: 'Comportamental',
+		signature: 'Assinatura',
+		ml: 'Machine Learning'
+	};
+
+	const precisaoLabels: Record<string, string> = {
+		alta: 'Alta',
+		media: 'Média',
+		baixa: 'Baixa'
+	};
+
+	const severidadeLabels: Record<string, string> = {
+		informativo: 'Informativo',
+		baixo: 'Baixo',
+		moderado: 'Moderado',
+		alto: 'Alto',
+		critico: 'Crítico'
+	};
+
+	const severidadeColors: Record<string, string> = {
+		informativo: 'badge-info',
+		baixo: 'badge-success',
+		moderado: 'badge-warning',
+		alto: 'badge-error',
+		critico: 'badge-error'
+	};
+</script>
+
+{#if aberto && capability}
+	<div class="modal modal-open">
+		<div class="modal-box max-w-3xl">
+			<div class="flex items-center justify-between mb-4">
+				<h3 class="text-2xl font-bold">{capability.nome}</h3>
+				<button type="button" class="btn btn-sm btn-circle btn-ghost" onclick={onClose}>
+					<X class="h-5 w-5" />
+				</button>
+			</div>
+
+			<div class="space-y-4">
+				<!-- Informações Gerais -->
+				<div class="card bg-base-200">
+					<div class="card-body p-4">
+						<h4 class="font-semibold mb-2">Informações Gerais</h4>
+						<div class="flex flex-wrap gap-2">
+							<span class="badge badge-outline badge-lg">{grupoLabels[capability.grupo]}</span>
+							<span class={`badge badge-lg ${severidadeColors[capability.severidadePadrao]}`}>
+								{severidadeLabels[capability.severidadePadrao]}
+							</span>
+						</div>
+						<p class="text-sm mt-2 text-base-content/80">{capability.descricao}</p>
+					</div>
+				</div>
+
+				<!-- Detecção -->
+				<div class="card bg-base-200">
+					<div class="card-body p-4">
+						<h4 class="font-semibold mb-2 flex items-center gap-2">
+							<Shield class="h-4 w-4" />
+							Capacidades de Detecção
+						</h4>
+						<div class="grid grid-cols-2 gap-2 text-sm">
+							<div>
+								<span class="font-medium">Método:</span>{' '}
+								{metodoLabels[capability.deteccao.metodo]}
+							</div>
+							<div>
+								<span class="font-medium">Precisão:</span>{' '}
+								<span class="badge badge-sm">{precisaoLabels[capability.deteccao.precisao]}</span>
+							</div>
+							<div>
+								<span class="font-medium">Tempo Real:</span>{' '}
+								{#if capability.deteccao.tempoReal}
+									<span class="badge badge-success badge-sm">Sim</span>
+								{:else}
+									<span class="badge badge-ghost badge-sm">Não</span>
+								{/if}
+							</div>
+						</div>
+					</div>
+				</div>
+
+				<!-- Ações Disponíveis -->
+				<div class="card bg-base-200">
+					<div class="card-body p-4">
+						<h4 class="font-semibold mb-2 flex items-center gap-2">
+							<Zap class="h-4 w-4" />
+							Ações Disponíveis
+						</h4>
+						<div class="flex flex-wrap gap-2">
+							{#if capability.acoes.bloqueioAutomatico}
+								<div class="badge badge-error gap-1">
+									<Shield class="h-3 w-3" />
+									Bloqueio Automático
+								</div>
+							{/if}
+							{#if capability.acoes.blacklist}
+								<div class="badge badge-warning gap-1">
+									<AlertTriangle class="h-3 w-3" />
+									Blacklist
+								</div>
+							{/if}
+							{#if capability.acoes.rateLimit}
+								<div class="badge badge-info gap-1">
+									<Zap class="h-3 w-3" />
+									Rate Limit
+								</div>
+							{/if}
+							{#if capability.acoes.alerta}
+								<div class="badge badge-secondary gap-1">
+									<Bell class="h-3 w-3" />
+									Alerta
+								</div>
+							{/if}
+							{#if capability.acoes.registro}
+								<div class="badge badge-ghost gap-1">
+									<FileText class="h-3 w-3" />
+									Registro
+								</div>
+							{/if}
+						</div>
+					</div>
+				</div>
+
+				<!-- Exemplos -->
+				{#if capability.exemplos.length > 0}
+					<div class="card bg-base-200">
+						<div class="card-body p-4">
+							<h4 class="font-semibold mb-2">Exemplos de Ataques</h4>
+							<ul class="list-disc list-inside space-y-1 text-sm">
+								{#each capability.exemplos as exemplo}
+									<li class="font-mono text-xs bg-base-300 p-2 rounded">{exemplo}</li>
+								{/each}
+							</ul>
+						</div>
+					</div>
+				{/if}
+
+				<!-- Mitigações -->
+				{#if capability.mitigacoes.length > 0}
+					<div class="card bg-base-200">
+						<div class="card-body p-4">
+							<h4 class="font-semibold mb-2">Estratégias de Mitigação</h4>
+							<ul class="list-disc list-inside space-y-1 text-sm">
+								{#each capability.mitigacoes as mitigacao}
+									<li>{mitigacao}</li>
+								{/each}
+							</ul>
+						</div>
+					</div>
+				{/if}
+			</div>
+
+			<div class="modal-action">
+				<button type="button" class="btn" onclick={onClose}>
+					Fechar
+				</button>
+			</div>
+		</div>
+		<div class="modal-backdrop" onclick={onClose}></div>
+	</div>
+{/if}
diff --git a/apps/web/src/lib/components/ti/AttackTypeTooltip.svelte b/apps/web/src/lib/components/ti/AttackTypeTooltip.svelte
new file mode 100644
index 0000000..e32462b
--- /dev/null
+++ b/apps/web/src/lib/components/ti/AttackTypeTooltip.svelte
@@ -0,0 +1,80 @@
+<script lang="ts">
+	import type { AtaqueCiberneticoTipo } from '@sgse-app/backend/convex/tables/security';
+	import { attackCapabilities } from '$lib/data/attackCapabilities';
+	import { Info } from 'lucide-svelte';
+
+	interface Props {
+		tipo: AtaqueCiberneticoTipo;
+	}
+
+	let { tipo }: Props = $props();
+
+	const capability = attackCapabilities[tipo];
+	if (!capability) {
+		return;
+	}
+
+	const grupoLabels: Record<string, string> = {
+		injection: 'Injeção',
+		volume: 'Volume',
+		advanced: 'Avançado',
+		social: 'Social',
+		infrastructure: 'Infraestrutura',
+		malware: 'Malware'
+	};
+
+	const metodoLabels: Record<string, string> = {
+		pattern: 'Padrão',
+		behavioral: 'Comportamental',
+		signature: 'Assinatura',
+		ml: 'Machine Learning'
+	};
+
+	const precisaoLabels: Record<string, string> = {
+		alta: 'Alta',
+		media: 'Média',
+		baixa: 'Baixa'
+	};
+</script>
+
+<div class="tooltip tooltip-top" data-tip={capability.descricao}>
+	<button
+		type="button"
+		class="btn btn-ghost btn-xs btn-circle p-0 h-5 w-5 min-h-0"
+		title="Ver detalhes do ataque"
+	>
+		<Info class="h-3 w-3" />
+	</button>
+</div>
+
+<div class="tooltip-content hidden">
+	<div class="card bg-base-100 shadow-xl border border-base-300 p-4 max-w-md">
+		<div class="card-body p-0 gap-2">
+			<h3 class="card-title text-base">{capability.nome}</h3>
+			<div class="flex flex-wrap gap-2 text-xs">
+				<span class="badge badge-outline">{grupoLabels[capability.grupo]}</span>
+				<span class="badge badge-outline">
+					{metodoLabels[capability.deteccao.metodo]} ({precisaoLabels[capability.deteccao.precisao]})
+				</span>
+				{#if capability.deteccao.tempoReal}
+					<span class="badge badge-success">Tempo Real</span>
+				{/if}
+			</div>
+			<p class="text-sm text-base-content/80">{capability.descricao}</p>
+			<div class="flex flex-wrap gap-1 mt-2">
+				{#if capability.acoes.bloqueioAutomatico}
+					<span class="badge badge-error badge-sm">🔒 Bloqueio</span>
+				{/if}
+				{#if capability.acoes.blacklist}
+					<span class="badge badge-warning badge-sm">📋 Blacklist</span>
+				{/if}
+				{#if capability.acoes.rateLimit}
+					<span class="badge badge-info badge-sm">⚡ Rate Limit</span>
+				{/if}
+				{#if capability.acoes.alerta}
+					<span class="badge badge-secondary badge-sm">📢 Alerta</span>
+				{/if}
+			</div>
+		</div>
+	</div>
+</div>
diff --git a/apps/web/src/lib/components/ti/CybersecurityWizcard.svelte b/apps/web/src/lib/components/ti/CybersecurityWizcard.svelte
index 96b8871..beec942 100644
--- a/apps/web/src/lib/components/ti/CybersecurityWizcard.svelte
+++ b/apps/web/src/lib/components/ti/CybersecurityWizcard.svelte
@@ -10,6 +10,10 @@
 	import autoTable from 'jspdf-autotable';
 	import { browser } from '$app/environment';
 	import { authStore } from '$lib/stores/auth.svelte';
+	import AttackDetailsModal from './AttackDetailsModal.svelte';
+	import AttackCapabilitiesSection from './AttackCapabilitiesSection.svelte';
+	import { attackCapabilities } from '$lib/data/attackCapabilities';
+	import { Info } from 'lucide-svelte';
 
 	const client = useConvexClient();
 	const visaoCamadas = useQuery(api.security.obterVisaoCamadas, {
@@ -136,8 +140,7 @@
 				severidadeMin: alertSeveridadeMin,
 				tiposAtaque: alertTiposAtaque as AtaqueCiberneticoTipo[],
 				reenvioMin: alertReenvioMin,
-				templateCodigo: alertTemplate, // Incluir template selecionado
-				criadoPor: obterUsuarioId()
+				templateCodigo: alertTemplate // Incluir template selecionado
 			});
 			feedback = {
 				tipo: 'success',
@@ -226,7 +229,6 @@
 		xxe: 'XXE',
 		man_in_the_middle: 'MITM',
 		ddos: 'DDoS',
-		engenharia_social: 'Engenharia Social',
 		cve_exploit: 'Exploração de CVE',
 		apt: 'APT',
 		zero_day: 'Zero-Day',
@@ -276,6 +278,13 @@
 	let feedback = $state<{ tipo: 'success' | 'error'; mensagem: string } | null>(null);
 	let ultimaReferenciaCritica: Id<'securityEvents'> | null = null;
 	let audioCtx: AudioContext | null = null;
+	let confirmDialog: HTMLDialogElement | null = null;
+	let confirmTitulo = $state('Confirmar ação');
+	let confirmMensagem = $state('');
+	let confirmConfirmarLabel = $state('Confirmar');
+	let confirmCancelLabel = $state('Cancelar');
+	let confirmBusy = $state(false);
+	let confirmAcao = $state<null | (() => Promise<void>)>(null);
 
 	// Rate Limiting
 	let mostrarRateLimitConfig = $state(false);
@@ -293,6 +302,113 @@
 	let rateLimitNotas = $state('');
 	let rateLimitEditando = $state<Id<'rateLimitConfig'> | null>(null);
 
+	// Bloqueio Automático
+	let mostrarAutoBlockConfig = $state(false);
+	let autoBlockTipoAtaque = $state<AtaqueCiberneticoTipo>('sql_injection');
+	let autoBlockBloquearAutomatico = $state(true);
+	let autoBlockSeveridadeMinima = $state<SeveridadeSeguranca>('alto');
+	let autoBlockDuracaoSegundos = $state<number | undefined>(undefined);
+	let autoBlockAtivo = $state(true);
+	let autoBlockEditando = $state<Id<'autoBlockConfig'> | null>(null);
+
+	async function salvarAutoBlockConfig() {
+		try {
+			if (autoBlockEditando) {
+				await client.mutation(api.security.atualizarAutoBlockConfig, {
+					configId: autoBlockEditando,
+					bloquearAutomatico: autoBlockBloquearAutomatico,
+					severidadeMinima: autoBlockSeveridadeMinima,
+					duracaoBloqueioSegundos: autoBlockDuracaoSegundos,
+					ativo: autoBlockAtivo
+				});
+				feedback = { tipo: 'success', mensagem: 'Configuração atualizada com sucesso.' };
+			} else {
+				await client.mutation(api.security.criarAutoBlockConfig, {
+					tipoAtaque: autoBlockTipoAtaque,
+					bloquearAutomatico: autoBlockBloquearAutomatico,
+					severidadeMinima: autoBlockSeveridadeMinima,
+					duracaoBloqueioSegundos: autoBlockDuracaoSegundos,
+					ativo: autoBlockAtivo
+				});
+				feedback = { tipo: 'success', mensagem: 'Configuração criada com sucesso.' };
+			}
+			resetarFormAutoBlock();
+			mostrarAutoBlockConfig = false;
+		} catch (erro: unknown) {
+			feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
+		}
+	}
+
+	function resetarFormAutoBlock() {
+		autoBlockTipoAtaque = 'sql_injection';
+		autoBlockBloquearAutomatico = true;
+		autoBlockSeveridadeMinima = 'alto';
+		autoBlockDuracaoSegundos = undefined;
+		autoBlockAtivo = true;
+		autoBlockEditando = null;
+	}
+
+	async function deletarAutoBlockConfig(configId: Id<'autoBlockConfig'>) {
+		confirmTitulo = 'Confirmar exclusão';
+		confirmMensagem = 'Tem certeza que deseja excluir esta configuração de bloqueio automático?';
+		confirmConfirmarLabel = 'Excluir';
+		confirmCancelLabel = 'Cancelar';
+		confirmAcao = async () => {
+			try {
+				await client.mutation(api.security.deletarAutoBlockConfig, { configId });
+				feedback = { tipo: 'success', mensagem: 'Configuração excluída com sucesso.' };
+			} catch (erro: unknown) {
+				feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
+			}
+		};
+		confirmDialog?.showModal();
+	}
+
+	function editarAutoBlockConfig(config: {
+		_id: Id<'autoBlockConfig'>;
+		tipoAtaque: AtaqueCiberneticoTipo;
+		bloquearAutomatico: boolean;
+		severidadeMinima: SeveridadeSeguranca;
+		duracaoBloqueioSegundos?: number;
+		ativo: boolean;
+	}) {
+		autoBlockTipoAtaque = config.tipoAtaque;
+		autoBlockBloquearAutomatico = config.bloquearAutomatico;
+		autoBlockSeveridadeMinima = config.severidadeMinima;
+		autoBlockDuracaoSegundos = config.duracaoBloqueioSegundos;
+		autoBlockAtivo = config.ativo;
+		autoBlockEditando = config._id;
+		mostrarAutoBlockConfig = true;
+	}
+
+	// Capacidades e detalhes de ataques
+	let mostrarCapacidades = $state(false);
+	let modalAtaqueAberto = $state(false);
+	let tipoAtaqueSelecionado = $state<AtaqueCiberneticoTipo | null>(null);
+	const autoBlockConfigs = useQuery(api.security.listarAutoBlockConfigs, {
+		ativo: true,
+		limit: 100
+	});
+
+	function abrirModalAtaque(tipo: AtaqueCiberneticoTipo) {
+		tipoAtaqueSelecionado = tipo;
+		modalAtaqueAberto = true;
+	}
+
+	function fecharModalAtaque() {
+		modalAtaqueAberto = false;
+		tipoAtaqueSelecionado = null;
+	}
+
+	// Verificar se um tipo de ataque tem bloqueio automático ativo
+	function temBloqueioAutomatico(tipo: AtaqueCiberneticoTipo): boolean {
+		return (
+			autoBlockConfigs?.data?.some(
+				(config) => config.tipoAtaque === tipo && config.bloquearAutomatico && config.ativo
+			) ?? false
+		);
+	}
+
 	let series = $derived.by(() => visaoCamadas?.data?.series ?? []);
 	let totais = $derived.by(() => visaoCamadas?.data?.totais ?? null);
 	let eventosFiltrados = $derived.by(() => {
@@ -453,9 +569,33 @@
 		if (!browser) {
 			return;
 		}
+		tocarAlertaSonoro().catch(() => {
+			// Ignorar falhas de autoplay policy
+		});
+	});
+
+	async function prepararAudioContext() {
+		if (!browser) return;
+		try {
+			if (!audioCtx) {
+				audioCtx = new AudioContext();
+			}
+			if (audioCtx.state === 'suspended') {
+				await audioCtx.resume();
+			}
+		} catch (erro) {
+			console.warn('Falha ao preparar áudio:', erro);
+		}
+	}
+
+	async function tocarAlertaSonoro() {
+		if (!browser) return;
 		if (!audioCtx) {
 			audioCtx = new AudioContext();
 		}
+		if (audioCtx.state === 'suspended') {
+			await audioCtx.resume();
+		}
 		const oscillator = audioCtx.createOscillator();
 		const gain = audioCtx.createGain();
 		oscillator.type = 'triangle';
@@ -463,10 +603,42 @@
 		gain.gain.value = 0.08;
 		oscillator.connect(gain).connect(audioCtx.destination);
 		oscillator.start();
-		setTimeout(() => {
-			oscillator.stop();
-		}, 300);
-	});
+		setTimeout(() => oscillator.stop(), 300);
+	}
+
+	function abrirConfirmacao(params: {
+		titulo: string;
+		mensagem: string;
+		confirmarLabel?: string;
+		cancelarLabel?: string;
+		acao: () => Promise<void>;
+	}) {
+		confirmTitulo = params.titulo;
+		confirmMensagem = params.mensagem;
+		confirmConfirmarLabel = params.confirmarLabel ?? 'Confirmar';
+		confirmCancelLabel = params.cancelarLabel ?? 'Cancelar';
+		confirmAcao = params.acao;
+		confirmBusy = false;
+		confirmDialog?.showModal();
+	}
+
+	async function confirmarAcao() {
+		if (!confirmAcao) return;
+		try {
+			confirmBusy = true;
+			await confirmAcao();
+			confirmDialog?.close();
+		} finally {
+			confirmBusy = false;
+			confirmAcao = null;
+		}
+	}
+
+	function cancelarConfirmacao() {
+		if (confirmBusy) return;
+		confirmDialog?.close();
+		confirmAcao = null;
+	}
 
 	function mensagemErro(erro: unknown): string {
 		if (erro instanceof Error) return erro.message;
@@ -498,7 +670,6 @@
 		}
 		try {
 			await client.mutation(api.security.atualizarReputacaoIndicador, {
-				usuarioId: obterUsuarioId(),
 				indicador: ipAlvo,
 				categoria: 'ip',
 				acao: acaoSelecionada,
@@ -512,7 +683,6 @@
 					eventoId,
 					tipo: acaoSelecionada === 'forcar_blacklist' ? 'block_ip' : 'unblock_ip',
 					origem: 'manual',
-					executadoPor: obterUsuarioId(),
 					detalhes: comentarioManual || 'Ação executada via Wizcard',
 					resultado: 'registrado',
 					relacionadoA: undefined
@@ -537,7 +707,6 @@
 		e.preventDefault();
 		try {
 			await client.mutation(api.security.configurarRegraPorta, {
-				usuarioId: obterUsuarioId(),
 				porta,
 				protocolo,
 				acao,
@@ -944,33 +1113,38 @@
 			doc.save(nomeArquivo);
 		} catch (error) {
 			console.error('Erro ao gerar PDF:', error);
-			alert('Erro ao gerar PDF do relatório. Tente novamente.');
+			feedback = { tipo: 'error', mensagem: 'Erro ao gerar PDF do relatório. Tente novamente.' };
 		}
 	}
 	async function excluirRelatorio(relatorioId: Id<'reportRequests'>) {
-		if (!confirm('Excluir este relatório? Esta ação não pode ser desfeita.')) return;
-		try {
-			const resp = await client.mutation(api.security.deletarRelatorio, {
-				relatorioId
-			});
-			if (resp?.success) {
-				feedback = { tipo: 'success', mensagem: 'Relatório excluído.' };
-			} else {
-				feedback = {
-					tipo: 'error',
-					mensagem: 'Não foi possível excluir o relatório.'
-				};
+		abrirConfirmacao({
+			titulo: 'Excluir relatório?',
+			mensagem: 'Esta ação não pode ser desfeita.',
+			confirmarLabel: 'Excluir',
+			acao: async () => {
+				try {
+					const resp = await client.mutation(api.security.deletarRelatorio, {
+						relatorioId
+					});
+					if (resp?.success) {
+						feedback = { tipo: 'success', mensagem: 'Relatório excluído.' };
+					} else {
+						feedback = {
+							tipo: 'error',
+							mensagem: 'Não foi possível excluir o relatório.'
+						};
+					}
+				} catch (erro: unknown) {
+					feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
+				}
 			}
-		} catch (erro: unknown) {
-			feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
-		}
+		});
 	}
 
 	async function gerarRelatorioAvancado(e: SubmitEvent) {
 		e.preventDefault();
 		try {
 			await client.mutation(api.security.solicitarRelatorioSeguranca, {
-				solicitanteId: obterUsuarioId(),
 				filtros: {
 					dataInicio: parseDatetime(relatorioInicio),
 					dataFim: parseDatetime(relatorioFim),
@@ -1028,7 +1202,6 @@
 			if (rateLimitEditando) {
 				await client.mutation(api.security.atualizarConfigRateLimit, {
 					configId: rateLimitEditando,
-					usuarioId: obterUsuarioId(),
 					nome: rateLimitNome,
 					limite: rateLimitLimite,
 					janelaSegundos: rateLimitJanelaSegundos,
@@ -1044,7 +1217,6 @@
 				};
 			} else {
 				await client.mutation(api.security.criarConfigRateLimit, {
-					usuarioId: obterUsuarioId(),
 					nome: rateLimitNome,
 					tipo: rateLimitTipo,
 					identificador:
@@ -1070,26 +1242,30 @@
 	}
 
 	async function deletarConfigRateLimit(configId: Id<'rateLimitConfig'>) {
-		if (!confirm('Tem certeza que deseja deletar esta configuração de rate limit?')) return;
-		try {
-			await client.mutation(api.security.deletarConfigRateLimit, {
-				configId,
-				usuarioId: obterUsuarioId()
-			});
-			feedback = {
-				tipo: 'success',
-				mensagem: 'Configuração de rate limit deletada com sucesso.'
-			};
-		} catch (erro: unknown) {
-			feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
-		}
+		abrirConfirmacao({
+			titulo: 'Deletar configuração de rate limit?',
+			mensagem: 'Tem certeza que deseja deletar esta configuração?',
+			confirmarLabel: 'Deletar',
+			acao: async () => {
+				try {
+					await client.mutation(api.security.deletarConfigRateLimit, {
+						configId
+					});
+					feedback = {
+						tipo: 'success',
+						mensagem: 'Configuração de rate limit deletada com sucesso.'
+					};
+				} catch (erro: unknown) {
+					feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
+				}
+			}
+		});
 	}
 
 	async function toggleAtivoRateLimit(configId: Id<'rateLimitConfig'>, ativo: boolean) {
 		try {
 			await client.mutation(api.security.atualizarConfigRateLimit, {
 				configId,
-				usuarioId: obterUsuarioId(),
 				ativo: !ativo
 			});
 			feedback = {
@@ -1115,6 +1291,29 @@
 </script>
 
 <div class="space-y-6">
+	<dialog bind:this={confirmDialog} class="modal">
+		<div class="modal-box">
+			<h3 class="text-lg font-bold">{confirmTitulo}</h3>
+			<p class="text-base-content/70 mt-2 text-sm">{confirmMensagem}</p>
+			<div class="modal-action">
+				<button type="button" class="btn" onclick={cancelarConfirmacao} disabled={confirmBusy}>
+					{confirmCancelLabel}
+				</button>
+				<button
+					type="button"
+					class="btn btn-error"
+					onclick={confirmarAcao}
+					disabled={confirmBusy || !confirmAcao}
+				>
+					{confirmBusy ? 'Processando...' : confirmConfirmarLabel}
+				</button>
+			</div>
+		</div>
+		<form method="dialog" class="modal-backdrop">
+			<button type="button" onclick={cancelarConfirmacao}>Fechar</button>
+		</form>
+	</dialog>
+
 	{#if feedback}
 		<div class="alert shadow-lg {feedback.tipo === 'success' ? 'alert-success' : 'alert-error'}">
 			<div>
@@ -1169,7 +1368,14 @@
 				<div class="flex gap-2">
 					<label class="label cursor-pointer gap-2">
 						<span class="label-text">Alerta Sonoro</span>
-						<input type="checkbox" class="toggle toggle-primary" bind:checked={alertaSonoroAtivo} />
+						<input
+							type="checkbox"
+							class="toggle toggle-primary"
+							bind:checked={alertaSonoroAtivo}
+							onchange={(e) => {
+								if ((e.target as HTMLInputElement).checked) prepararAudioContext();
+							}}
+						/>
 					</label>
 					<label class="label cursor-pointer gap-2">
 						<span class="label-text">Flash Visual</span>
@@ -1479,13 +1685,24 @@
 					>
 						🧹 Limpar Eventos Teste
 					</button>
+					<button
+						type="button"
+						class={`btn btn-xs ${mostrarCapacidades ? 'btn-primary' : 'btn-outline'}`}
+						onclick={() => (mostrarCapacidades = !mostrarCapacidades)}
+					>
+						{mostrarCapacidades ? 'Ocultar' : 'Ver'} Capacidades
+					</button>
 					{#each Object.entries(attackLabels).slice(0, 8) as [tipo, label] (tipo)}
 						<button
 							type="button"
-							class={`btn btn-xs ${filtroTipos.includes(tipo as AtaqueCiberneticoTipo) ? 'btn-accent' : 'btn-outline btn-accent'}`}
+							class={`btn btn-xs ${filtroTipos.includes(tipo as AtaqueCiberneticoTipo) ? 'btn-accent' : 'btn-outline btn-accent'} relative`}
 							onclick={() => toggleFiltroTipo(tipo as AtaqueCiberneticoTipo)}
+							title={attackCapabilities[tipo as AtaqueCiberneticoTipo]?.descricao}
 						>
 							{label}
+							{#if temBloqueioAutomatico(tipo as AtaqueCiberneticoTipo)}
+								<span class="absolute -top-1 -right-1 h-2 w-2 rounded-full bg-error"></span>
+							{/if}
 						</button>
 					{/each}
 				</div>
@@ -1506,10 +1723,33 @@
 										<span class={severityStyles[evento.severidade]}
 											>{severityLabels[evento.severidade]}</span
 										>
-										<span class="badge badge-outline">{attackLabels[evento.tipoAtaque]}</span>
+										<div class="flex items-center gap-1">
+											<span class="badge badge-outline">{attackLabels[evento.tipoAtaque]}</span>
+											<button
+												type="button"
+												class="btn btn-ghost btn-xs btn-circle p-0 h-4 w-4 min-h-0"
+												title="Ver detalhes do tipo de ataque"
+												onclick={() => abrirModalAtaque(evento.tipoAtaque)}
+											>
+												<Info class="h-3 w-3" />
+											</button>
+											{#if temBloqueioAutomatico(evento.tipoAtaque)}
+												<span
+													class="badge badge-error badge-xs"
+													title="Bloqueio automático ativo para este tipo de ataque"
+												>
+													🔒
+												</span>
+											{/if}
+										</div>
 										<span class={statusStyles[evento.status] ?? 'badge badge-ghost'}
 											>{evento.status}</span
 										>
+										{#if evento.tags?.includes('bloqueio_automatico')}
+											<span class="badge badge-error badge-sm" title="Bloqueado automaticamente">
+												🔒 Auto-Bloqueado
+											</span>
+										{/if}
 									</div>
 									<span class="text-base-content/60 text-xs">{formatarData(evento.timestamp)}</span>
 								</div>
@@ -1553,7 +1793,6 @@
 										onclick={async () => {
 											try {
 												await client.mutation(api.security.solicitarRelatorioSeguranca, {
-													solicitanteId: obterUsuarioId(),
 													filtros: {
 														dataInicio: evento.timestamp - 15 * 60 * 1000,
 														dataFim: evento.timestamp + 15 * 60 * 1000,
@@ -1647,7 +1886,6 @@
 										onclick={async () => {
 											try {
 												await client.mutation(api.security.configurarRegraPorta, {
-													usuarioId: obterUsuarioId(),
 													regraId: regra._id,
 													porta: regra.porta,
 													protocolo: regra.protocolo,
@@ -1666,18 +1904,22 @@
 									<button
 										type="button"
 										class="btn btn-xs btn-error"
-										onclick={async () => {
-											if (!confirm('Tem certeza que deseja excluir esta regra?')) return;
-											try {
-												await client.mutation(api.security.deletarRegraPorta, {
-													regraId: regra._id,
-													usuarioId: obterUsuarioId()
-												});
-												feedback = { tipo: 'success', mensagem: 'Regra excluída.' };
-											} catch (erro: unknown) {
-												feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
-											}
-										}}
+										onclick={() =>
+											abrirConfirmacao({
+												titulo: 'Excluir regra de porta?',
+												mensagem: 'Tem certeza que deseja excluir esta regra?',
+												confirmarLabel: 'Excluir',
+												acao: async () => {
+													try {
+														await client.mutation(api.security.deletarRegraPorta, {
+															regraId: regra._id
+														});
+														feedback = { tipo: 'success', mensagem: 'Regra excluída.' };
+													} catch (erro: unknown) {
+														feedback = { tipo: 'error', mensagem: mensagemErro(erro) };
+													}
+												}
+											})}
 									>
 										Excluir
 									</button>
@@ -2052,6 +2294,200 @@
 		</div>
 	</section>
 
+	<!-- Seção de Bloqueio Automático -->
+	<section class="border-error/20 bg-base-100/80 mt-6 rounded-3xl border p-6 shadow-2xl">
+		<div class="mb-4 flex items-center justify-between">
+			<div>
+				<h3 class="text-error text-2xl font-bold">Bloqueio Automático de Ataques</h3>
+				<p class="text-base-content/70 text-sm">
+					Configure bloqueio automático por tipo de ataque. Quando um ataque é detectado e atende aos
+					critérios, o IP será bloqueado automaticamente.
+				</p>
+			</div>
+			<button
+				type="button"
+				class="btn btn-error btn-sm"
+				onclick={() => {
+					resetarFormAutoBlock();
+					mostrarAutoBlockConfig = !mostrarAutoBlockConfig;
+				}}
+			>
+				{mostrarAutoBlockConfig ? 'Cancelar' : '+ Nova Configuração'}
+			</button>
+		</div>
+
+		{#if mostrarAutoBlockConfig}
+			<form
+				class="border-error/30 bg-base-200/40 mb-6 space-y-4 rounded-xl border p-4"
+				onsubmit={(e) => { e.preventDefault(); salvarAutoBlockConfig(); }}
+			>
+				<div class="grid gap-4 md:grid-cols-2">
+					<label class="form-control">
+						<div class="label">
+							<span class="label-text font-semibold">Tipo de Ataque</span>
+						</div>
+						<select class="select select-bordered" bind:value={autoBlockTipoAtaque}>
+							{#each Object.entries(attackLabels) as [tipo, label] (tipo)}
+								<option value={tipo}>{label}</option>
+							{/each}
+						</select>
+					</label>
+					<label class="form-control">
+						<div class="label">
+							<span class="label-text font-semibold">Severidade Mínima</span>
+						</div>
+						<select class="select select-bordered" bind:value={autoBlockSeveridadeMinima}>
+							{#each severidadesDisponiveis as severidade (severidade)}
+								<option value={severidade}>{severityLabels[severidade]}</option>
+							{/each}
+						</select>
+					</label>
+				</div>
+
+				<label class="form-control">
+					<div class="label">
+						<span class="label-text font-semibold">Bloquear Automaticamente</span>
+					</div>
+					<input
+						type="checkbox"
+						class="toggle toggle-error"
+						bind:checked={autoBlockBloquearAutomatico}
+					/>
+				</label>
+
+				{#if autoBlockBloquearAutomatico}
+					<label class="form-control">
+						<div class="label">
+							<span class="label-text font-semibold">Duração do Bloqueio (segundos)</span>
+							<span class="label-text-alt">Deixe vazio para bloqueio permanente</span>
+						</div>
+						<input
+							type="number"
+							class="input input-bordered"
+							placeholder="Ex: 3600 (1 hora)"
+							min="60"
+							step="60"
+							bind:value={autoBlockDuracaoSegundos}
+						/>
+					</label>
+				{/if}
+
+				<label class="form-control">
+					<div class="label">
+						<span class="label-text font-semibold">Ativo</span>
+					</div>
+					<input type="checkbox" class="toggle toggle-success" bind:checked={autoBlockAtivo} />
+				</label>
+
+				<div class="flex gap-2">
+					<button type="submit" class="btn btn-error flex-1">
+						{autoBlockEditando ? 'Atualizar' : 'Criar'} Configuração
+					</button>
+					{#if autoBlockEditando}
+						<button
+							type="button"
+							class="btn btn-ghost"
+							onclick={() => {
+								resetarFormAutoBlock();
+								mostrarAutoBlockConfig = false;
+							}}
+						>
+							Cancelar
+						</button>
+					{/if}
+				</div>
+			</form>
+		{/if}
+
+		<div class="space-y-3">
+			<h4 class="text-error text-lg font-bold">Configurações Ativas</h4>
+			{#if autoBlockConfigs?.data && autoBlockConfigs.data.length > 0}
+				<div class="overflow-x-auto">
+					<table class="table table-zebra">
+						<thead>
+							<tr>
+								<th>Tipo de Ataque</th>
+								<th>Severidade Mínima</th>
+								<th>Bloqueio Auto</th>
+								<th>Duração</th>
+								<th>Status</th>
+								<th class="w-32">Ações</th>
+							</tr>
+						</thead>
+						<tbody>
+							{#each autoBlockConfigs.data as config (config._id)}
+								<tr>
+									<td>
+										<div class="flex items-center gap-2">
+											{attackLabels[config.tipoAtaque]}
+											<button
+												type="button"
+												class="btn btn-ghost btn-xs btn-circle p-0 h-4 w-4 min-h-0"
+												title="Ver detalhes"
+												onclick={() => abrirModalAtaque(config.tipoAtaque)}
+											>
+												<Info class="h-3 w-3" />
+											</button>
+										</div>
+									</td>
+									<td>
+										<span class="badge badge-outline">{severityLabels[config.severidadeMinima]}</span>
+									</td>
+									<td>
+										{#if config.bloquearAutomatico}
+											<span class="badge badge-error">Sim</span>
+										{:else}
+											<span class="badge badge-ghost">Não</span>
+										{/if}
+									</td>
+									<td>
+										{#if config.duracaoBloqueioSegundos}
+											{Math.floor(config.duracaoBloqueioSegundos / 60)} min
+										{:else}
+											<span class="text-base-content/60">Permanente</span>
+										{/if}
+									</td>
+									<td>
+										{#if config.ativo}
+											<span class="badge badge-success">Ativo</span>
+										{:else}
+											<span class="badge badge-ghost">Inativo</span>
+										{/if}
+									</td>
+									<td>
+										<div class="flex gap-1">
+											<button
+												type="button"
+												class="btn btn-xs btn-outline"
+												onclick={() => editarAutoBlockConfig(config)}
+											>
+												Editar
+											</button>
+											<button
+												type="button"
+												class="btn btn-xs btn-error"
+												onclick={() => deletarAutoBlockConfig(config._id)}
+											>
+												Excluir
+											</button>
+										</div>
+									</td>
+								</tr>
+							{/each}
+						</tbody>
+					</table>
+				</div>
+			{:else}
+				<div class="text-center py-8">
+					<p class="text-base-content/60 text-sm">Nenhuma configuração de bloqueio automático.</p>
+					<p class="text-base-content/40 mt-1 text-xs">
+						Configure bloqueio automático para tipos de ataques acima
+					</p>
+				</div>
+			{/if}
+		</div>
+	</section>
+
 	<!-- Alertas e Notificações -->
 	<section
 		class="border-info/20 bg-base-100/80 mt-6 rounded-3xl border p-6 shadow-2xl"
@@ -2782,8 +3218,32 @@
 			</div>
 		{/if}
 	</section>
+
+	<!-- Seção de Capacidades de Detecção -->
+	{#if mostrarCapacidades}
+		<section class="border-info/20 bg-base-100/80 rounded-3xl border p-6 shadow-2xl mt-6">
+			<div class="flex items-center justify-between mb-4">
+				<h3 class="text-info text-2xl font-bold">Capacidades de Detecção e Mitigação</h3>
+				<button
+					type="button"
+					class="btn btn-sm btn-ghost"
+					onclick={() => (mostrarCapacidades = false)}
+				>
+					Fechar
+				</button>
+			</div>
+			<AttackCapabilitiesSection />
+		</section>
+	{/if}
 </div>
 
+<!-- Modal de Detalhes de Ataque -->
+<AttackDetailsModal
+	tipo={tipoAtaqueSelecionado}
+	aberto={modalAtaqueAberto}
+	onClose={fecharModalAtaque}
+/>
+
 <style>
 	.card::-webkit-scrollbar {
 		display: none;
diff --git a/apps/web/src/lib/data/attackCapabilities.ts b/apps/web/src/lib/data/attackCapabilities.ts
new file mode 100644
index 0000000..0fa15de
--- /dev/null
+++ b/apps/web/src/lib/data/attackCapabilities.ts
@@ -0,0 +1,971 @@
+import type { AtaqueCiberneticoTipo, SeveridadeSeguranca } from '@sgse-app/backend/convex/tables/security';
+
+export interface AttackCapability {
+	tipo: AtaqueCiberneticoTipo;
+	nome: string;
+	grupo: 'injection' | 'volume' | 'advanced' | 'social' | 'infrastructure' | 'malware';
+	deteccao: {
+		metodo: 'pattern' | 'behavioral' | 'signature' | 'ml';
+		precisao: 'alta' | 'media' | 'baixa';
+		tempoReal: boolean;
+	};
+	acoes: {
+		bloqueioAutomatico: boolean;
+		blacklist: boolean;
+		rateLimit: boolean;
+		alerta: boolean;
+		registro: boolean;
+	};
+	severidadePadrao: SeveridadeSeguranca;
+	descricao: string;
+	exemplos: string[];
+	mitigacoes: string[];
+}
+
+export const attackCapabilities: Record<AtaqueCiberneticoTipo, AttackCapability> = {
+	// ============================================
+	// ATAQUES DE INJEÇÃO
+	// ============================================
+	sql_injection: {
+		tipo: 'sql_injection',
+		nome: 'SQL Injection',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Inserção de código SQL malicioso em campos de entrada para manipular consultas ao banco de dados, potencialmente expondo ou corrompendo dados.',
+		exemplos: [
+			"' OR '1'='1",
+			"'; DROP TABLE users--",
+			"' UNION SELECT * FROM passwords--",
+			"1' OR '1'='1'--"
+		],
+		mitigacoes: [
+			'Prepared statements e parameterized queries',
+			'Validação rigorosa de entrada',
+			'Princípio do menor privilégio no banco de dados',
+			'Escaping de caracteres especiais',
+			'WAF com regras específicas para SQL injection'
+		]
+	},
+	xss: {
+		tipo: 'xss',
+		nome: 'Cross-Site Scripting (XSS)',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'moderado',
+		descricao:
+			'Injeção de scripts maliciosos em páginas web que são executados no navegador de outros usuários, permitindo roubo de sessões, cookies ou dados sensíveis.',
+		exemplos: [
+			'<script>alert("XSS")</script>',
+			'<img src=x onerror=alert(1)>',
+			'javascript:alert(document.cookie)',
+			'<svg onload=alert(1)>'
+		],
+		mitigacoes: [
+			'Content Security Policy (CSP)',
+			'Output encoding/escaping',
+			'Validação de entrada',
+			'HttpOnly cookies',
+			'Sanitização de HTML'
+		]
+	},
+	nosql_injection: {
+		tipo: 'nosql_injection',
+		nome: 'NoSQL Injection',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Exploração de vulnerabilidades em bancos de dados NoSQL através de operadores de query maliciosos, permitindo bypass de autenticação ou acesso não autorizado.',
+		exemplos: ['{"$ne": null}', '{"$gt": ""}', '{"$where": "this.password == this.username"}', '{"$regex": ".*"}'],
+		mitigacoes: [
+			'Validação de entrada rigorosa',
+			'Uso de ORMs seguros',
+			'Sanitização de operadores NoSQL',
+			'Princípio do menor privilégio',
+			'Validação de tipo de dados'
+		]
+	},
+	command_injection: {
+		tipo: 'command_injection',
+		nome: 'Command Injection',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Execução de comandos do sistema operacional através de entradas não validadas, permitindo controle remoto do servidor.',
+		exemplos: ['; ls -la', '| cat /etc/passwd', '&& whoami', '`id`', '$(uname -a)'],
+		mitigacoes: [
+			'Evitar execução de comandos do sistema',
+			'Whitelist de comandos permitidos',
+			'Validação rigorosa de entrada',
+			'Uso de APIs seguras ao invés de shell',
+			'Sandboxing de processos'
+		]
+	},
+	path_traversal: {
+		tipo: 'path_traversal',
+		nome: 'Path Traversal',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Manipulação de caminhos de arquivo para acessar diretórios e arquivos fora do diretório permitido, potencialmente expondo arquivos sensíveis do sistema.',
+		exemplos: ['../../../etc/passwd', '..\\..\\windows\\win.ini', '%2e%2e%2f', '....//....//etc/passwd'],
+		mitigacoes: [
+			'Validação de caminhos absolutos',
+			'Canonicalização de caminhos',
+			'Whitelist de arquivos permitidos',
+			'Chroot jail',
+			'Validação de extensões de arquivo'
+		]
+	},
+	xxe: {
+		tipo: 'xxe',
+		nome: 'XML External Entity (XXE)',
+		grupo: 'injection',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Exploração de processamento XML para incluir entidades externas, permitindo leitura de arquivos locais, SSRF ou DoS.',
+		exemplos: [
+			'<!ENTITY xxe SYSTEM "file:///etc/passwd">',
+			'<!DOCTYPE foo [<!ENTITY xxe SYSTEM "http://evil.com">]>',
+			'<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=index.php">'
+		],
+		mitigacoes: [
+			'Desabilitar processamento de entidades externas',
+			'Usar formatos mais seguros (JSON)',
+			'Validação de XML de entrada',
+			'Parser XML seguro',
+			'Whitelist de entidades permitidas'
+		]
+	},
+
+	// ============================================
+	// ATAQUES DE VOLUME
+	// ============================================
+	brute_force: {
+		tipo: 'brute_force',
+		nome: 'Brute Force',
+		grupo: 'volume',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: true,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'moderado',
+		descricao:
+			'Tentativas repetidas e sistemáticas de adivinhar credenciais através de múltiplas combinações de usuário/senha.',
+		exemplos: [
+			'Múltiplas tentativas de login falhas do mesmo IP',
+			'Tentativas com listas de senhas comuns',
+			'Ataques distribuídos de múltiplos IPs'
+		],
+		mitigacoes: [
+			'Rate limiting por IP e usuário',
+			'CAPTCHA após tentativas falhas',
+			'Bloqueio temporário de contas',
+			'Autenticação de dois fatores (2FA)',
+			'Monitoramento de padrões anômalos'
+		]
+	},
+	credential_stuffing: {
+		tipo: 'credential_stuffing',
+		nome: 'Credential Stuffing',
+		grupo: 'volume',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: true,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'moderado',
+		descricao:
+			'Uso automatizado de credenciais vazadas de outros serviços para tentar acessar contas, aproveitando reutilização de senhas.',
+		exemplos: [
+			'Uso de listas de credenciais vazadas',
+			'Tentativas automatizadas em massa',
+			'Padrões de requisições similares'
+		],
+		mitigacoes: [
+			'Rate limiting avançado',
+			'Detecção de padrões de requisições',
+			'Verificação de vazamentos de credenciais',
+			'Autenticação de dois fatores',
+			'Monitoramento de comportamento anômalo'
+		]
+	},
+	ddos: {
+		tipo: 'ddos',
+		nome: 'DDoS (Distributed Denial of Service)',
+		grupo: 'volume',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: true,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Ataque distribuído que sobrecarrega servidores com tráfego massivo de múltiplas fontes, tornando serviços indisponíveis.',
+		exemplos: [
+			'Flood de requisições HTTP',
+			'Syn flood',
+			'UDP flood',
+			'Application layer DDoS'
+		],
+		mitigacoes: [
+			'Rate limiting por IP e endpoint',
+			'CDN com proteção DDoS',
+			'Blacklist de IPs suspeitos',
+			'Scaling automático',
+			'Análise de tráfego em tempo real'
+		]
+	},
+	botnet: {
+		tipo: 'botnet',
+		nome: 'Botnet',
+		grupo: 'volume',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: true,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Rede de dispositivos comprometidos coordenados para realizar ataques em massa, DDoS ou outras atividades maliciosas.',
+		exemplos: [
+			'Padrões de requisições coordenadas',
+			'Comunicação com servidores C&C',
+			'Comportamento automatizado suspeito'
+		],
+		mitigacoes: [
+			'Detecção de padrões de tráfego',
+			'Blacklist de IPs conhecidos de botnets',
+			'Rate limiting distribuído',
+			'Análise de comportamento',
+			'Integração com threat intelligence'
+		]
+	},
+
+	// ============================================
+	// ATAQUES AVANÇADOS
+	// ============================================
+	apt: {
+		tipo: 'apt',
+		nome: 'APT (Advanced Persistent Threat)',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ataques sofisticados e persistentes conduzidos por atores avançados, geralmente com objetivos de longo prazo como espionagem ou roubo de dados.',
+		exemplos: [
+			'Movimento lateral na rede',
+			'Acesso persistente não detectado',
+			'Exfiltração de dados gradual'
+		],
+		mitigacoes: [
+			'Monitoramento contínuo de rede',
+			'Análise de comportamento anômalo',
+			'Segmentação de rede',
+			'Detecção de movimento lateral',
+			'Threat hunting proativo'
+		]
+	},
+	zero_day: {
+		tipo: 'zero_day',
+		nome: 'Zero-Day',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Exploração de vulnerabilidades desconhecidas ou não corrigidas, para as quais não existem patches ou defesas.',
+		exemplos: [
+			'Exploit de vulnerabilidade desconhecida',
+			'Comportamento anômalo não identificado',
+			'Padrões de ataque novos'
+		],
+		mitigacoes: [
+			'Defesa em profundidade',
+			'Princípio do menor privilégio',
+			'Monitoramento de comportamento',
+			'Patch management proativo',
+			'Isolamento de sistemas críticos'
+		]
+	},
+	supply_chain: {
+		tipo: 'supply_chain',
+		nome: 'Supply Chain Attack',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'signature',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ataques que comprometem software ou hardware através da cadeia de suprimentos, infectando produtos legítimos antes da distribuição.',
+		exemplos: [
+			'Dependências comprometidas',
+			'Updates maliciosos',
+			'Hardware comprometido'
+		],
+		mitigacoes: [
+			'Verificação de integridade de dependências',
+			'Assinatura digital de software',
+			'Análise de vulnerabilidades em dependências',
+			'Whitelist de fornecedores confiáveis',
+			'Monitoramento de atualizações'
+		]
+	},
+	fileless_malware: {
+		tipo: 'fileless_malware',
+		nome: 'Fileless Malware',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Malware que opera apenas na memória, sem deixar arquivos no disco, dificultando detecção por antivírus tradicionais.',
+		exemplos: [
+			'PowerShell malicioso',
+			'WMI abuse',
+			'Scripts em memória'
+		],
+		mitigacoes: [
+			'Monitoramento de processos em memória',
+			'Análise de comportamento',
+			'Restrição de scripts (PowerShell, etc.)',
+			'Logging avançado',
+			'EDR (Endpoint Detection and Response)'
+		]
+	},
+	polymorphic_malware: {
+		tipo: 'polymorphic_malware',
+		nome: 'Polymorphic Malware',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Malware que muda sua assinatura a cada execução, dificultando detecção baseada em padrões estáticos.',
+		exemplos: [
+			'Código auto-modificável',
+			'Encryption variável',
+			'Ofuscação dinâmica'
+		],
+		mitigacoes: [
+			'Detecção baseada em comportamento',
+			'Sandboxing',
+			'Análise heurística',
+			'Machine learning',
+			'Monitoramento de execução'
+		]
+	},
+	adversarial_ai: {
+		tipo: 'adversarial_ai',
+		nome: 'Adversarial AI Attack',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Ataques que exploram vulnerabilidades em modelos de machine learning, enganando sistemas de detecção baseados em IA.',
+		exemplos: [
+			'Inputs adversariais',
+			'Model evasion',
+			'Poisoning de dados de treinamento'
+		],
+		mitigacoes: [
+			'Validação robusta de modelos',
+			'Ensemble de modelos',
+			'Adversarial training',
+			'Monitoramento de precisão',
+			'Validação de entrada adicional'
+		]
+	},
+	side_channel: {
+		tipo: 'side_channel',
+		nome: 'Side-Channel Attack',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Ataques que exploram informações vazadas através de canais laterais (tempo, energia, cache) para extrair dados sensíveis.',
+		exemplos: [
+			'Timing attacks',
+			'Cache timing attacks',
+			'Power analysis'
+		],
+		mitigacoes: [
+			'Constante-time algorithms',
+			'Proteção de cache',
+			'Randomização de execução',
+			'Isolamento de processos',
+			'Hardware seguro'
+		]
+	},
+	firmware_bootloader: {
+		tipo: 'firmware_bootloader',
+		nome: 'Firmware/Bootloader Attack',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'signature',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ataques que comprometem firmware ou bootloader, permitindo controle persistente mesmo após reinstalação do sistema operacional.',
+		exemplos: [
+			'UEFI rootkit',
+			'Bootkit',
+			'BIOS malware'
+		],
+		mitigacoes: [
+			'Secure Boot',
+			'Verificação de integridade de firmware',
+			'TPM (Trusted Platform Module)',
+			'Proteção física de hardware',
+			'Atualizações seguras de firmware'
+		]
+	},
+	ransomware_lateral: {
+		tipo: 'ransomware_lateral',
+		nome: 'Ransomware Lateral Movement',
+		grupo: 'advanced',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ransomware que se espalha lateralmente pela rede, criptografando múltiplos sistemas e causando interrupção massiva.',
+		exemplos: [
+			'Propagação automática',
+			'Criptografia em massa',
+			'Movimento lateral na rede'
+		],
+		mitigacoes: [
+			'Segmentação de rede',
+			'Backups offline',
+			'Detecção de movimento lateral',
+			'Isolamento rápido de sistemas',
+			'Plano de resposta a incidentes'
+		]
+	},
+
+	// ============================================
+	// ATAQUES SOCIAIS
+	// ============================================
+	phishing: {
+		tipo: 'phishing',
+		nome: 'Phishing',
+		grupo: 'social',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'media',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'moderado',
+		descricao:
+			'Tentativas de enganar usuários para revelar credenciais ou informações sensíveis através de comunicações falsas que se passam por entidades legítimas.',
+		exemplos: [
+			'Emails falsos de bancos',
+			'Sites de login falsos',
+			'Mensagens de texto suspeitas'
+		],
+		mitigacoes: [
+			'Educação de usuários',
+			'Filtros de email anti-phishing',
+			'Verificação de URLs',
+			'Autenticação de dois fatores',
+			'Blacklist de domínios suspeitos'
+		]
+	},
+	deepfake_phishing: {
+		tipo: 'deepfake_phishing',
+		nome: 'Deepfake Phishing',
+		grupo: 'social',
+		deteccao: {
+			metodo: 'ml',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Uso de mídia sintética (vídeo/áudio) gerada por IA para enganar vítimas, simulando pessoas conhecidas ou autoridades.',
+		exemplos: [
+			'Vídeos falsos de executivos',
+			'Áudio clonado para enganar',
+			'Imagens sintéticas em phishing'
+		],
+		mitigacoes: [
+			'Verificação de identidade adicional',
+			'Detecção de deepfakes',
+			'Protocolos de verificação',
+			'Educação sobre deepfakes',
+			'Autenticação de dois fatores'
+		]
+	},
+	bec: {
+		tipo: 'bec',
+		nome: 'BEC (Business Email Compromise)',
+		grupo: 'social',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Comprometimento de contas de email corporativo para realizar fraudes financeiras, geralmente através de phishing ou engenharia social.',
+		exemplos: [
+			'Emails falsos de executivos',
+			'Transferências bancárias fraudulentas',
+			'Comprometimento de contas de email'
+		],
+		mitigacoes: [
+			'Verificação de transferências',
+			'Autenticação de dois fatores',
+			'Monitoramento de padrões anômalos',
+			'Educação de funcionários',
+			'Políticas de verificação'
+		]
+	},
+
+	// ============================================
+	// ATAQUES DE INFRAESTRUTURA
+	// ============================================
+	man_in_the_middle: {
+		tipo: 'man_in_the_middle',
+		nome: 'Man-in-the-Middle (MITM)',
+		grupo: 'infrastructure',
+		deteccao: {
+			metodo: 'pattern',
+			precisao: 'media',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: true,
+			blacklist: true,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Interceptação de comunicações entre duas partes para espionar ou modificar dados, geralmente através de downgrade de TLS ou certificados falsos.',
+		exemplos: [
+			'SSL stripping',
+			'TLS downgrade',
+			'Certificados falsos',
+			'ARP spoofing'
+		],
+		mitigacoes: [
+			'HTTPS obrigatório (HSTS)',
+			'Validação rigorosa de certificados',
+			'Certificate pinning',
+			'VPN para comunicações sensíveis',
+			'Monitoramento de certificados'
+		]
+	},
+	cve_exploit: {
+		tipo: 'cve_exploit',
+		nome: 'CVE Exploit',
+		grupo: 'infrastructure',
+		deteccao: {
+			metodo: 'signature',
+			precisao: 'alta',
+			tempoReal: true
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Exploração de vulnerabilidades conhecidas (CVE) em software, geralmente antes da aplicação de patches de segurança.',
+		exemplos: [
+			'Exploit de vulnerabilidade conhecida',
+			'Uso de exploits públicos',
+			'Scanning de vulnerabilidades'
+		],
+		mitigacoes: [
+			'Patch management proativo',
+			'Scanning de vulnerabilidades',
+			'WAF com regras específicas',
+			'Princípio do menor privilégio',
+			'Monitoramento de CVEs'
+		]
+	},
+	ot_ics: {
+		tipo: 'ot_ics',
+		nome: 'OT/ICS Attack',
+		grupo: 'infrastructure',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ataques a sistemas de Tecnologia Operacional (OT) e Sistemas de Controle Industrial (ICS), podendo causar interrupções físicas ou danos.',
+		exemplos: [
+			'Manipulação de PLCs',
+			'Interrupção de processos industriais',
+			'Comprometimento de SCADA'
+		],
+		mitigacoes: [
+			'Isolamento de redes OT',
+			'Monitoramento de protocolos industriais',
+			'Backup de configurações',
+			'Air-gapping quando possível',
+			'Análise de comportamento anômalo'
+		]
+	},
+	quantum_attack: {
+		tipo: 'quantum_attack',
+		nome: 'Quantum Attack',
+		grupo: 'infrastructure',
+		deteccao: {
+			metodo: 'signature',
+			precisao: 'baixa',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'critico',
+		descricao:
+			'Ataques que utilizam computação quântica para quebrar criptografia atual, representando uma ameaça futura à segurança de dados.',
+		exemplos: [
+			'Quebra de criptografia RSA',
+			'Algoritmos quânticos de fatoração',
+			'Harvest now, decrypt later'
+		],
+		mitigacoes: [
+			'Migração para criptografia pós-quântica',
+			'Quantum-resistant algorithms',
+			'Monitoramento de avanços quânticos',
+			'Planejamento de migração',
+			'Criptografia híbrida'
+		]
+	},
+
+	// ============================================
+	// MALWARE
+	// ============================================
+	malware: {
+		tipo: 'malware',
+		nome: 'Malware',
+		grupo: 'malware',
+		deteccao: {
+			metodo: 'signature',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'moderado',
+		descricao:
+			'Software malicioso projetado para danificar, interromper ou obter acesso não autorizado a sistemas e dados.',
+		exemplos: [
+			'Vírus',
+			'Trojans',
+			'Worms',
+			'Spyware'
+		],
+		mitigacoes: [
+			'Antivírus atualizado',
+			'Scanning de arquivos',
+			'Princípio do menor privilégio',
+			'Isolamento de processos',
+			'Monitoramento de comportamento'
+		]
+	},
+	ransomware: {
+		tipo: 'ransomware',
+		nome: 'Ransomware',
+		grupo: 'malware',
+		deteccao: {
+			metodo: 'behavioral',
+			precisao: 'media',
+			tempoReal: false
+		},
+		acoes: {
+			bloqueioAutomatico: false,
+			blacklist: false,
+			rateLimit: false,
+			alerta: true,
+			registro: true
+		},
+		severidadePadrao: 'alto',
+		descricao:
+			'Malware que criptografa arquivos e exige pagamento (resgate) para restaurar o acesso aos dados.',
+		exemplos: [
+			'Criptografia de arquivos',
+			'Extorsão digital',
+			'Bloqueio de sistemas'
+		],
+		mitigacoes: [
+			'Backups regulares e offline',
+			'Detecção de criptografia anômala',
+			'Isolamento rápido de sistemas',
+			'Educação de usuários',
+			'Plano de resposta a incidentes'
+		]
+	}
+};
+
+// Função auxiliar para obter capacidades por grupo
+export function getCapabilitiesByGroup(
+	grupo: AttackCapability['grupo']
+): AttackCapability[] {
+	return Object.values(attackCapabilities).filter((cap) => cap.grupo === grupo);
+}
+
+// Função auxiliar para obter tipos de ataque com bloqueio automático disponível
+export function getAttackTypesWithAutoBlock(): AtaqueCiberneticoTipo[] {
+	return Object.values(attackCapabilities)
+		.filter((cap) => cap.acoes.bloqueioAutomatico)
+		.map((cap) => cap.tipo);
+}
+
+// Função auxiliar para obter estatísticas de capacidades
+export function getCapabilityStats() {
+	const total = Object.keys(attackCapabilities).length;
+	const withAutoBlock = getAttackTypesWithAutoBlock().length;
+	const byGroup = Object.values(attackCapabilities).reduce(
+		(acc, cap) => {
+			acc[cap.grupo] = (acc[cap.grupo] || 0) + 1;
+			return acc;
+		},
+		{} as Record<string, number>
+	);
+
+	return {
+		total,
+		withAutoBlock,
+		byGroup
+	};
+}
diff --git a/apps/web/src/lib/utils/jitsi.ts b/apps/web/src/lib/utils/jitsi.ts
index a35bdb6..53df189 100644
--- a/apps/web/src/lib/utils/jitsi.ts
+++ b/apps/web/src/lib/utils/jitsi.ts
@@ -8,6 +8,7 @@ export interface ConfiguracaoJitsi {
 	roomPrefix: string;
 	useHttps: boolean;
 	acceptSelfSignedCert?: boolean;
+	ambiente?: string | null;
 }
 
 export interface DispositivoMedia {
@@ -333,3 +334,83 @@ export function obterInfoNavegador(): {
 		mediaDevicesDisponivel: !!navigator.mediaDevices
 	};
 }
+
+/**
+ * Validar configuração do Jitsi
+ * Verifica se todos os campos obrigatórios estão presentes e válidos
+ */
+export function validarConfiguracaoJitsi(config: ConfiguracaoJitsi | null | undefined): {
+	valida: boolean;
+	erro?: string;
+} {
+	if (!config) {
+		return { valida: false, erro: 'Configuração Jitsi não encontrada' };
+	}
+
+	if (!config.domain || config.domain.trim().length === 0) {
+		return { valida: false, erro: 'Domínio não pode estar vazio' };
+	}
+
+	if (!config.appId || config.appId.trim().length === 0) {
+		return { valida: false, erro: 'App ID não pode estar vazio' };
+	}
+
+	if (!config.roomPrefix || config.roomPrefix.trim().length === 0) {
+		return { valida: false, erro: 'Prefixo de sala não pode estar vazio' };
+	}
+
+	// Validar formato de domínio
+	const localhostPattern = /^(localhost|127\.0\.0\.1|0\.0\.0\.0)(:\d+)?$/i;
+	const fqdnPattern = /^([a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}(:\d+)?$/;
+	if (!localhostPattern.test(config.domain.trim()) && !fqdnPattern.test(config.domain.trim())) {
+		return {
+			valida: false,
+			erro: 'Domínio deve ser um FQDN válido (ex: meet.example.com) ou localhost:porta'
+		};
+	}
+
+	// Validar App ID
+	const appIdPattern = /^[a-zA-Z0-9_-]+$/;
+	if (!appIdPattern.test(config.appId.trim())) {
+		return {
+			valida: false,
+			erro: 'App ID deve conter apenas letras, números, hífens e underscores'
+		};
+	}
+
+	return { valida: true };
+}
+
+/**
+ * Obter configuração por ambiente (requer Convex client)
+ * Esta função deve ser usada com useQuery no componente
+ */
+export function obterConfiguracaoPorAmbiente(
+	configBackend: {
+		domain: string;
+		appId: string;
+		roomPrefix: string;
+		useHttps: boolean;
+		acceptSelfSignedCert?: boolean;
+		ambiente?: string | null;
+	} | null,
+	ambiente?: string
+): ConfiguracaoJitsi | null {
+	if (!configBackend) {
+		return null;
+	}
+
+	// Se ambiente especificado, verificar se corresponde
+	if (ambiente && configBackend.ambiente !== ambiente) {
+		return null;
+	}
+
+	return {
+		domain: configBackend.domain,
+		appId: configBackend.appId,
+		roomPrefix: configBackend.roomPrefix,
+		useHttps: configBackend.useHttps,
+		acceptSelfSignedCert: configBackend.acceptSelfSignedCert || false,
+		ambiente: configBackend.ambiente || null
+	};
+}
diff --git a/apps/web/src/routes/(dashboard)/perfil/+page.svelte b/apps/web/src/routes/(dashboard)/perfil/+page.svelte
index 656ad66..9cf0e99 100644
--- a/apps/web/src/routes/(dashboard)/perfil/+page.svelte
+++ b/apps/web/src/routes/(dashboard)/perfil/+page.svelte
@@ -124,6 +124,18 @@
 	let sucessoSalvarTema = $state<string | null>(null);
 	let erroSalvarTema = $state<string | null>(null);
 
+	// Estados para Modal de Visualização de Membros do Time
+	type TimeComMembrosGestor = Doc<'times'> & {
+		membros: Array<{
+			relacaoId: Id<'timesMembros'>;
+			funcionario: (Doc<'funcionarios'> & { fotoPerfilUrl?: string | null }) | null;
+			dataEntrada: number;
+		}>;
+	};
+	let mostrarModalVisualizarMembrosTime = $state(false);
+	let timeSelecionadoParaVisualizar = $state<TimeComMembrosGestor | null>(null);
+	let carregandoMembrosTime = $state(false);
+
 	// Avatares padrão disponíveis
 	const defaultAvatars = [
 		'/avatars/avatar-1.png',
@@ -525,6 +537,26 @@
 	}
 
 	// Função para salvar tema preferido
+	function abrirVisualizarMembrosTime(time: TimeComMembrosGestor) {
+		timeSelecionadoParaVisualizar = time;
+		mostrarModalVisualizarMembrosTime = true;
+		carregandoMembrosTime = false;
+	}
+
+	function fecharModalVisualizarMembrosTime() {
+		mostrarModalVisualizarMembrosTime = false;
+		timeSelecionadoParaVisualizar = null;
+		carregandoMembrosTime = false;
+	}
+
+	function formatarTipoCargoFuncao(
+		tipo: 'cargo_comissionado' | 'funcao_gratificada' | undefined
+	) {
+		if (tipo === 'cargo_comissionado') return 'Cargo';
+		if (tipo === 'funcao_gratificada') return 'Função';
+		return 'Cargo/Função';
+	}
+
 	async function salvarTema() {
 		if (!temaSelecionado) return;
 
@@ -1152,8 +1184,17 @@
 									<div class="grid grid-cols-1 gap-6 md:grid-cols-2 lg:grid-cols-3">
 										{#each meusTimesGestor as time (time._id)}
 											<div
-												class="card dark:bg-base-100 border-l-4 bg-white shadow-xl transition-all hover:scale-105 hover:shadow-2xl"
+												class="card dark:bg-base-100 border-l-4 bg-white shadow-xl transition-all hover:scale-105 hover:shadow-2xl cursor-pointer"
 												style="border-color: {time.cor}"
+												role="button"
+												tabindex="0"
+												onclick={() => abrirVisualizarMembrosTime(time)}
+												onkeydown={(e) => {
+													if (e.key === 'Enter' || e.key === ' ') {
+														e.preventDefault();
+														abrirVisualizarMembrosTime(time);
+													}
+												}}
 											>
 												<div class="card-body">
 													<div class="flex items-start gap-2">
@@ -1190,6 +1231,116 @@
 							</div>
 						</div>
 					{/if}
+
+					<!-- Modal de Visualização de Membros do Time -->
+					{#if mostrarModalVisualizarMembrosTime && timeSelecionadoParaVisualizar}
+						<dialog class="modal modal-open">
+							<div class="modal-box max-w-5xl">
+								<div class="mb-4 flex items-start justify-between gap-4">
+									<h3 class="flex items-center gap-2 text-2xl font-bold">
+										<div
+											class="h-3 w-3 rounded-full"
+											style="background-color: {timeSelecionadoParaVisualizar.cor}"
+										></div>
+										{timeSelecionadoParaVisualizar.nome}
+									</h3>
+									<button
+										class="btn btn-sm btn-circle"
+										onclick={fecharModalVisualizarMembrosTime}
+										aria-label="Fechar"
+									>
+										<X class="h-4 w-4" strokeWidth={2} />
+									</button>
+								</div>
+
+								{#if timeSelecionadoParaVisualizar.descricao}
+									<p class="text-base-content/70 mb-4">
+										{timeSelecionadoParaVisualizar.descricao}
+									</p>
+								{/if}
+
+								<div class="border-base-300 mb-4 rounded-xl border p-3">
+									<div class="flex flex-wrap gap-3">
+										<div class="badge badge-primary">
+											Membros: {timeSelecionadoParaVisualizar.membros?.length || 0}
+										</div>
+									</div>
+								</div>
+
+								{#if carregandoMembrosTime}
+									<div class="flex items-center justify-center py-10">
+										<span class="loading loading-spinner loading-lg text-primary"></span>
+									</div>
+								{:else if timeSelecionadoParaVisualizar.membros &&
+										timeSelecionadoParaVisualizar.membros.length > 0}
+									<div class="overflow-x-auto">
+										<table class="table">
+											<thead>
+												<tr>
+													<th>Membro</th>
+													<th>Matrícula</th>
+													<th>Cargo/Função</th>
+												</tr>
+											</thead>
+											<tbody>
+												{#each timeSelecionadoParaVisualizar.membros as membro (membro.relacaoId)}
+													<tr class="hover">
+														<td>
+															<div class="flex items-center gap-3">
+																<UserAvatar
+																	nome={membro.funcionario?.nome || 'Sem nome'}
+																	fotoPerfilUrl={membro.funcionario?.fotoPerfilUrl}
+																	size="sm"
+																/>
+																<div class="min-w-0">
+																	<div class="truncate font-semibold">
+																		{membro.funcionario?.nome || '-'}
+																	</div>
+																	<div class="text-base-content/50 text-xs">
+																		Desde {new Date(membro.dataEntrada).toLocaleDateString('pt-BR')}
+																	</div>
+																</div>
+															</div>
+														</td>
+														<td class="text-base-content/80">
+															{membro.funcionario?.matricula || 'S/N'}
+														</td>
+														<td>
+															<div class="flex flex-col gap-1">
+																<div class="font-medium">
+																	{membro.funcionario?.descricaoCargo || '-'}
+																</div>
+																<div class="text-base-content/60 text-xs">
+																	{formatarTipoCargoFuncao(membro.funcionario?.simboloTipo)}
+																</div>
+															</div>
+														</td>
+													</tr>
+												{/each}
+											</tbody>
+										</table>
+									</div>
+								{:else}
+									<div class="alert alert-info">
+										<Info class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
+										<span>Nenhum membro neste time.</span>
+									</div>
+								{/if}
+
+								<div class="modal-action">
+									<button class="btn" onclick={fecharModalVisualizarMembrosTime}>Fechar</button>
+								</div>
+							</div>
+							<form method="dialog" class="modal-backdrop">
+								<button
+									type="button"
+									onclick={fecharModalVisualizarMembrosTime}
+									aria-label="Fechar modal"
+									>Fechar</button
+								>
+							</form>
+						</dialog>
+					{/if}
 				</div>
 			{:else if abaAtiva === 'meus-chamados'}
 				<!-- Meus Chamados -->
diff --git a/apps/web/src/routes/(dashboard)/ti/cibersecurity/+page.server.ts b/apps/web/src/routes/(dashboard)/ti/cibersecurity/+page.server.ts
new file mode 100644
index 0000000..f8842d8
--- /dev/null
+++ b/apps/web/src/routes/(dashboard)/ti/cibersecurity/+page.server.ts
@@ -0,0 +1,19 @@
+import { createConvexHttpClient } from '@mmailaender/convex-better-auth-svelte/sveltekit';
+import { api } from '@sgse-app/backend/convex/_generated/api';
+import { redirect } from '@sveltejs/kit';
+
+export const load = async ({ locals, url }) => {
+	if (!locals.token) {
+		throw redirect(302, '/login?redirect=' + encodeURIComponent(url.pathname));
+	}
+
+	const client = createConvexHttpClient({ token: locals.token });
+	const currentUser = await client.query(api.auth.getCurrentUser);
+
+	if (!currentUser?.role?.admin) {
+		throw redirect(302, '/ti');
+	}
+
+	return { currentUser };
+};
+
diff --git a/apps/web/src/routes/(dashboard)/ti/configuracoes-jitsi/+page.svelte b/apps/web/src/routes/(dashboard)/ti/configuracoes-jitsi/+page.svelte
index f86a709..1162ea8 100644
--- a/apps/web/src/routes/(dashboard)/ti/configuracoes-jitsi/+page.svelte
+++ b/apps/web/src/routes/(dashboard)/ti/configuracoes-jitsi/+page.svelte
@@ -3,26 +3,40 @@
 	import type { Id } from '@sgse-app/backend/convex/_generated/dataModel';
 	import { useConvexClient, useQuery } from 'convex-svelte';
 	import type { FunctionReference } from 'convex/server';
-	import { Video, CheckCircle, XCircle, AlertTriangle, Save, Info } from 'lucide-svelte';
+	import { Video, CheckCircle, XCircle, AlertTriangle, Save, Info, Eye, EyeOff, Key, TestTube, Edit, Trash2, Plus, Power, PowerOff, List, HelpCircle } from 'lucide-svelte';
 
 	const client = useConvexClient();
 	const currentUser = useQuery(api.auth.getCurrentUser as FunctionReference<'query'>);
 	const configAtual = useQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+	const todasConfigs = useQuery(api.configuracaoJitsi.listarConfiguracoesJitsi, {});
 
 	let domain = $state('');
 	let appId = $state('sgse-app');
 	let roomPrefix = $state('sgse');
 	let useHttps = $state(false);
 	let acceptSelfSignedCert = $state(false);
+	let ambiente = $state('');
+	let jwtSecret = $state('');
+	let jwtAudience = $state('');
+	let jwtIssuer = $state('');
+	let mostrarJWTSecret = $state(false);
 
 	let processando = $state(false);
 	let testando = $state(false);
+	let gerandoToken = $state(false);
+	let editandoConfigId = $state<Id<'configuracaoJitsi'> | null>(null);
+	let mostrandoLista = $state(false);
 	let mensagem = $state<{
 		tipo: 'success' | 'error';
 		texto: string;
 		detalhes?: string;
 	} | null>(null);
 
+	// Validações em tempo real
+	let validacaoDominio = $state<{ valido: boolean; mensagem?: string }>({ valido: true });
+	let validacaoAppId = $state<{ valido: boolean; mensagem?: string }>({ valido: true });
+	let validacaoJWTSecret = $state<{ valido: boolean; mensagem?: string; aviso?: string }>({ valido: true });
+
 	function mostrarMensagem(tipo: 'success' | 'error', texto: string, detalhes?: string) {
 		mensagem = { tipo, texto, detalhes };
 		setTimeout(() => {
@@ -38,6 +52,11 @@
 			roomPrefix = configAtual.data.roomPrefix || 'sgse';
 			useHttps = configAtual.data.useHttps ?? false;
 			acceptSelfSignedCert = configAtual.data.acceptSelfSignedCert ?? false;
+			ambiente = configAtual.data.ambiente || '';
+			// JWT Secret não é retornado por segurança, apenas se está configurado
+			jwtSecret = '';
+			jwtAudience = '';
+			jwtIssuer = '';
 		} else if (configAtual === null) {
 			// Se não há configuração, resetar para valores padrão
 			domain = '';
@@ -45,6 +64,58 @@
 			roomPrefix = 'sgse';
 			useHttps = false;
 			acceptSelfSignedCert = false;
+			ambiente = '';
+			jwtSecret = '';
+			jwtAudience = '';
+			jwtIssuer = '';
+		}
+	});
+
+	// Validações em tempo real
+	$effect(() => {
+		// Validar domínio
+		if (domain.trim().length === 0) {
+			validacaoDominio = { valido: true }; // Não validar se vazio (será validado no submit)
+		} else {
+			const localhostPattern = /^(localhost|127\.0\.0\.1|0\.0\.0\.0)(:\d+)?$/i;
+			const fqdnPattern = /^([a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}(:\d+)?$/;
+			if (localhostPattern.test(domain.trim()) || fqdnPattern.test(domain.trim())) {
+				validacaoDominio = { valido: true };
+			} else {
+				validacaoDominio = {
+					valido: false,
+					mensagem: 'Domínio deve ser um FQDN válido (ex: meet.example.com) ou localhost:porta'
+				};
+			}
+		}
+
+		// Validar App ID
+		if (appId.trim().length === 0) {
+			validacaoAppId = { valido: true };
+		} else {
+			const appIdPattern = /^[a-zA-Z0-9_-]+$/;
+			if (appIdPattern.test(appId.trim())) {
+				validacaoAppId = { valido: true };
+			} else {
+				validacaoAppId = {
+					valido: false,
+					mensagem: 'App ID deve conter apenas letras, números, hífens e underscores'
+				};
+			}
+		}
+
+		// Validar JWT Secret
+		if (jwtSecret.length === 0) {
+			validacaoJWTSecret = { valido: true }; // Opcional
+		} else if (jwtSecret.length < 16) {
+			validacaoJWTSecret = { valido: false, mensagem: 'JWT Secret deve ter no mínimo 16 caracteres' };
+		} else if (jwtSecret.length < 32) {
+			validacaoJWTSecret = {
+				valido: true,
+				aviso: 'Recomendado usar pelo menos 32 caracteres para maior segurança'
+			};
+		} else {
+			validacaoJWTSecret = { valido: true };
 		}
 	});
 
@@ -78,6 +149,20 @@
 			return;
 		}
 
+		// Validar campos antes de enviar
+		if (!validacaoDominio.valido) {
+			mostrarMensagem('error', validacaoDominio.mensagem || 'Domínio inválido');
+			return;
+		}
+		if (!validacaoAppId.valido) {
+			mostrarMensagem('error', validacaoAppId.mensagem || 'App ID inválido');
+			return;
+		}
+		if (!validacaoJWTSecret.valido) {
+			mostrarMensagem('error', validacaoJWTSecret.mensagem || 'JWT Secret inválido');
+			return;
+		}
+
 		processando = true;
 		try {
 			const resultado = await client.mutation(api.configuracaoJitsi.salvarConfigJitsi, {
@@ -86,7 +171,12 @@
 				roomPrefix: roomPrefix.trim(),
 				useHttps,
 				acceptSelfSignedCert,
-				configuradoPorId: currentUser.data._id as Id<'usuarios'>
+				ambiente: ambiente.trim() || undefined,
+				jwtSecret: jwtSecret.trim() || undefined,
+				jwtAudience: jwtAudience.trim() || undefined,
+				jwtIssuer: jwtIssuer.trim() || undefined,
+				configuradoPorId: currentUser.data._id as Id<'usuarios'>,
+				ativar: true
 			});
 
 			if (resultado.sucesso) {
@@ -134,22 +224,175 @@
 		}
 	}
 
-	let statusConfig = $derived(configAtual?.data?.ativo ? 'Configurado' : 'Não configurado');
+	async function gerarTokenTeste() {
+		if (!domain?.trim() || !appId?.trim()) {
+			mostrarMensagem('error', 'Configure domínio e App ID antes de gerar token de teste');
+			return;
+		}
+
+		if (!jwtSecret?.trim()) {
+			mostrarMensagem('error', 'Configure o JWT Secret antes de gerar token de teste');
+			return;
+		}
+
+		gerandoToken = true;
+		try {
+			// Gerar um token de teste com dados fictícios
+			// Nota: Isso é apenas para demonstração. Em produção, o token seria gerado pelo backend
+			// quando o usuário realmente entrar na chamada
+			mostrarMensagem(
+				'success',
+				'Token de teste será gerado automaticamente quando você criar uma chamada. Use o botão de teste de conexão para validar a configuração.'
+			);
+		} catch (error: unknown) {
+			const errorMessage = error instanceof Error ? error.message : String(error);
+			console.error('Erro ao gerar token de teste:', error);
+			mostrarMensagem('error', errorMessage || 'Erro ao gerar token de teste');
+		} finally {
+			gerandoToken = false;
+		}
+	}
+
+	function iniciarNovaConfiguracao() {
+		editandoConfigId = null;
+		mostrandoLista = false;
+		domain = '';
+		appId = 'sgse-app';
+		roomPrefix = 'sgse';
+		useHttps = false;
+		acceptSelfSignedCert = false;
+		ambiente = '';
+		jwtSecret = '';
+		jwtAudience = '';
+		jwtIssuer = '';
+	}
+
+	function editarConfiguracao(configId: Id<'configuracaoJitsi'>) {
+		if (!todasConfigs?.data) return;
+		const config = todasConfigs.data.find(
+			(c: { _id: Id<'configuracaoJitsi'>; domain: string; appId: string; roomPrefix: string; useHttps: boolean; acceptSelfSignedCert?: boolean; ambiente?: string | null }) =>
+				c._id === configId
+		);
+		if (!config) return;
+
+		editandoConfigId = configId;
+		mostrandoLista = false;
+		domain = config.domain;
+		appId = config.appId;
+		roomPrefix = config.roomPrefix;
+		useHttps = config.useHttps;
+		acceptSelfSignedCert = config.acceptSelfSignedCert ?? false;
+		ambiente = config.ambiente || '';
+		// JWT Secret não pode ser recuperado por segurança
+		jwtSecret = '';
+		jwtAudience = '';
+		jwtIssuer = '';
+
+		// Scroll para o formulário
+		setTimeout(() => {
+			document.getElementById('formulario-config')?.scrollIntoView({ behavior: 'smooth' });
+		}, 100);
+	}
+
+	async function atualizarConfiguracao() {
+		if (!editandoConfigId || !currentUser?.data) {
+			mostrarMensagem('error', 'Erro: ID de configuração não encontrado');
+			return;
+		}
+
+		// Validações
+		if (!validacaoDominio.valido) {
+			mostrarMensagem('error', validacaoDominio.mensagem || 'Domínio inválido');
+			return;
+		}
+		if (!validacaoAppId.valido) {
+			mostrarMensagem('error', validacaoAppId.mensagem || 'App ID inválido');
+			return;
+		}
+		if (!validacaoJWTSecret.valido) {
+			mostrarMensagem('error', validacaoJWTSecret.mensagem || 'JWT Secret inválido');
+			return;
+		}
+
+		processando = true;
+		try {
+			const resultado = await client.mutation(api.configuracaoJitsi.atualizarConfigJitsi, {
+				configId: editandoConfigId,
+				domain: domain.trim(),
+				appId: appId.trim(),
+				roomPrefix: roomPrefix.trim(),
+				useHttps,
+				acceptSelfSignedCert,
+				ambiente: ambiente.trim() || undefined,
+				jwtSecret: jwtSecret.trim() || undefined,
+				jwtAudience: jwtAudience.trim() || undefined,
+				jwtIssuer: jwtIssuer.trim() || undefined,
+				atualizadoPorId: currentUser.data._id as Id<'usuarios'>
+			});
+
+			if (resultado.sucesso) {
+				mostrarMensagem('success', 'Configuração atualizada com sucesso!');
+				editandoConfigId = null;
+			} else {
+				mostrarMensagem('error', resultado.erro);
+			}
+		} catch (error: unknown) {
+			const errorMessage = error instanceof Error ? error.message : String(error);
+			console.error('Erro ao atualizar configuração:', error);
+			mostrarMensagem('error', errorMessage || 'Erro ao atualizar configuração');
+		} finally {
+			processando = false;
+		}
+	}
+
+	async function ativarDesativarConfig(configId: Id<'configuracaoJitsi'>, ativar: boolean) {
+		if (!currentUser?.data) {
+			mostrarMensagem('error', 'Usuário não autenticado');
+			return;
+		}
+
+		processando = true;
+		try {
+			const resultado = await client.mutation(api.configuracaoJitsi.ativarDesativarConfigJitsi, {
+				configId,
+				ativo: ativar,
+				atualizadoPorId: currentUser.data._id as Id<'usuarios'>
+			});
+
+			if (resultado.sucesso) {
+				mostrarMensagem('success', `Configuração ${ativar ? 'ativada' : 'desativada'} com sucesso!`);
+			} else {
+				mostrarMensagem('error', resultado.erro);
+			}
+		} catch (error: unknown) {
+			const errorMessage = error instanceof Error ? error.message : String(error);
+			console.error('Erro ao ativar/desativar configuração:', error);
+			mostrarMensagem('error', errorMessage || 'Erro ao alterar status da configuração');
+		} finally {
+			processando = false;
+		}
+	}
+
+	let statusConfig = $derived(
+		configAtual?.data?.ativo
+			? `Configurado${configAtual.data.ambiente ? ` (${configAtual.data.ambiente})` : ''}`
+			: 'Não configurado'
+	);
 
 	let isLoading = $derived(configAtual === undefined);
 </script>
 
 <div class="container mx-auto max-w-4xl px-4 py-6">
 	<!-- Header -->
-	<div class="mb-6 flex items-center justify-between">
+	<div class="mb-8 flex items-center justify-between border-b border-base-300 pb-6">
 		<div class="flex items-center gap-4">
-			<div class="bg-primary/10 rounded-xl p-3">
-				<Video class="text-primary h-8 w-8" strokeWidth={2} />
+			<div class="bg-gradient-to-br from-primary/20 to-primary/10 rounded-2xl p-4 shadow-lg">
+				<Video class="text-primary h-10 w-10" strokeWidth={2} />
 			</div>
 			<div>
 				<h1 class="text-base-content text-3xl font-bold">Configurações do Jitsi Meet</h1>
-				<p class="text-base-content/60 mt-1">
-					Configurar servidor Jitsi para chamadas de vídeo e áudio
+				<p class="text-base-content/60 mt-1.5 text-sm">
+					Configure o servidor Jitsi para habilitar chamadas de vídeo e áudio no sistema
 				</p>
 			</div>
 		</div>
@@ -182,103 +425,505 @@
 
 	<!-- Loading State -->
 	{#if isLoading}
-		<div class="alert alert-info mb-6">
+		<div class="alert alert-info mb-6 shadow-sm">
 			<span class="loading loading-spinner loading-sm"></span>
-			<span>Carregando configurações...</span>
+			<span class="font-medium">Carregando configurações...</span>
 		</div>
 	{/if}
 
 	<!-- Status -->
 	{#if !isLoading}
-		<div class="alert {configAtual?.data?.ativo ? 'alert-success' : 'alert-warning'} mb-6">
+		<div
+			class="alert mb-6 shadow-lg {configAtual?.data?.ativo ? 'alert-success' : 'alert-warning'}"
+		>
 			{#if configAtual?.data?.ativo}
 				<CheckCircle class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
 			{:else}
 				<AlertTriangle class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
 			{/if}
-			<span>
-				<strong>Status:</strong>
-				{statusConfig}
+			<div class="flex-1">
+				<div class="flex items-center gap-2">
+					<strong>Status da Configuração:</strong>
+					<span class="badge {configAtual?.data?.ativo ? 'badge-success' : 'badge-warning'}">
+						{statusConfig}
+					</span>
+				</div>
 				{#if configAtual?.data?.testadoEm}
-					- Última conexão testada em {new Date(configAtual.data.testadoEm).toLocaleString('pt-BR')}
+					<div class="text-sm mt-1 opacity-80">
+						Última conexão testada em {new Date(configAtual.data.testadoEm).toLocaleString('pt-BR')}
+					</div>
+				{:else}
+					<div class="text-sm mt-1 opacity-60">
+						Nunca testado. Use o botão "Testar Conexão" para validar.
+					</div>
 				{/if}
-			</span>
+			</div>
+		</div>
+	{/if}
+
+	<!-- Seção de Múltiplos Ambientes -->
+	{#if !isLoading}
+		<div class="card bg-base-100 mb-6 shadow-xl">
+			<div class="card-body">
+				<div class="flex items-center justify-between mb-6">
+					<div class="flex items-center gap-3">
+						<div class="bg-primary/10 rounded-xl p-2">
+							<List class="h-6 w-6 text-primary" strokeWidth={2} />
+						</div>
+						<div>
+							<h2 class="card-title text-xl">Configurações por Ambiente</h2>
+							<p class="text-sm text-base-content/60 mt-0.5">
+								Gerencie múltiplas configurações para diferentes ambientes
+							</p>
+						</div>
+					</div>
+					<button
+						class="btn btn-primary btn-sm shadow-md tooltip tooltip-left"
+						data-tip="Criar uma nova configuração do Jitsi. Você pode ter múltiplas configurações para diferentes ambientes (desenvolvimento, staging, produção)."
+						onclick={iniciarNovaConfiguracao}
+					>
+						<Plus class="h-4 w-4" strokeWidth={2} />
+						Nova Configuração
+					</button>
+				</div>
+
+				{#if todasConfigs?.data && todasConfigs.data.length > 0}
+					<div class="overflow-x-auto rounded-lg border border-base-300">
+						<table class="table table-zebra">
+							<thead class="bg-base-200">
+								<tr>
+									<th class="font-semibold">Ambiente</th>
+									<th class="font-semibold">Domínio</th>
+									<th class="font-semibold">App ID</th>
+									<th class="font-semibold">Status</th>
+									<th class="font-semibold">Último Teste</th>
+									<th class="font-semibold">Ações</th>
+								</tr>
+							</thead>
+						<tbody>
+							{#each todasConfigs.data as config}
+								<tr class="hover:bg-base-200/50 transition-colors">
+									<td>
+										<div class="flex items-center gap-2">
+											<span class="badge badge-outline badge-lg font-medium">
+												{config.ambiente || 'Padrão'}
+											</span>
+										</div>
+									</td>
+									<td>
+										<div class="font-mono text-sm font-semibold">{config.domain}</div>
+										<div class="flex items-center gap-2 mt-1">
+											<span
+												class="badge badge-sm {config.useHttps ? 'badge-success' : 'badge-warning'}"
+											>
+												{config.useHttps ? 'HTTPS' : 'HTTP'}
+											</span>
+											{#if config.acceptSelfSignedCert}
+												<span class="badge badge-warning badge-sm">Cert. Autoassinado</span>
+											{/if}
+										</div>
+									</td>
+									<td>
+										<span class="font-mono text-sm font-medium">{config.appId}</span>
+									</td>
+									<td>
+										{#if config.ativo}
+											<span class="badge badge-success badge-lg gap-1">
+												<CheckCircle class="h-3 w-3" strokeWidth={2} />
+												Ativa
+											</span>
+										{:else}
+											<span class="badge badge-ghost badge-lg">Inativa</span>
+										{/if}
+									</td>
+									<td>
+										{#if config.testadoEm}
+											<div class="flex flex-col">
+												<span class="text-xs font-medium">
+													{new Date(config.testadoEm).toLocaleDateString('pt-BR')}
+												</span>
+												<span class="text-xs opacity-60">
+													{new Date(config.testadoEm).toLocaleTimeString('pt-BR', {
+														hour: '2-digit',
+														minute: '2-digit'
+													})}
+												</span>
+											</div>
+										{:else}
+											<span class="text-xs opacity-50 italic">Nunca testado</span>
+										{/if}
+									</td>
+									<td>
+										<div class="flex gap-2">
+											<button
+												class="btn btn-ghost btn-xs tooltip tooltip-top"
+												data-tip="Editar esta configuração"
+												onclick={() => editarConfiguracao(config._id)}
+											>
+												<Edit class="h-4 w-4" strokeWidth={2} />
+											</button>
+											{#if config.ativo}
+												<button
+													class="btn btn-ghost btn-xs text-warning tooltip tooltip-top"
+													data-tip="Desativar esta configuração. Outras configurações do mesmo ambiente poderão ser ativadas."
+													onclick={() => ativarDesativarConfig(config._id, false)}
+													disabled={processando}
+												>
+													<PowerOff class="h-4 w-4" strokeWidth={2} />
+												</button>
+											{:else}
+												<button
+													class="btn btn-ghost btn-xs text-success tooltip tooltip-top"
+													data-tip="Ativar esta configuração. Outras configurações do mesmo ambiente serão desativadas automaticamente."
+													onclick={() => ativarDesativarConfig(config._id, true)}
+													disabled={processando}
+												>
+													<Power class="h-4 w-4" strokeWidth={2} />
+												</button>
+											{/if}
+										</div>
+									</td>
+								</tr>
+							{/each}
+						</tbody>
+					</table>
+					</div>
+
+					<div class="alert alert-info mt-4 shadow-sm">
+						<Info class="h-5 w-5 shrink-0" strokeWidth={2} />
+						<div class="text-sm">
+							<p>
+								<strong>💡 Dica:</strong> Você pode ter múltiplas configurações para diferentes ambientes
+								(desenvolvimento, staging, produção). Apenas uma configuração por ambiente pode estar
+								ativa por vez.
+							</p>
+						</div>
+					</div>
+				{:else}
+					<div class="alert alert-info shadow-sm">
+						<Info class="h-5 w-5 shrink-0" strokeWidth={2} />
+						<div>
+							<p class="font-medium">Nenhuma configuração encontrada</p>
+							<p class="text-sm mt-1 opacity-80">
+								Clique em "Nova Configuração" para criar sua primeira configuração do Jitsi.
+							</p>
+						</div>
+					</div>
+				{/if}
+			</div>
 		</div>
 	{/if}
 
 	<!-- Formulário -->
 	{#if !isLoading}
-		<div class="card bg-base-100 shadow-xl">
+		<div id="formulario-config" class="card bg-base-100 shadow-xl border border-base-300">
 			<div class="card-body">
-				<h2 class="card-title mb-4">Dados do Servidor Jitsi</h2>
+				<div class="flex items-center justify-between mb-6 pb-4 border-b border-base-300">
+					<div class="flex items-center gap-3">
+						<div class="bg-primary/10 rounded-xl p-2">
+							{#if editandoConfigId}
+								<Edit class="h-6 w-6 text-primary" strokeWidth={2} />
+							{:else}
+								<Plus class="h-6 w-6 text-primary" strokeWidth={2} />
+							{/if}
+						</div>
+						<div>
+							<h2 class="card-title text-xl">
+								{editandoConfigId ? 'Editar Configuração' : 'Nova Configuração'}
+							</h2>
+							<p class="text-sm text-base-content/60 mt-0.5">
+								{editandoConfigId
+									? 'Modifique os campos abaixo e salve para atualizar a configuração'
+									: 'Preencha os campos abaixo para criar uma nova configuração do Jitsi'}
+							</p>
+						</div>
+					</div>
+					{#if editandoConfigId}
+						<button
+							class="btn btn-ghost btn-sm tooltip tooltip-left"
+							data-tip="Cancelar edição e criar uma nova configuração"
+							onclick={iniciarNovaConfiguracao}
+						>
+							<Plus class="h-4 w-4" strokeWidth={2} />
+							Criar Nova
+						</button>
+					{/if}
+				</div>
+
+				<div class="grid grid-cols-1 gap-6 md:grid-cols-2">
+					<!-- Ambiente -->
+					<div class="form-control">
+						<label class="label" for="jitsi-ambiente">
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">Ambiente</span>
+								<div class="tooltip tooltip-right" data-tip="Permite ter múltiplas configurações para diferentes ambientes (dev, staging, prod). Apenas uma configuração por ambiente pode estar ativa por vez.">
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
+						</label>
+						<select id="jitsi-ambiente" bind:value={ambiente} class="select select-bordered w-full">
+							<option value="">Padrão (sem ambiente específico)</option>
+							<option value="desenvolvimento">Desenvolvimento</option>
+							<option value="staging">Staging</option>
+							<option value="producao">Produção</option>
+						</select>
+						<div class="label">
+							<span class="label-text-alt text-base-content/60"
+								>Permite múltiplas configurações por ambiente</span
+							>
+						</div>
+					</div>
 
-				<div class="grid grid-cols-1 gap-4 md:grid-cols-2">
 					<!-- Domínio -->
 					<div class="form-control md:col-span-2">
 						<label class="label" for="jitsi-domain">
-							<span class="label-text font-medium">Domínio do Servidor *</span>
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">Domínio do Servidor *</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Endereço do servidor Jitsi. Use FQDN (ex: meet.example.com) para produção ou localhost:porta (ex: localhost:8443) para desenvolvimento local."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
 						</label>
 						<input
 							id="jitsi-domain"
 							type="text"
 							bind:value={domain}
 							placeholder="localhost:8443 ou meet.example.com"
-							class="input input-bordered"
+							class="input input-bordered w-full {validacaoDominio.valido ? '' : 'input-error'}"
 						/>
 						<div class="label">
-							<span class="label-text-alt"
-								>Ex: localhost:8443 (local), meet.example.com (produção)</span
-							>
+							{#if validacaoDominio.valido}
+								<span class="label-text-alt text-base-content/60"
+									>Ex: localhost:8443 (local), meet.example.com (produção)</span
+								>
+							{:else}
+								<span class="label-text-alt text-error">{validacaoDominio.mensagem}</span>
+							{/if}
 						</div>
 					</div>
 
 					<!-- App ID -->
 					<div class="form-control">
 						<label class="label" for="jitsi-app-id">
-							<span class="label-text font-medium">App ID *</span>
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">App ID *</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Identificador único da aplicação no servidor Jitsi. Deve corresponder ao JWT_APP_ID configurado no servidor. Formato: apenas letras, números, hífens e underscores."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
 						</label>
 						<input
 							id="jitsi-app-id"
 							type="text"
 							bind:value={appId}
 							placeholder="sgse-app"
-							class="input input-bordered"
+							class="input input-bordered w-full {validacaoAppId.valido ? '' : 'input-error'}"
 						/>
 						<div class="label">
-							<span class="label-text-alt">Identificador da aplicação Jitsi</span>
+							{#if validacaoAppId.valido}
+								<span class="label-text-alt text-base-content/60"
+									>Identificador da aplicação Jitsi</span
+								>
+							{:else}
+								<span class="label-text-alt text-error">{validacaoAppId.mensagem}</span>
+							{/if}
 						</div>
 					</div>
 
 					<!-- Room Prefix -->
 					<div class="form-control">
 						<label class="label" for="jitsi-room-prefix">
-							<span class="label-text font-medium">Prefixo de Sala *</span>
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">Prefixo de Sala *</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Prefixo usado para gerar nomes únicos de salas Jitsi. Exemplo: com prefixo 'sgse', as salas serão nomeadas como 'sgse-video-abc123-...'. Apenas letras, números e hífens são permitidos."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
 						</label>
 						<input
 							id="jitsi-room-prefix"
 							type="text"
 							bind:value={roomPrefix}
 							placeholder="sgse"
-							class="input input-bordered"
+							class="input input-bordered w-full"
 						/>
 						<div class="label">
-							<span class="label-text-alt">Apenas letras, números e hífens</span>
+							<span class="label-text-alt text-base-content/60"
+								>Apenas letras, números e hífens</span
+							>
+						</div>
+					</div>
+				</div>
+
+				<!-- Configurações JWT -->
+				<div class="divider my-6">
+					<div class="flex items-center gap-2">
+						<Key class="h-5 w-5" strokeWidth={2} />
+						<span class="font-bold">Autenticação JWT</span>
+						<span class="badge badge-outline badge-sm">Opcional</span>
+						<div
+							class="tooltip tooltip-right"
+							data-tip="JWT (JSON Web Token) permite autenticação e controle de acesso nas chamadas. Configure apenas se o servidor Jitsi estiver configurado para usar JWT. O secret será criptografado antes de ser armazenado."
+						>
+							<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+						</div>
+					</div>
+				</div>
+				<div class="alert alert-info mb-4 shadow-sm">
+					<Info class="h-5 w-5 shrink-0" strokeWidth={2} />
+					<div class="text-sm">
+						<p class="font-medium mb-1">ℹ️ Sobre JWT</p>
+						<p>
+							Configure JWT para autenticação e controle de acesso nas chamadas. O JWT Secret será
+							criptografado antes de ser armazenado. Deixe vazio para desabilitar JWT.
+						</p>
+					</div>
+				</div>
+
+				<div class="grid grid-cols-1 gap-4 md:grid-cols-2">
+					<!-- JWT Secret -->
+					<div class="form-control md:col-span-2">
+						<label class="label" for="jitsi-jwt-secret">
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">JWT Secret</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Chave secreta usada para assinar tokens JWT. Deve corresponder ao JWT_APP_SECRET configurado no servidor Jitsi. Mínimo 16 caracteres (recomendado: 32+). Será criptografado antes de ser armazenado. Deixe vazio para desabilitar JWT."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
+						</label>
+						<div class="relative">
+							<input
+								id="jitsi-jwt-secret"
+								type={mostrarJWTSecret ? 'text' : 'password'}
+								bind:value={jwtSecret}
+								placeholder="Deixe vazio para desabilitar JWT"
+								class="input input-bordered w-full {validacaoJWTSecret.valido ? '' : 'input-error'}"
+							/>
+							<button
+								type="button"
+								class="btn btn-ghost btn-sm absolute right-2 top-1/2 -translate-y-1/2"
+								onclick={() => (mostrarJWTSecret = !mostrarJWTSecret)}
+							>
+								{#if mostrarJWTSecret}
+									<EyeOff class="h-4 w-4" strokeWidth={2} />
+								{:else}
+									<Eye class="h-4 w-4" strokeWidth={2} />
+								{/if}
+							</button>
+						</div>
+						<div class="label">
+							{#if validacaoJWTSecret.valido}
+								<span class="label-text-alt text-base-content/60">
+									{#if validacaoJWTSecret.aviso}
+										<span class="text-warning font-medium">⚠️ {validacaoJWTSecret.aviso}</span>
+									{:else}
+										Mínimo 16 caracteres (recomendado: 32+). Deixe vazio para desabilitar JWT.
+									{/if}
+								</span>
+							{:else}
+								<span class="label-text-alt text-error font-medium">{validacaoJWTSecret.mensagem}</span>
+							{/if}
+							<div class="tooltip tooltip-left" data-tip="Para gerar um JWT Secret seguro no terminal, use: openssl rand -hex 32">
+								<span class="label-text-alt text-info cursor-help hover:underline"
+									>💡 Como gerar JWT Secret?</span
+								>
+							</div>
+						</div>
+					</div>
+
+					<!-- JWT Audience -->
+					<div class="form-control">
+						<label class="label" for="jitsi-jwt-audience">
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">JWT Audience</span>
+								<span class="badge badge-ghost badge-xs">Opcional</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Audience do token JWT. Identifica o destinatário do token. Padrão: domínio do servidor. Configure apenas se necessário para compatibilidade com configurações específicas do servidor."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
+						</label>
+						<input
+							id="jitsi-jwt-audience"
+							type="text"
+							bind:value={jwtAudience}
+							placeholder="Padrão: domínio do servidor"
+							class="input input-bordered w-full"
+						/>
+						<div class="label">
+							<span class="label-text-alt text-base-content/60"
+								>Padrão: <code class="bg-base-200 px-1.5 py-0.5 rounded text-xs font-mono">{domain || 'domínio do servidor'}</code></span
+							>
+						</div>
+					</div>
+
+					<!-- JWT Issuer -->
+					<div class="form-control">
+						<label class="label" for="jitsi-jwt-issuer">
+							<div class="flex items-center gap-2">
+								<span class="label-text font-medium">JWT Issuer</span>
+								<span class="badge badge-ghost badge-xs">Opcional</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Issuer do token JWT. Identifica quem emitiu o token. Padrão: App ID. Configure apenas se necessário para compatibilidade com configurações específicas do servidor."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
+						</label>
+						<input
+							id="jitsi-jwt-issuer"
+							type="text"
+							bind:value={jwtIssuer}
+							placeholder="Padrão: App ID"
+							class="input input-bordered w-full"
+						/>
+						<div class="label">
+							<span class="label-text-alt text-base-content/60"
+								>Padrão: <code class="bg-base-200 px-1.5 py-0.5 rounded text-xs font-mono">{appId || 'App ID'}</code></span
+							>
 						</div>
 					</div>
 				</div>
 
 				<!-- Opções de Segurança -->
-				<div class="divider"></div>
-				<h3 class="mb-2 font-bold">Configurações de Segurança</h3>
+				<div class="divider my-6">
+					<div class="flex items-center gap-2">
+						<AlertTriangle class="h-5 w-5 text-warning" strokeWidth={2} />
+						<span class="font-bold">Configurações de Segurança</span>
+					</div>
+				</div>
 
 				<div class="flex flex-col gap-4">
 					<div class="form-control">
 						<label class="label cursor-pointer gap-3">
 							<input type="checkbox" bind:checked={useHttps} class="checkbox checkbox-primary" />
-							<span class="label-text font-medium">Usar HTTPS</span>
+							<div class="flex items-center gap-2 flex-1">
+								<span class="label-text font-medium">Usar HTTPS</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Use HTTPS para conexões seguras. Ativado automaticamente se domínio contém :8443. HTTP não é recomendado para produção pois não criptografa a comunicação."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
 						</label>
 						<div class="label">
-							<span class="label-text-alt"
+							<span class="label-text-alt text-base-content/60"
 								>Ativado automaticamente se domínio contém :8443. Desmarque para usar HTTP (não
 								recomendado para produção)</span
 							>
@@ -292,7 +937,15 @@
 								bind:checked={acceptSelfSignedCert}
 								class="checkbox checkbox-warning"
 							/>
-							<span class="label-text font-medium">Aceitar Certificados Autoassinados</span>
+							<div class="flex items-center gap-2 flex-1">
+								<span class="label-text font-medium">Aceitar Certificados Autoassinados</span>
+								<div
+									class="tooltip tooltip-right"
+									data-tip="Permite aceitar certificados SSL autoassinados (não confiáveis). Use APENAS para desenvolvimento local. Em produção, sempre use certificados válidos (Let's Encrypt, etc.) para garantir segurança."
+								>
+									<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+								</div>
+							</div>
 						</label>
 						<div class="label">
 							<span class="label-text-alt text-warning"
@@ -304,74 +957,147 @@
 				</div>
 
 				<!-- Ações -->
-				<div class="card-actions mt-6 justify-end gap-3">
-					<button
-						class="btn btn-outline btn-info"
-						onclick={testarConexao}
-						disabled={testando || processando}
-					>
-						{#if testando}
-							<span class="loading loading-spinner loading-sm"></span>
-						{:else}
-							<CheckCircle class="h-5 w-5" strokeWidth={2} />
-						{/if}
-						Testar Conexão
-					</button>
+				<div class="card-actions mt-8 justify-between border-t border-base-300 pt-6">
+					<div class="flex gap-3 flex-wrap">
+						<button
+							class="btn btn-outline btn-info tooltip tooltip-top"
+							data-tip="Testa a conectividade com o servidor Jitsi. Verifica se o servidor está acessível e responde corretamente."
+							onclick={testarConexao}
+							disabled={testando || processando}
+						>
+							{#if testando}
+								<span class="loading loading-spinner loading-sm"></span>
+							{:else}
+								<CheckCircle class="h-5 w-5" strokeWidth={2} />
+							{/if}
+							Testar Conexão
+						</button>
 
-					<button
-						class="btn btn-primary"
-						onclick={salvarConfiguracao}
-						disabled={processando || testando}
-					>
-						{#if processando}
-							<span class="loading loading-spinner loading-sm"></span>
-						{:else}
-							<Save class="h-5 w-5" strokeWidth={2} />
+						{#if jwtSecret.trim()}
+							<button
+								class="btn btn-outline btn-secondary tooltip tooltip-top"
+								data-tip="Gera um token JWT de teste para validar a configuração. O token será gerado automaticamente quando você criar uma chamada."
+								onclick={gerarTokenTeste}
+								disabled={gerandoToken || processando}
+							>
+								{#if gerandoToken}
+									<span class="loading loading-spinner loading-sm"></span>
+								{:else}
+									<TestTube class="h-5 w-5" strokeWidth={2} />
+								{/if}
+								Gerar Token de Teste
+							</button>
 						{/if}
-						Salvar Configuração
-					</button>
+					</div>
+
+					{#if editandoConfigId}
+						<button
+							class="btn btn-primary btn-lg shadow-lg"
+							onclick={atualizarConfiguracao}
+							disabled={processando || testando || !validacaoDominio.valido || !validacaoAppId.valido || !validacaoJWTSecret.valido}
+						>
+							{#if processando}
+								<span class="loading loading-spinner loading-sm"></span>
+							{:else}
+								<Save class="h-5 w-5" strokeWidth={2} />
+							{/if}
+							Atualizar Configuração
+						</button>
+					{:else}
+						<button
+							class="btn btn-primary btn-lg shadow-lg"
+							onclick={salvarConfiguracao}
+							disabled={processando || testando || !validacaoDominio.valido || !validacaoAppId.valido || !validacaoJWTSecret.valido}
+						>
+							{#if processando}
+								<span class="loading loading-spinner loading-sm"></span>
+							{:else}
+								<Save class="h-5 w-5" strokeWidth={2} />
+							{/if}
+							Salvar Configuração
+						</button>
+					{/if}
 				</div>
 			</div>
 		</div>
 	{/if}
 
 	<!-- Exemplos Comuns -->
-	<div class="card bg-base-100 mt-6 shadow-xl">
+	<div class="card bg-base-100 mt-6 shadow-xl border border-base-300">
 		<div class="card-body">
-			<h2 class="card-title mb-4">Exemplos de Configuração</h2>
+			<div class="flex items-center gap-2 mb-4">
+				<Info class="h-5 w-5 text-info" strokeWidth={2} />
+				<h2 class="card-title">Exemplos de Configuração</h2>
+				<div
+					class="tooltip tooltip-left"
+					data-tip="Exemplos práticos de configuração para diferentes cenários de uso."
+				>
+					<HelpCircle class="h-4 w-4 text-base-content/50 cursor-help" strokeWidth={2} />
+				</div>
+			</div>
 
-			<div class="overflow-x-auto">
-				<table class="table-sm table">
-					<thead>
+			<div class="overflow-x-auto rounded-lg border border-base-300">
+				<table class="table table-zebra">
+					<thead class="bg-base-200">
 						<tr>
-							<th>Ambiente</th>
-							<th>Domínio</th>
-							<th>App ID</th>
-							<th>Prefixo Sala</th>
-							<th>HTTPS</th>
+							<th class="font-semibold">Ambiente</th>
+							<th class="font-semibold">Domínio</th>
+							<th class="font-semibold">App ID</th>
+							<th class="font-semibold">Prefixo Sala</th>
+							<th class="font-semibold">HTTPS</th>
 						</tr>
 					</thead>
 					<tbody>
 						<tr>
-							<td><strong>Docker Local</strong></td>
-							<td>localhost:8443</td>
-							<td>sgse-app</td>
-							<td>sgse</td>
-							<td>Sim</td>
+							<td>
+								<span class="badge badge-info">Docker Local</span>
+							</td>
+							<td>
+								<code class="text-sm">localhost:8443</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse-app</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse</code>
+							</td>
+							<td>
+								<span class="badge badge-success">Sim</span>
+							</td>
 						</tr>
 						<tr>
-							<td><strong>Produção</strong></td>
-							<td>meet.example.com</td>
-							<td>sgse-app</td>
-							<td>sgse</td>
-							<td>Sim</td>
+							<td>
+								<span class="badge badge-success">Produção</span>
+							</td>
+							<td>
+								<code class="text-sm">meet.example.com</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse-app</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse</code>
+							</td>
+							<td>
+								<span class="badge badge-success">Sim</span>
+							</td>
 						</tr>
 						<tr>
-							<td><strong>Desenvolvimento</strong></td>
-							<td>localhost:8000</td>
-							<td>sgse-app</td>
-							<td>sgse-dev</td>
-							<td>Não</td>
+							<td>
+								<span class="badge badge-warning">Desenvolvimento</span>
+							</td>
+							<td>
+								<code class="text-sm">localhost:8000</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse-app</code>
+							</td>
+							<td>
+								<code class="text-sm">sgse-dev</code>
+							</td>
+							<td>
+								<span class="badge badge-error">Não</span>
+							</td>
 						</tr>
 					</tbody>
 				</table>
@@ -380,27 +1106,32 @@
 	</div>
 
 	<!-- Avisos -->
-	<div class="alert alert-info mt-6">
+	<div class="alert alert-info mt-6 shadow-sm">
 		<Info class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
 		<div>
-			<p>
-				<strong>Dica:</strong> Para servidor Jitsi Docker local, use
-				<code>localhost:8443</code> com HTTPS habilitado. Para servidor em produção, use o domínio completo
-				do seu servidor Jitsi.
-			</p>
-			<p class="mt-1 text-sm">
-				A configuração será aplicada imediatamente após salvar. Usuários precisarão recarregar a
-				página para usar a nova configuração.
+			<p class="font-medium">
+				💡 Dicas de Configuração
 			</p>
+			<ul class="mt-2 text-sm space-y-1 list-disc list-inside opacity-90">
+				<li>
+					Para servidor Jitsi Docker local, use <code class="bg-base-200 px-1.5 py-0.5 rounded">localhost:8443</code> com HTTPS habilitado
+				</li>
+				<li>
+					Para servidor em produção, use o domínio completo do seu servidor Jitsi (ex: <code class="bg-base-200 px-1.5 py-0.5 rounded">meet.example.com</code>)
+				</li>
+				<li>
+					A configuração será aplicada imediatamente após salvar. Usuários precisarão recarregar a página para usar a nova configuração
+				</li>
+			</ul>
 		</div>
 	</div>
 
 	<!-- Aviso sobre Certificados Autoassinados -->
 	{#if acceptSelfSignedCert}
-		<div class="alert alert-warning mt-4">
+		<div class="alert alert-warning mt-4 shadow-sm">
 			<AlertTriangle class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
 			<div>
-				<p class="font-bold">Certificados Autoassinados Ativados</p>
+				<p class="font-bold">⚠️ Certificados Autoassinados Ativados</p>
 				<p class="mt-1 text-sm">
 					Para certificados autoassinados (desenvolvimento local), os usuários precisarão aceitar o
 					certificado no navegador na primeira conexão. Em produção, use certificados válidos (Let's
@@ -412,10 +1143,10 @@
 
 	<!-- Aviso sobre HTTP -->
 	{#if !useHttps}
-		<div class="alert alert-error mt-4">
+		<div class="alert alert-error mt-4 shadow-sm">
 			<AlertTriangle class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
 			<div>
-				<p class="font-bold">HTTP Ativado (Não Seguro)</p>
+				<p class="font-bold">🔒 HTTP Ativado (Não Seguro)</p>
 				<p class="mt-1 text-sm">
 					O uso de HTTP não é recomendado para produção. Use HTTPS com certificado válido para
 					garantir segurança nas chamadas.
diff --git a/apps/web/src/routes/(dashboard)/ti/times/+page.svelte b/apps/web/src/routes/(dashboard)/ti/times/+page.svelte
index 561d94e..5354c4f 100644
--- a/apps/web/src/routes/(dashboard)/ti/times/+page.svelte
+++ b/apps/web/src/routes/(dashboard)/ti/times/+page.svelte
@@ -5,6 +5,7 @@
 	import { goto } from '$app/navigation';
 	import { resolve } from '$app/paths';
 	import ProtectedRoute from '$lib/components/ProtectedRoute.svelte';
+	import UserAvatar from '$lib/components/chat/UserAvatar.svelte';
 	import {
 		Users,
 		ArrowLeft,
@@ -70,6 +71,10 @@
 		descricaoCargo?: string;
 	};
 
+	type FuncionarioComFoto = Funcionario & {
+		fotoPerfilUrl?: string | null;
+	};
+
 	type Gestor = Doc<'usuarios'> | null;
 
 	type TimeComDetalhes = Doc<'times'> & {
@@ -78,7 +83,7 @@
 	};
 
 	type MembroTime = Doc<'timesMembros'> & {
-		funcionario: Doc<'funcionarios'> | null;
+		funcionario: FuncionarioComFoto | null;
 	};
 
 	type TimeComMembros = Doc<'times'> & {
@@ -105,7 +110,10 @@
 	let modoEdicao = $state(false);
 	let timeEmEdicao = $state<TimeComDetalhes | null>(null);
 	let mostrarModalMembros = $state(false);
+	let mostrarModalVisualizarMembros = $state(false);
 	let timeParaMembros = $state<TimeComMembros | null>(null);
+	let carregandoMembrosVisualizacao = $state(false);
+	let erroCarregarMembrosVisualizacao = $state<string | null>(null);
 	let mostrarConfirmacaoExclusao = $state(false);
 	let timeParaExcluir = $state<TimeComDetalhes | null>(null);
 	let processando = $state(false);
@@ -224,10 +232,39 @@
 		const detalhes = await client.query(api.times.obterPorId, { id: time._id });
 		if (detalhes) {
 			timeParaMembros = detalhes as TimeComMembros;
+			mostrarModalVisualizarMembros = false;
 			mostrarModalMembros = true;
 		}
 	}
 
+	async function abrirVisualizarMembros(time: TimeComDetalhes) {
+		// Abrir modal imediatamente (mesmo se a query falhar), para garantir feedback visual.
+		erroCarregarMembrosVisualizacao = null;
+		carregandoMembrosVisualizacao = true;
+		mostrarModalMembros = false;
+		mostrarModalVisualizarMembros = true;
+
+		// Preencher um "skeleton" mínimo enquanto carrega
+		timeParaMembros = {
+			...(time as unknown as Doc<'times'>),
+			gestor: time.gestor,
+			membros: []
+		} as TimeComMembros;
+
+		try {
+			const detalhes = await client.query(api.times.obterPorId, { id: time._id });
+			if (detalhes) {
+				timeParaMembros = detalhes as TimeComMembros;
+			} else {
+				erroCarregarMembrosVisualizacao = 'Não foi possível carregar os detalhes do time.';
+			}
+		} catch (e: unknown) {
+			erroCarregarMembrosVisualizacao = e instanceof Error ? e.message : String(e);
+		} finally {
+			carregandoMembrosVisualizacao = false;
+		}
+	}
+
 	async function adicionarMembro(funcionarioId: string) {
 		if (!timeParaMembros) return;
 
@@ -283,6 +320,19 @@
 		mostrarModalMembros = false;
 		timeParaMembros = null;
 	}
+
+	function fecharModalVisualizarMembros() {
+		mostrarModalVisualizarMembros = false;
+		timeParaMembros = null;
+		carregandoMembrosVisualizacao = false;
+		erroCarregarMembrosVisualizacao = null;
+	}
+
+	function formatarTipoCargoFuncao(tipo: Funcionario['simboloTipo'] | undefined) {
+		if (tipo === 'cargo_comissionado') return 'Cargo';
+		if (tipo === 'funcao_gratificada') return 'Função';
+		return 'Cargo/Função';
+	}
 </script>
 
 <ProtectedRoute allowedRoles={['ti_master', 'admin', 'ti_usuario']}>
@@ -412,6 +462,15 @@
 					<div
 						class="card bg-base-100 border-l-4 shadow-xl transition-all hover:shadow-2xl"
 						style="border-color: {time.cor || '#3B82F6'}"
+						role="button"
+						tabindex="0"
+						onclick={() => abrirVisualizarMembros(time)}
+						onkeydown={(e) => {
+							if (e.key === 'Enter' || e.key === ' ') {
+								e.preventDefault();
+								abrirVisualizarMembros(time);
+							}
+						}}
 					>
 						<div class="card-body">
 							<div class="mb-2 flex items-start justify-between">
@@ -423,7 +482,12 @@
 									<h2 class="card-title text-lg">{time.nome}</h2>
 								</div>
 								<div class="dropdown dropdown-end">
-									<button type="button" class="btn btn-sm" aria-label="Menu do time">
+									<button
+										type="button"
+										class="btn btn-sm"
+										aria-label="Menu do time"
+										onclick={(e) => e.stopPropagation()}
+									>
 										<MoreVertical class="h-5 w-5" strokeWidth={2} />
 									</button>
 									<ul
@@ -431,13 +495,25 @@
 										class="dropdown-content menu bg-base-100 rounded-box border-base-300 z-1 w-52 border p-2 shadow-xl"
 									>
 										<li>
-											<button type="button" onclick={() => editarTime(time)}>
+											<button
+												type="button"
+												onclick={(e) => {
+													e.stopPropagation();
+													editarTime(time);
+												}}
+											>
 												<Edit class="h-4 w-4" strokeWidth={2} />
 												Editar
 											</button>
 										</li>
 										<li>
-											<button type="button" onclick={() => abrirGerenciarMembros(time)}>
+											<button
+												type="button"
+												onclick={(e) => {
+													e.stopPropagation();
+													abrirGerenciarMembros(time);
+												}}
+											>
 												<Users class="h-4 w-4" strokeWidth={2} />
 												Gerenciar Membros
 											</button>
@@ -445,7 +521,10 @@
 										<li>
 											<button
 												type="button"
-												onclick={() => confirmarExclusao(time)}
+												onclick={(e) => {
+													e.stopPropagation();
+													confirmarExclusao(time);
+												}}
 												class="text-error"
 											>
 												<Trash2 class="h-4 w-4" strokeWidth={2} />
@@ -482,7 +561,10 @@
 							<div class="card-actions mt-4 justify-end">
 								<button
 									class="btn btn-sm btn-outline btn-primary"
-									onclick={() => abrirGerenciarMembros(time)}
+									onclick={(e) => {
+										e.stopPropagation();
+										abrirVisualizarMembros(time);
+									}}
 								>
 									Ver Detalhes
 								</button>
@@ -505,6 +587,107 @@
 			</div>
 		{/if}
 
+		<!-- Modal de Visualização de Membros -->
+		{#if mostrarModalVisualizarMembros && timeParaMembros}
+			<dialog class="modal modal-open">
+				<div class="modal-box max-w-5xl">
+					<div class="mb-4 flex items-start justify-between gap-4">
+						<h3 class="flex items-center gap-2 text-2xl font-bold">
+							<div class="h-3 w-3 rounded-full" style="background-color: {timeParaMembros.cor}"></div>
+							{timeParaMembros.nome}
+						</h3>
+						<button class="btn btn-sm btn-circle" onclick={fecharModalVisualizarMembros} aria-label="Fechar">
+							<X class="h-4 w-4" strokeWidth={2} />
+						</button>
+					</div>
+
+					{#if timeParaMembros.descricao}
+						<p class="text-base-content/70 mb-4">{timeParaMembros.descricao}</p>
+					{/if}
+
+					<div class="border-base-300 mb-4 rounded-xl border p-3">
+						<div class="flex flex-wrap gap-3">
+							<div class="badge badge-primary">
+								Membros: {timeParaMembros.membros?.length || 0}
+							</div>
+							<div class="badge">
+								Gestor: {timeParaMembros.gestor?.nome || 'Não definido'}
+							</div>
+						</div>
+					</div>
+
+					{#if carregandoMembrosVisualizacao}
+						<div class="flex items-center justify-center py-10">
+							<span class="loading loading-spinner loading-lg text-primary"></span>
+						</div>
+					{:else if erroCarregarMembrosVisualizacao}
+						<div class="alert alert-error">
+							<Info class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
+							<span>Erro ao carregar membros: {erroCarregarMembrosVisualizacao}</span>
+						</div>
+					{:else if timeParaMembros.membros && timeParaMembros.membros.length > 0}
+						<div class="overflow-x-auto">
+							<table class="table">
+								<thead>
+									<tr>
+										<th>Membro</th>
+										<th>Matrícula</th>
+										<th>Cargo/Função</th>
+									</tr>
+								</thead>
+								<tbody>
+									{#each timeParaMembros.membros as membro (membro._id)}
+										<tr class="hover">
+											<td>
+												<div class="flex items-center gap-3">
+													<UserAvatar
+														nome={membro.funcionario?.nome || 'Sem nome'}
+														fotoPerfilUrl={membro.funcionario?.fotoPerfilUrl}
+														size="sm"
+													/>
+													<div class="min-w-0">
+														<div class="truncate font-semibold">{membro.funcionario?.nome || '-'}</div>
+														<div class="text-base-content/50 text-xs">
+															Desde {new Date(membro.dataEntrada).toLocaleDateString('pt-BR')}
+														</div>
+													</div>
+												</div>
+											</td>
+											<td class="text-base-content/80">
+												{membro.funcionario?.matricula || 'S/N'}
+											</td>
+											<td>
+												<div class="flex flex-col gap-1">
+													<div class="font-medium">
+														{membro.funcionario?.descricaoCargo || '-'}
+													</div>
+													<div class="text-base-content/60 text-xs">
+														{formatarTipoCargoFuncao(membro.funcionario?.simboloTipo)}
+													</div>
+												</div>
+											</td>
+										</tr>
+									{/each}
+								</tbody>
+							</table>
+						</div>
+					{:else}
+						<div class="alert alert-info">
+							<Info class="h-6 w-6 shrink-0 stroke-current" strokeWidth={2} />
+							<span>Nenhum membro neste time.</span>
+						</div>
+					{/if}
+
+					<div class="modal-action">
+						<button class="btn" onclick={fecharModalVisualizarMembros}>Fechar</button>
+					</div>
+				</div>
+				<form method="dialog" class="modal-backdrop">
+					<button type="button" onclick={fecharModalVisualizarMembros} aria-label="Fechar modal">Fechar</button>
+				</form>
+			</dialog>
+		{/if}
+
 		<!-- Modal de Gerenciar Membros -->
 		{#if mostrarModalMembros && timeParaMembros}
 			<dialog class="modal modal-open">
diff --git a/docs/JITSI_CONFIGURACAO.md b/docs/JITSI_CONFIGURACAO.md
new file mode 100644
index 0000000..4f21d6c
--- /dev/null
+++ b/docs/JITSI_CONFIGURACAO.md
@@ -0,0 +1,621 @@
+# Configuração do Jitsi Meet no SGSE
+
+## Introdução
+
+O sistema de videochamadas do SGSE utiliza o Jitsi Meet, uma solução open-source para comunicação por vídeo e áudio. Este documento fornece um guia completo para configurar o Jitsi Meet no sistema SGSE.
+
+### Benefícios
+
+- **Chamadas de vídeo e áudio** em tempo real
+- **Autenticação JWT** para controle de acesso
+- **Suporte a múltiplos ambientes** (desenvolvimento, staging, produção)
+- **Gravação de chamadas** (quando habilitado no servidor)
+- **Integração nativa** com o sistema de chat
+
+### Visão Geral da Arquitetura
+
+```
+┌─────────────┐         ┌──────────────┐         ┌─────────────┐
+│   Cliente   │────────▶│  Backend     │────────▶│   Jitsi     │
+│  (Navegador)│         │  (Convex)    │         │   Servidor  │
+└─────────────┘         └──────────────┘         └─────────────┘
+      │                         │                        │
+      │                         │                        │
+      └─────────────────────────┴────────────────────────┘
+                    Token JWT (opcional)
+```
+
+## Requisitos do Sistema
+
+### Requisitos de Hardware
+
+- **CPU**: Mínimo 2 cores (recomendado: 4+ cores)
+- **RAM**: Mínimo 4GB (recomendado: 8GB+)
+- **Largura de Banda**: Mínimo 1 Mbps por participante (recomendado: 2+ Mbps)
+
+### Requisitos de Software
+
+- **Docker** e **Docker Compose** (para instalação self-hosted)
+- **Node.js** 18+ (já incluído no SGSE)
+- **Navegador moderno** com suporte a WebRTC (Chrome, Firefox, Safari, Edge)
+
+### Requisitos de Rede
+
+- **Portas necessárias**:
+  - `80` (HTTP) ou `443` (HTTPS) - Web
+  - `4443` (TURN/TCP) - Retransmissão de mídia
+  - `10000/udp` (RTP/RTCP) - Streaming de mídia
+- **Firewall**: Permitir tráfego UDP e TCP nas portas acima
+- **DNS**: Configurar registro A ou CNAME para o domínio (produção)
+
+### Requisitos de Certificados SSL
+
+- **Produção**: Certificado válido (Let's Encrypt recomendado)
+- **Desenvolvimento**: Certificado autoassinado aceitável
+
+## Tipos de Instalação
+
+### 1. Jitsi Self-Hosted com Docker
+
+Esta é a opção recomendada para produção e oferece controle total sobre o servidor.
+
+#### Pré-requisitos
+
+1. Servidor com Docker e Docker Compose instalados
+2. Domínio configurado (para produção) ou acesso a `localhost` (desenvolvimento)
+3. Certificado SSL (para produção)
+
+#### Passo a Passo
+
+1. **Instalar Docker e Docker Compose**
+
+```bash
+# Ubuntu/Debian
+sudo apt-get update
+sudo apt-get install docker.io docker-compose
+
+# Verificar instalação
+docker --version
+docker-compose --version
+```
+
+2. **Criar diretório para configuração**
+
+```bash
+mkdir -p ~/jitsi-meet
+cd ~/jitsi-meet
+```
+
+3. **Baixar arquivos de configuração**
+
+```bash
+# Baixar docker-compose.yml oficial
+curl -L https://github.com/jitsi/docker-jitsi-meet/archive/refs/heads/master.zip -o jitsi.zip
+unzip jitsi.zip
+cd docker-jitsi-meet-master
+```
+
+4. **Configurar variáveis de ambiente**
+
+```bash
+# Copiar arquivo de exemplo
+cp env.example .env
+
+# Editar .env com suas configurações
+nano .env
+```
+
+Configurações importantes no `.env`:
+
+```env
+# Domínio
+CONFIG=~/.jitsi-meet-cfg
+TZ=America/Recife
+HTTP_PORT=8000
+HTTPS_PORT=8443
+PUBLIC_URL=https://meet.example.com
+DOMAIN=meet.example.com
+
+# Autenticação
+ENABLE_AUTH=1
+ENABLE_GUESTS=0
+
+# JWT
+JWT_APP_ID=sgse-app
+JWT_APP_SECRET=seu-jwt-secret-aqui-minimo-32-caracteres
+
+# Gravação (opcional)
+ENABLE_RECORDING=0
+
+# Outras configurações
+ENABLE_PREJOIN_PAGE=0
+START_AUDIO_MUTED=0
+START_VIDEO_MUTED=0
+ENABLE_XMPP_WEBSOCKET=1
+ENABLE_P2P=1
+MAX_NUMBER_OF_PARTICIPANTS=10
+```
+
+5. **Gerar JWT Secret seguro**
+
+```bash
+# Gerar secret aleatório de 64 caracteres
+openssl rand -hex 32
+```
+
+6. **Criar diretório de configuração**
+
+```bash
+mkdir -p ~/.jitsi-meet-cfg/{web/letsencrypt,transcripts,prosody/config,prosody/prosody-plugins-custom,jicofo,jvb,jigasi,jibri}
+```
+
+7. **Iniciar containers**
+
+```bash
+docker-compose up -d
+```
+
+8. **Verificar status**
+
+```bash
+docker-compose ps
+```
+
+9. **Verificar logs**
+
+```bash
+docker-compose logs -f
+```
+
+#### Configuração de Certificados SSL
+
+**Para Produção (Let's Encrypt):**
+
+O Jitsi Docker suporta Let's Encrypt automaticamente. Configure:
+
+```env
+ENABLE_LETSENCRYPT=1
+LETSENCRYPT_DOMAIN=meet.example.com
+LETSENCRYPT_EMAIL=admin@example.com
+```
+
+**Para Desenvolvimento (Autoassinado):**
+
+```env
+ENABLE_LETSENCRYPT=0
+```
+
+E aceite o certificado no navegador na primeira conexão.
+
+### 2. Jitsi as a Service (JaaS/8x8)
+
+JaaS é uma solução gerenciada pela 8x8 que oferece Jitsi como serviço.
+
+#### Passo a Passo
+
+1. **Criar conta no JaaS**
+   - Acesse https://jaas.8x8.vc
+   - Crie uma conta ou faça login
+
+2. **Obter credenciais**
+   - No painel do JaaS, vá em "Settings" > "API Keys"
+   - Copie o **Application ID** e **Application Secret**
+
+3. **Configurar no SGSE**
+   - Use o domínio: `8x8.vc` ou seu domínio personalizado
+   - App ID: O Application ID do JaaS
+   - JWT Secret: O Application Secret do JaaS
+
+4. **Domínio personalizado (opcional)**
+   - No painel JaaS, configure um domínio personalizado
+   - Atualize o domínio no SGSE
+
+### 3. Desenvolvimento Local
+
+Para desenvolvimento rápido sem Docker:
+
+1. **Usar Jitsi Meet público** (não recomendado para produção)
+   - Domínio: `meet.jit.si`
+   - Não requer configuração de servidor
+   - Limitações: Sem JWT, sem controle total
+
+2. **Docker local simplificado**
+   - Siga os passos do "Jitsi Self-Hosted"
+   - Use `localhost:8443` como domínio
+   - Configure certificado autoassinado
+
+## Configuração de JWT no Servidor Jitsi
+
+### Para Jitsi Self-Hosted
+
+#### 1. Gerar JWT Secret
+
+```bash
+# Gerar secret seguro
+openssl rand -hex 32
+```
+
+#### 2. Configurar Prosody
+
+Edite `~/.jitsi-meet-cfg/prosody/config/conf.d/jitsi-meet.cfg.lua`:
+
+```lua
+-- Habilitar autenticação JWT
+authentication = "token";
+
+-- Configurar verificação de token
+asap_accepted_audiences = "sgse-app"
+asap_accepted_issuers = "sgse-app"
+
+-- Módulo de verificação de token
+Component "conference.meet.example.com" "muc"
+    modules_enabled = {
+        "token_verification";
+    }
+```
+
+#### 3. Configurar Jicofo
+
+Edite `~/.jitsi-meet-cfg/jicofo/sip-communicator.properties`:
+
+```properties
+org.jitsi.jicofo.auth.URL=XMPP:meet.example.com
+org.jitsi.jicofo.jwt.secret=seu-jwt-secret-aqui
+org.jitsi.jicofo.jwt.appId=sgse-app
+```
+
+#### 4. Reiniciar serviços
+
+```bash
+docker-compose restart prosody jicofo
+```
+
+### Para JaaS
+
+JWT já está configurado. Apenas use as credenciais fornecidas no painel.
+
+## Configuração no Painel SGSE
+
+### Acesso ao Painel
+
+1. Faça login como usuário com permissão de TI (TI_MASTER, TI_USUARIO ou ADMIN)
+2. Navegue para: **TI** > **Configurações do Jitsi**
+
+### Preenchimento de Campos
+
+#### Domínio
+
+- **Formato**: FQDN (ex: `meet.example.com`) ou `localhost:porta` (ex: `localhost:8443`)
+- **Exemplos**:
+  - Produção: `meet.example.com`
+  - Desenvolvimento: `localhost:8443`
+  - JaaS: `8x8.vc` ou seu domínio personalizado
+
+#### App ID
+
+- **Formato**: Alfanumérico, pode conter hífens e underscores
+- **Exemplos**: `sgse-app`, `my-app`, `app_123`
+- **Onde encontrar**:
+  - Self-hosted: Configurado no `.env` como `JWT_APP_ID`
+  - JaaS: Application ID no painel do JaaS
+
+#### JWT Secret
+
+- **Requisitos**: Mínimo 16 caracteres (recomendado: 32+)
+- **Onde encontrar**:
+  - Self-hosted: Configurado no `.env` como `JWT_APP_SECRET`
+  - JaaS: Application Secret no painel do JaaS
+- **Segurança**: O secret será criptografado antes de ser armazenado
+
+#### Prefixo de Sala
+
+- **Formato**: Apenas letras, números e hífens
+- **Exemplo**: `sgse`, `meeting`, `call-123`
+- **Uso**: Prefixo usado para gerar nomes únicos de salas
+
+#### Ambiente
+
+- **Opções**: Desenvolvimento, Staging, Produção
+- **Uso**: Permite múltiplas configurações para diferentes ambientes
+- **Padrão**: Deixe vazio para configuração padrão
+
+#### JWT Audience e Issuer (Opcionais)
+
+- **Audience**: Padrão é o domínio do servidor
+- **Issuer**: Padrão é o App ID
+- **Quando configurar**: Apenas se necessário para compatibilidade com configurações específicas do servidor
+
+### Teste de Conexão
+
+1. Preencha os campos básicos (Domínio, App ID)
+2. Clique em **"Testar Conexão"**
+3. Aguarde a validação
+4. Se houver erros, verifique:
+   - Servidor está online
+   - Domínio está correto
+   - Portas estão acessíveis
+   - Certificado SSL (se HTTPS)
+
+### Geração de Token de Teste
+
+1. Configure o JWT Secret
+2. Clique em **"Gerar Token de Teste"**
+3. O token será gerado automaticamente quando você criar uma chamada
+
+## Troubleshooting
+
+### Problemas de Conexão
+
+#### Servidor não acessível
+
+**Sintomas**: Timeout ou erro de conexão
+
+**Soluções**:
+1. Verificar se o servidor está online: `ping meet.example.com`
+2. Verificar portas: `telnet meet.example.com 443`
+3. Verificar firewall: Permitir portas 80, 443, 4443, 10000/udp
+4. Verificar DNS: `nslookup meet.example.com`
+
+#### Timeout de conexão
+
+**Sintomas**: Conexão demora muito ou falha
+
+**Soluções**:
+1. Verificar largura de banda
+2. Verificar latência de rede
+3. Verificar se há proxy ou firewall bloqueando
+4. Testar de outra rede
+
+#### Erro de DNS
+
+**Sintomas**: "DNS resolution failed"
+
+**Soluções**:
+1. Verificar se o domínio está configurado corretamente
+2. Verificar registros DNS (A ou CNAME)
+3. Aguardar propagação DNS (até 48 horas)
+
+### Problemas de Certificado SSL
+
+#### Certificado inválido
+
+**Sintomas**: Aviso de certificado não confiável
+
+**Soluções**:
+1. **Produção**: Usar certificado válido (Let's Encrypt)
+2. **Desenvolvimento**: Habilitar "Aceitar Certificados Autoassinados" no painel
+
+#### Certificado autoassinado não aceito
+
+**Sintomas**: Erro mesmo com opção habilitada
+
+**Soluções**:
+1. Aceitar certificado manualmente no navegador na primeira conexão
+2. Adicionar exceção no navegador
+3. Para produção, usar certificado válido
+
+#### Erro de cadeia de certificados
+
+**Sintomas**: "Certificate chain incomplete"
+
+**Soluções**:
+1. Verificar se o certificado inclui a cadeia completa
+2. Reinstalar certificado com cadeia completa
+3. Verificar configuração do servidor web
+
+### Problemas com JWT
+
+#### Token inválido
+
+**Sintomas**: Erro de autenticação ao conectar
+
+**Soluções**:
+1. Verificar se JWT Secret está correto no servidor e no SGSE
+2. Verificar se App ID corresponde
+3. Verificar se token não expirou (padrão: 1 hora)
+4. Regenerar token
+
+#### Token expirado
+
+**Sintomas**: Conexão funciona inicialmente, depois falha
+
+**Soluções**:
+1. Tokens são regenerados automaticamente
+2. Verificar se o relógio do servidor está sincronizado (NTP)
+3. Aumentar tempo de expiração (se necessário)
+
+#### Secret incorreto
+
+**Sintomas**: Erro de autenticação persistente
+
+**Soluções**:
+1. Verificar JWT Secret no servidor (`.env` ou configuração)
+2. Verificar JWT Secret no painel SGSE
+3. Garantir que são idênticos (sem espaços extras)
+4. Reiniciar serviços do Jitsi após alterar secret
+
+#### Claims incorretos
+
+**Sintomas**: Conexão estabelecida mas sem permissões
+
+**Soluções**:
+1. Verificar claims do token (iss, aud, room, moderator)
+2. Verificar configuração do Prosody
+3. Verificar logs do servidor Jitsi
+
+### Problemas de Firewall
+
+#### Portas bloqueadas
+
+**Sintomas**: Conexão HTTP funciona, mas mídia não
+
+**Soluções**:
+1. Abrir portas necessárias:
+   - `80/tcp`, `443/tcp` (HTTP/HTTPS)
+   - `4443/tcp` (TURN)
+   - `10000/udp` (RTP/RTCP)
+2. Verificar regras de firewall
+3. Testar com `telnet` ou `nc`
+
+#### UDP não funcionando
+
+**Sintomas**: Áudio/vídeo cortando ou não funcionando
+
+**Soluções**:
+1. Verificar se UDP está habilitado no firewall
+2. Verificar se NAT está configurado corretamente
+3. Configurar TURN server para fallback
+
+#### WebRTC bloqueado
+
+**Sintomas**: Navegador não consegue estabelecer conexão WebRTC
+
+**Soluções**:
+1. Verificar se WebRTC está habilitado no navegador
+2. Verificar se não há extensões bloqueando WebRTC
+3. Verificar configurações de proxy/VPN
+
+### Problemas de Performance
+
+#### Qualidade de vídeo ruim
+
+**Sintomas**: Vídeo pixelado ou com baixa resolução
+
+**Soluções**:
+1. Verificar largura de banda disponível
+2. Reduzir número de participantes simultâneos
+3. Ajustar resolução nas configurações do Jitsi
+4. Verificar recursos do servidor (CPU, RAM)
+
+#### Áudio cortando
+
+**Sintomas**: Áudio intermitente ou com atraso
+
+**Soluções**:
+1. Verificar latência de rede
+2. Verificar recursos do servidor
+3. Configurar codec de áudio adequado
+4. Verificar dispositivos de áudio do cliente
+
+#### Alta latência
+
+**Sintomas**: Atraso perceptível entre áudio/vídeo
+
+**Soluções**:
+1. Verificar latência de rede (ping)
+2. Verificar localização do servidor (usar servidor próximo)
+3. Configurar TURN server próximo aos usuários
+4. Otimizar configurações de codec
+
+## Exemplos de Configuração
+
+### Exemplo 1: Desenvolvimento Local
+
+```yaml
+Domínio: localhost:8443
+App ID: sgse-app
+Prefixo de Sala: sgse-dev
+HTTPS: Sim
+Certificados Autoassinados: Sim
+JWT Secret: (opcional para desenvolvimento)
+Ambiente: desenvolvimento
+```
+
+### Exemplo 2: Produção Self-Hosted
+
+```yaml
+Domínio: meet.example.com
+App ID: sgse-app
+Prefixo de Sala: sgse
+HTTPS: Sim
+Certificados Autoassinados: Não
+JWT Secret: [secret de 32+ caracteres]
+JWT Audience: meet.example.com
+JWT Issuer: sgse-app
+Ambiente: producao
+```
+
+### Exemplo 3: JaaS com Domínio Personalizado
+
+```yaml
+Domínio: meet.seudominio.com
+App ID: [Application ID do JaaS]
+Prefixo de Sala: sgse
+HTTPS: Sim
+Certificados Autoassinados: Não
+JWT Secret: [Application Secret do JaaS]
+Ambiente: producao
+```
+
+### Exemplo 4: Múltiplos Ambientes
+
+**Desenvolvimento:**
+```yaml
+Ambiente: desenvolvimento
+Domínio: localhost:8443
+```
+
+**Staging:**
+```yaml
+Ambiente: staging
+Domínio: meet-staging.example.com
+```
+
+**Produção:**
+```yaml
+Ambiente: producao
+Domínio: meet.example.com
+```
+
+## Boas Práticas
+
+### Segurança
+
+1. **Use HTTPS em produção**: Sempre use certificados válidos
+2. **JWT Secret forte**: Mínimo 32 caracteres, use gerador seguro
+3. **Rotação de secrets**: Rotacione JWT secrets periodicamente
+4. **Limitação de acesso**: Configure firewall para permitir apenas IPs necessários (opcional)
+5. **Logs de auditoria**: Monitore logs para atividades suspeitas
+
+### Performance
+
+1. **Recursos do servidor**: Aloque recursos adequados (CPU, RAM, largura de banda)
+2. **Otimização de codecs**: Use codecs eficientes (VP8, Opus)
+3. **Configuração de P2P**: Habilite P2P para reduzir carga no servidor
+4. **Monitoramento**: Monitore métricas de CPU, RAM, largura de banda
+
+### Monitoramento
+
+1. **Logs importantes**:
+   - Logs do Prosody (XMPP)
+   - Logs do Jicofo (conferências)
+   - Logs do JVB (vídeo bridge)
+   - Logs do nginx (web server)
+
+2. **Métricas a acompanhar**:
+   - Número de participantes ativos
+   - Largura de banda utilizada
+   - CPU e RAM do servidor
+   - Latência de conexão
+
+3. **Alertas recomendados**:
+   - Alta utilização de CPU/RAM
+   - Falhas de conexão
+   - Certificados próximos do vencimento
+   - Erros de autenticação JWT
+
+## Referências
+
+- **Documentação oficial do Jitsi Meet**: https://jitsi.github.io/handbook/
+- **Especificação JWT do Jitsi**: https://github.com/jitsi/lib-jitsi-meet/blob/master/doc/tokens.md
+- **Guia de instalação Docker**: https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker
+- **Comunidade Jitsi**: https://community.jitsi.org/
+- **JaaS (8x8)**: https://jaas.8x8.vc
+
+## Suporte
+
+Para problemas ou dúvidas:
+1. Consulte a seção de Troubleshooting acima
+2. Verifique os logs do servidor Jitsi
+3. Consulte a documentação oficial do Jitsi
+4. Entre em contato com a equipe de TI
diff --git a/packages/backend/convex/auth.ts b/packages/backend/convex/auth.ts
index 68811aa..18e837e 100644
--- a/packages/backend/convex/auth.ts
+++ b/packages/backend/convex/auth.ts
@@ -22,7 +22,7 @@ type ConvexCtx = QueryCtx | MutationCtx | ActionCtx;
  * Função helper para converter contexto do Convex para GenericCtx do better-auth
  * Os tipos são estruturalmente compatíveis, apenas há diferença nas definições de tipo
  */
-function toGenericCtx(ctx: ConvexCtx): GenericCtx<DataModel> {
+export function toGenericCtx(ctx: ConvexCtx): GenericCtx<DataModel> {
 	// Os tipos são estruturalmente idênticos, apenas há diferença nas definições de tipo
 	// entre a versão do Convex usada pelo projeto e a usada pelo @convex-dev/better-auth
 	return ctx as unknown as GenericCtx<DataModel>;
diff --git a/packages/backend/convex/auth/utils.ts b/packages/backend/convex/auth/utils.ts
index 5d626b9..d948a33 100644
--- a/packages/backend/convex/auth/utils.ts
+++ b/packages/backend/convex/auth/utils.ts
@@ -214,3 +214,19 @@ export async function decryptSMTPPassword(encryptedPassword: string): Promise<st
 		throw new Error('Falha ao descriptografar senha SMTP');
 	}
 }
+
+/**
+ * Criptografa um JWT secret usando AES-GCM (mesma lógica de SMTP password)
+ */
+export async function encryptJWTSecret(secret: string): Promise<string> {
+	// Reutilizar a mesma função de criptografia de SMTP password
+	return encryptSMTPPassword(secret);
+}
+
+/**
+ * Descriptografa um JWT secret usando AES-GCM (mesma lógica de SMTP password)
+ */
+export async function decryptJWTSecret(encryptedSecret: string): Promise<string> {
+	// Reutilizar a mesma função de descriptografia de SMTP password
+	return decryptSMTPPassword(encryptedSecret);
+}
diff --git a/packages/backend/convex/configuracaoJitsi.ts b/packages/backend/convex/configuracaoJitsi.ts
index f96ce1e..1a97952 100644
--- a/packages/backend/convex/configuracaoJitsi.ts
+++ b/packages/backend/convex/configuracaoJitsi.ts
@@ -2,9 +2,162 @@ import { v } from 'convex/values';
 import { mutation, query, action, internalMutation } from './_generated/server';
 import { registrarAtividade } from './logsAtividades';
 import { api, internal } from './_generated/api';
+import { getCurrentUserFunction, authComponent, toGenericCtx } from './auth';
+import { encryptJWTSecret, decryptJWTSecret } from './auth/utils';
+import type { Id } from './_generated/dataModel';
 
 /**
- * Obter configuração de Jitsi ativa
+ * Codificar base64url (sem padding, com substituição de caracteres)
+ */
+function base64UrlEncode(data: Uint8Array): string {
+	const base64 = btoa(String.fromCharCode(...data));
+	return base64.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
+}
+
+/**
+ * Gerar token JWT para Jitsi (função helper interna)
+ * Especificação: https://github.com/jitsi/lib-jitsi-meet/blob/master/doc/tokens.md
+ */
+async function criarTokenJWTJitsi(
+	secret: string,
+	payload: {
+		iss: string; // Issuer (appId)
+		aud: string; // Audience (domínio do servidor)
+		sub: string; // Subject (ID do usuário ou email)
+		room: string; // Nome da sala
+		moderator: boolean; // Se é moderador
+		exp?: number; // Expiração (timestamp, padrão: 1 hora)
+		nbf?: number; // Not before (timestamp, padrão: agora)
+	}
+): Promise<string> {
+	// Header JWT
+	const header = {
+		alg: 'HS256',
+		typ: 'JWT'
+	};
+
+	// Payload com valores padrão
+	const now = Math.floor(Date.now() / 1000);
+	const jwtPayload = {
+		...payload,
+		exp: payload.exp || now + 3600, // 1 hora por padrão
+		nbf: payload.nbf || now
+	};
+
+	// Codificar header e payload
+	const headerEncoded = base64UrlEncode(new TextEncoder().encode(JSON.stringify(header)));
+	const payloadEncoded = base64UrlEncode(new TextEncoder().encode(JSON.stringify(jwtPayload)));
+
+	// Criar assinatura
+	const message = `${headerEncoded}.${payloadEncoded}`;
+	const keyData = new TextEncoder().encode(secret);
+	const key = await crypto.subtle.importKey(
+		'raw',
+		keyData,
+		{ name: 'HMAC', hash: 'SHA-256' },
+		false,
+		['sign']
+	);
+
+	const signature = await crypto.subtle.sign('HMAC', key, new TextEncoder().encode(message));
+	const signatureEncoded = base64UrlEncode(new Uint8Array(signature));
+
+	// Retornar token completo
+	return `${headerEncoded}.${payloadEncoded}.${signatureEncoded}`;
+}
+
+/**
+ * Helper para verificar se usuário tem permissão de TI (TI_MASTER, TI_USUARIO ou ADMIN)
+ */
+async function verificarPermissaoTI(
+	ctx: Parameters<typeof getCurrentUserFunction>[0],
+	usuarioId: Id<'usuarios'>
+): Promise<boolean> {
+	const usuario = await ctx.db.get(usuarioId);
+	if (!usuario || !usuario.roleId) {
+		return false;
+	}
+
+	const role = await ctx.db.get(usuario.roleId);
+	if (!role) {
+		return false;
+	}
+
+	const rolesPermitidas = ['ti_master', 'ti_usuario', 'admin'];
+	return rolesPermitidas.includes(role.nome);
+}
+
+/**
+ * Validar formato de domínio (FQDN ou localhost:porta)
+ */
+function validarFormatoDominio(domain: string): { valido: boolean; erro?: string } {
+	const trimmed = domain.trim();
+	if (trimmed.length === 0) {
+		return { valido: false, erro: 'Domínio não pode estar vazio' };
+	}
+
+	// Padrão para localhost:porta (ex: localhost:8443, 127.0.0.1:8080)
+	const localhostPattern = /^(localhost|127\.0\.0\.1|0\.0\.0\.0)(:\d+)?$/i;
+	if (localhostPattern.test(trimmed)) {
+		return { valido: true };
+	}
+
+	// Padrão para FQDN (ex: meet.example.com, subdomain.example.com:8443)
+	const fqdnPattern = /^([a-zA-Z0-9]([a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}(:\d+)?$/;
+	if (fqdnPattern.test(trimmed)) {
+		return { valido: true };
+	}
+
+	return {
+		valido: false,
+		erro: 'Domínio deve ser um FQDN válido (ex: meet.example.com) ou localhost:porta (ex: localhost:8443)'
+	};
+}
+
+/**
+ * Validar formato de App ID (alfanumérico, sem espaços)
+ */
+function validarAppId(appId: string): { valido: boolean; erro?: string } {
+	const trimmed = appId.trim();
+	if (trimmed.length === 0) {
+		return { valido: false, erro: 'App ID não pode estar vazio' };
+	}
+
+	const appIdPattern = /^[a-zA-Z0-9_-]+$/;
+	if (!appIdPattern.test(trimmed)) {
+		return {
+			valido: false,
+			erro: 'App ID deve conter apenas letras, números, hífens e underscores'
+		};
+	}
+
+	return { valido: true };
+}
+
+/**
+ * Validar JWT Secret (mínimo 32 caracteres recomendado)
+ */
+function validarJWTSecret(secret: string): { valido: boolean; erro?: string; aviso?: string } {
+	if (secret.length === 0) {
+		return { valido: true }; // JWT secret é opcional
+	}
+
+	if (secret.length < 16) {
+		return { valido: false, erro: 'JWT Secret deve ter no mínimo 16 caracteres' };
+	}
+
+	if (secret.length < 32) {
+		return {
+			valido: true,
+			aviso: 'Recomendado usar JWT Secret com pelo menos 32 caracteres para maior segurança'
+		};
+	}
+
+	return { valido: true };
+}
+
+/**
+ * Obter configuração de Jitsi ativa (compatibilidade com código existente)
  */
 export const obterConfigJitsi = query({
 	args: {},
@@ -24,16 +177,102 @@ export const obterConfigJitsi = query({
 			appId: config.appId,
 			roomPrefix: config.roomPrefix,
 			useHttps: config.useHttps,
-			acceptSelfSignedCert: config.acceptSelfSignedCert ?? false, // Default para false se não existir
+			acceptSelfSignedCert: config.acceptSelfSignedCert ?? false,
+			ambiente: config.ambiente ?? null,
 			ativo: config.ativo,
 			testadoEm: config.testadoEm,
-			atualizadoEm: config.atualizadoEm
+			atualizadoEm: config.atualizadoEm,
+			jwtSecret: config.jwtSecret,
+			jwtIssuer: config.jwtIssuer,
+			jwtAudience: config.jwtAudience
 		};
 	}
 });
 
 /**
- * Salvar configuração de Jitsi (apenas TI_MASTER)
+ * Obter configuração de Jitsi por ambiente
+ */
+export const obterConfigJitsiPorAmbiente = query({
+	args: {
+		ambiente: v.optional(v.string())
+	},
+	handler: async (
+		ctx,
+		args
+	): Promise<{
+		_id: Id<'configuracaoJitsi'>;
+		domain: string;
+		appId: string;
+		roomPrefix: string;
+		useHttps: boolean;
+		acceptSelfSignedCert: boolean;
+		ambiente: string | null;
+		ativo: boolean;
+		testadoEm: number | undefined;
+		atualizadoEm: number;
+		jwtSecret: string | undefined;
+		jwtIssuer: string | undefined;
+		jwtAudience: string | undefined;
+	} | null> => {
+		// Se ambiente não especificado, buscar configuração ativa
+		if (!args.ambiente) {
+			return await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+		}
+
+		const config = await ctx.db
+			.query('configuracaoJitsi')
+			.withIndex('by_ativo_ambiente', (q) => q.eq('ativo', true).eq('ambiente', args.ambiente))
+			.first();
+
+		if (!config) {
+			return null;
+		}
+
+		return {
+			_id: config._id,
+			domain: config.domain,
+			appId: config.appId,
+			roomPrefix: config.roomPrefix,
+			useHttps: config.useHttps,
+			acceptSelfSignedCert: config.acceptSelfSignedCert ?? false,
+			ambiente: config.ambiente ?? null,
+			ativo: config.ativo,
+			testadoEm: config.testadoEm,
+			atualizadoEm: config.atualizadoEm,
+			jwtSecret: config.jwtSecret,
+			jwtIssuer: config.jwtIssuer,
+			jwtAudience: config.jwtAudience
+		};
+	}
+});
+
+/**
+ * Listar todas as configurações de Jitsi
+ */
+export const listarConfiguracoesJitsi = query({
+	args: {},
+	handler: async (ctx) => {
+		const configs = await ctx.db.query('configuracaoJitsi').collect();
+
+		return configs.map((config) => ({
+			_id: config._id,
+			domain: config.domain,
+			appId: config.appId,
+			roomPrefix: config.roomPrefix,
+			useHttps: config.useHttps,
+			acceptSelfSignedCert: config.acceptSelfSignedCert ?? false,
+			ambiente: config.ambiente ?? null,
+			ativo: config.ativo,
+			testadoEm: config.testadoEm,
+			atualizadoEm: config.atualizadoEm,
+			configuradoPor: config.configuradoPor
+		}));
+	}
+});
+
+/**
+ * Salvar configuração de Jitsi (apenas TI_MASTER/TI_USUARIO/ADMIN)
+ * Suporta múltiplos ambientes
  */
 export const salvarConfigJitsi = mutation({
 	args: {
@@ -42,24 +281,40 @@ export const salvarConfigJitsi = mutation({
 		roomPrefix: v.string(),
 		useHttps: v.boolean(),
 		acceptSelfSignedCert: v.boolean(),
-		configuradoPorId: v.id('usuarios')
+		ambiente: v.optional(v.string()),
+		jwtSecret: v.optional(v.string()), // JWT Secret em texto plano (será criptografado)
+		jwtAudience: v.optional(v.string()),
+		jwtIssuer: v.optional(v.string()),
+		configuradoPorId: v.id('usuarios'),
+		ativar: v.optional(v.boolean()) // Se true, desativa outras configs do mesmo ambiente
 	},
 	returns: v.union(
 		v.object({ sucesso: v.literal(true), configId: v.id('configuracaoJitsi') }),
 		v.object({ sucesso: v.literal(false), erro: v.string() })
 	),
 	handler: async (ctx, args) => {
-		// Validar domínio (deve ser não vazio)
-		if (!args.domain || args.domain.trim().length === 0) {
-			return { sucesso: false as const, erro: 'Domínio não pode estar vazio' };
+		// Verificar permissão
+		const temPermissao = await verificarPermissaoTI(ctx, args.configuradoPorId);
+		if (!temPermissao) {
+			return {
+				sucesso: false as const,
+				erro: 'Apenas usuários de TI ou administradores podem configurar Jitsi'
+			};
 		}
 
-		// Validar appId (deve ser não vazio)
-		if (!args.appId || args.appId.trim().length === 0) {
-			return { sucesso: false as const, erro: 'App ID não pode estar vazio' };
+		// Validar domínio
+		const validacaoDominio = validarFormatoDominio(args.domain);
+		if (!validacaoDominio.valido) {
+			return { sucesso: false as const, erro: validacaoDominio.erro || 'Domínio inválido' };
 		}
 
-		// Validar roomPrefix (deve ser não vazio e alfanumérico)
+		// Validar appId
+		const validacaoAppId = validarAppId(args.appId);
+		if (!validacaoAppId.valido) {
+			return { sucesso: false as const, erro: validacaoAppId.erro || 'App ID inválido' };
+		}
+
+		// Validar roomPrefix
 		if (!args.roomPrefix || args.roomPrefix.trim().length === 0) {
 			return {
 				sucesso: false as const,
@@ -67,7 +322,6 @@ export const salvarConfigJitsi = mutation({
 			};
 		}
 
-		// Validar formato do roomPrefix (apenas letras, números e hífens)
 		const roomPrefixRegex = /^[a-zA-Z0-9-]+$/;
 		if (!roomPrefixRegex.test(args.roomPrefix.trim())) {
 			return {
@@ -76,14 +330,47 @@ export const salvarConfigJitsi = mutation({
 			};
 		}
 
-		// Desativar config anterior
-		const configsAntigas = await ctx.db
-			.query('configuracaoJitsi')
-			.withIndex('by_ativo', (q) => q.eq('ativo', true))
-			.collect();
+		// Validar JWT Secret (se fornecido)
+		let jwtSecretCriptografado: string | undefined = undefined;
+		if (args.jwtSecret && args.jwtSecret.trim().length > 0) {
+			const validacaoJWT = validarJWTSecret(args.jwtSecret);
+			if (!validacaoJWT.valido) {
+				return { sucesso: false as const, erro: validacaoJWT.erro || 'JWT Secret inválido' };
+			}
 
-		for (const config of configsAntigas) {
-			await ctx.db.patch(config._id, { ativo: false });
+			// Criptografar JWT secret
+			try {
+				jwtSecretCriptografado = await encryptJWTSecret(args.jwtSecret.trim());
+			} catch (error) {
+				console.error('Erro ao criptografar JWT secret:', error);
+				return { sucesso: false as const, erro: 'Erro ao criptografar JWT secret' };
+			}
+		}
+
+		// Se ativar=true, desativar outras configs do mesmo ambiente (ou todas se ambiente não especificado)
+		if (args.ativar !== false) {
+			if (args.ambiente) {
+				// Desativar outras configs do mesmo ambiente
+				const configsMesmoAmbiente = await ctx.db
+					.query('configuracaoJitsi')
+					.withIndex('by_ambiente', (q) => q.eq('ambiente', args.ambiente))
+					.filter((q) => q.eq(q.field('ativo'), true))
+					.collect();
+
+				for (const config of configsMesmoAmbiente) {
+					await ctx.db.patch(config._id, { ativo: false });
+				}
+			} else {
+				// Desativar todas as configs ativas (comportamento antigo)
+				const configsAntigas = await ctx.db
+					.query('configuracaoJitsi')
+					.withIndex('by_ativo', (q) => q.eq('ativo', true))
+					.collect();
+
+				for (const config of configsAntigas) {
+					await ctx.db.patch(config._id, { ativo: false });
+				}
+			}
 		}
 
 		// Criar nova config
@@ -93,7 +380,11 @@ export const salvarConfigJitsi = mutation({
 			roomPrefix: args.roomPrefix.trim(),
 			useHttps: args.useHttps,
 			acceptSelfSignedCert: args.acceptSelfSignedCert,
-			ativo: true,
+			ambiente: args.ambiente?.trim() || undefined,
+			jwtSecret: jwtSecretCriptografado,
+			jwtAudience: args.jwtAudience?.trim() || undefined,
+			jwtIssuer: args.jwtIssuer?.trim() || undefined,
+			ativo: args.ativar !== false,
 			configuradoPor: args.configuradoPorId,
 			atualizadoEm: Date.now()
 		});
@@ -104,7 +395,7 @@ export const salvarConfigJitsi = mutation({
 			args.configuradoPorId,
 			'configurar',
 			'jitsi',
-			JSON.stringify({ domain: args.domain, appId: args.appId }),
+			JSON.stringify({ domain: args.domain, appId: args.appId, ambiente: args.ambiente }),
 			configId
 		);
 
@@ -112,6 +403,194 @@ export const salvarConfigJitsi = mutation({
 	}
 });
 
+/**
+ * Atualizar configuração existente
+ */
+export const atualizarConfigJitsi = mutation({
+	args: {
+		configId: v.id('configuracaoJitsi'),
+		domain: v.optional(v.string()),
+		appId: v.optional(v.string()),
+		roomPrefix: v.optional(v.string()),
+		useHttps: v.optional(v.boolean()),
+		acceptSelfSignedCert: v.optional(v.boolean()),
+		ambiente: v.optional(v.string()),
+		jwtSecret: v.optional(v.string()), // Se fornecido, será criptografado e atualizado
+		jwtAudience: v.optional(v.string()),
+		jwtIssuer: v.optional(v.string()),
+		atualizadoPorId: v.id('usuarios')
+	},
+	returns: v.union(
+		v.object({ sucesso: v.literal(true) }),
+		v.object({ sucesso: v.literal(false), erro: v.string() })
+	),
+	handler: async (ctx, args) => {
+		// Verificar permissão
+		const temPermissao = await verificarPermissaoTI(ctx, args.atualizadoPorId);
+		if (!temPermissao) {
+			return {
+				sucesso: false as const,
+				erro: 'Apenas usuários de TI ou administradores podem atualizar configuração Jitsi'
+			};
+		}
+
+		const config = await ctx.db.get(args.configId);
+		if (!config) {
+			return { sucesso: false as const, erro: 'Configuração não encontrada' };
+		}
+
+		// Validar campos se fornecidos
+		if (args.domain !== undefined) {
+			const validacaoDominio = validarFormatoDominio(args.domain);
+			if (!validacaoDominio.valido) {
+				return { sucesso: false as const, erro: validacaoDominio.erro || 'Domínio inválido' };
+			}
+		}
+
+		if (args.appId !== undefined) {
+			const validacaoAppId = validarAppId(args.appId);
+			if (!validacaoAppId.valido) {
+				return { sucesso: false as const, erro: validacaoAppId.erro || 'App ID inválido' };
+			}
+		}
+
+		if (args.roomPrefix !== undefined) {
+			const roomPrefixRegex = /^[a-zA-Z0-9-]+$/;
+			if (!roomPrefixRegex.test(args.roomPrefix.trim())) {
+				return {
+					sucesso: false as const,
+					erro: 'Prefixo de sala deve conter apenas letras, números e hífens'
+				};
+			}
+		}
+
+		// Criptografar JWT secret se fornecido
+		let jwtSecretCriptografado: string | undefined = config.jwtSecret;
+		if (args.jwtSecret !== undefined) {
+			if (args.jwtSecret.trim().length > 0) {
+				const validacaoJWT = validarJWTSecret(args.jwtSecret);
+				if (!validacaoJWT.valido) {
+					return { sucesso: false as const, erro: validacaoJWT.erro || 'JWT Secret inválido' };
+				}
+
+				try {
+					jwtSecretCriptografado = await encryptJWTSecret(args.jwtSecret.trim());
+				} catch (error) {
+					console.error('Erro ao criptografar JWT secret:', error);
+					return { sucesso: false as const, erro: 'Erro ao criptografar JWT secret' };
+				}
+			} else {
+				// Se string vazia, remover JWT secret
+				jwtSecretCriptografado = undefined;
+			}
+		}
+
+		// Atualizar campos
+		const updates: Partial<typeof config> = {
+			atualizadoEm: Date.now()
+		};
+
+		if (args.domain !== undefined) updates.domain = args.domain.trim();
+		if (args.appId !== undefined) updates.appId = args.appId.trim();
+		if (args.roomPrefix !== undefined) updates.roomPrefix = args.roomPrefix.trim();
+		if (args.useHttps !== undefined) updates.useHttps = args.useHttps;
+		if (args.acceptSelfSignedCert !== undefined)
+			updates.acceptSelfSignedCert = args.acceptSelfSignedCert;
+		if (args.ambiente !== undefined) updates.ambiente = args.ambiente?.trim() || undefined;
+		if (args.jwtSecret !== undefined) updates.jwtSecret = jwtSecretCriptografado;
+		if (args.jwtAudience !== undefined) updates.jwtAudience = args.jwtAudience?.trim() || undefined;
+		if (args.jwtIssuer !== undefined) updates.jwtIssuer = args.jwtIssuer?.trim() || undefined;
+
+		await ctx.db.patch(args.configId, updates);
+
+		// Log de atividade
+		await registrarAtividade(
+			ctx,
+			args.atualizadoPorId,
+			'atualizar',
+			'jitsi',
+			JSON.stringify({ configId: args.configId }),
+			args.configId
+		);
+
+		return { sucesso: true as const };
+	}
+});
+
+/**
+ * Ativar/desativar configuração
+ */
+export const ativarDesativarConfigJitsi = mutation({
+	args: {
+		configId: v.id('configuracaoJitsi'),
+		ativo: v.boolean(),
+		atualizadoPorId: v.id('usuarios')
+	},
+	returns: v.union(
+		v.object({ sucesso: v.literal(true) }),
+		v.object({ sucesso: v.literal(false), erro: v.string() })
+	),
+	handler: async (ctx, args) => {
+		// Verificar permissão
+		const temPermissao = await verificarPermissaoTI(ctx, args.atualizadoPorId);
+		if (!temPermissao) {
+			return {
+				sucesso: false as const,
+				erro: 'Apenas usuários de TI ou administradores podem ativar/desativar configuração Jitsi'
+			};
+		}
+
+		const config = await ctx.db.get(args.configId);
+		if (!config) {
+			return { sucesso: false as const, erro: 'Configuração não encontrada' };
+		}
+
+		// Se ativando, desativar outras configs do mesmo ambiente (ou todas se ambiente não especificado)
+		if (args.ativo) {
+			if (config.ambiente) {
+				const configsMesmoAmbiente = await ctx.db
+					.query('configuracaoJitsi')
+					.withIndex('by_ambiente', (q) => q.eq('ambiente', config.ambiente))
+					.filter((q) => q.eq(q.field('ativo'), true))
+					.filter((q) => q.neq(q.field('_id'), args.configId))
+					.collect();
+
+				for (const outraConfig of configsMesmoAmbiente) {
+					await ctx.db.patch(outraConfig._id, { ativo: false });
+				}
+			} else {
+				// Desativar todas as outras configs ativas
+				const configsAntigas = await ctx.db
+					.query('configuracaoJitsi')
+					.withIndex('by_ativo', (q) => q.eq('ativo', true))
+					.filter((q) => q.neq(q.field('_id'), args.configId))
+					.collect();
+
+				for (const outraConfig of configsAntigas) {
+					await ctx.db.patch(outraConfig._id, { ativo: false });
+				}
+			}
+		}
+
+		await ctx.db.patch(args.configId, {
+			ativo: args.ativo,
+			atualizadoEm: Date.now()
+		});
+
+		// Log de atividade
+		await registrarAtividade(
+			ctx,
+			args.atualizadoPorId,
+			args.ativo ? 'ativar' : 'desativar',
+			'jitsi',
+			JSON.stringify({ configId: args.configId }),
+			args.configId
+		);
+
+		return { sucesso: true as const };
+	}
+});
+
 /**
  * Mutation interna para atualizar testadoEm
  */
@@ -129,13 +608,14 @@ export const atualizarTestadoEm = internalMutation({
 });
 
 /**
- * Testar conexão com servidor Jitsi
+ * Testar conexão com servidor Jitsi (melhorado)
  */
 export const testarConexaoJitsi = action({
 	args: {
 		domain: v.string(),
 		useHttps: v.boolean(),
-		acceptSelfSignedCert: v.optional(v.boolean())
+		acceptSelfSignedCert: v.optional(v.boolean()),
+		configId: v.optional(v.id('configuracaoJitsi'))
 	},
 	returns: v.union(
 		v.object({ sucesso: v.literal(true), aviso: v.optional(v.string()) }),
@@ -145,9 +625,10 @@ export const testarConexaoJitsi = action({
 		ctx,
 		args
 	): Promise<{ sucesso: true; aviso?: string } | { sucesso: false; erro: string }> => {
-		// Validações básicas
-		if (!args.domain || args.domain.trim().length === 0) {
-			return { sucesso: false as const, erro: 'Domínio não pode estar vazio' };
+		// Validar formato de domínio
+		const validacaoDominio = validarFormatoDominio(args.domain);
+		if (!validacaoDominio.valido) {
+			return { sucesso: false as const, erro: validacaoDominio.erro || 'Domínio inválido' };
 		}
 
 		try {
@@ -158,9 +639,8 @@ export const testarConexaoJitsi = action({
 			const url = `${protocol}://${host}:${port}/http-bind`;
 
 			// Tentar fazer uma requisição HTTP para verificar se o servidor está acessível
-			// Nota: No ambiente Node.js do Convex, podemos usar fetch
 			const controller = new AbortController();
-			const timeoutId = setTimeout(() => controller.abort(), 5000); // 5 segundos de timeout
+			const timeoutId = setTimeout(() => controller.abort(), 10000); // 10 segundos de timeout
 
 			try {
 				const response = await fetch(url, {
@@ -174,15 +654,20 @@ export const testarConexaoJitsi = action({
 				clearTimeout(timeoutId);
 
 				// Qualquer resposta indica que o servidor está acessível
-				// Não precisamos verificar o status code exato, apenas se há resposta
 				if (response.status >= 200 && response.status < 600) {
-					// Se o teste foi bem-sucedido e há uma config ativa, atualizar testadoEm
-					const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
-
-					if (configAtiva) {
+					// Se o teste foi bem-sucedido e há uma config, atualizar testadoEm
+					if (args.configId) {
 						await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
-							configId: configAtiva._id
+							configId: args.configId
 						});
+					} else {
+						// Tentar atualizar config ativa
+						const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+						if (configAtiva) {
+							await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
+								configId: configAtiva._id
+							});
+						}
 					}
 
 					return { sucesso: true as const, aviso: undefined };
@@ -200,7 +685,7 @@ export const testarConexaoJitsi = action({
 				if (errorMessage.includes('aborted') || errorMessage.includes('timeout')) {
 					return {
 						sucesso: false as const,
-						erro: 'Timeout: Servidor não respondeu em 5 segundos'
+						erro: 'Timeout: Servidor não respondeu em 10 segundos'
 					};
 				}
 
@@ -215,15 +700,17 @@ export const testarConexaoJitsi = action({
 
 				// Se for erro de certificado e aceitar autoassinado está configurado
 				if (isSSLError && args.acceptSelfSignedCert) {
-					// Aceitar como sucesso se configurado para aceitar certificados autoassinados
-					// (o servidor está acessível, apenas o certificado não é confiável)
-					// Nota: No cliente (navegador), o usuário ainda precisará aceitar o certificado manualmente
-					const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
-
-					if (configAtiva) {
+					if (args.configId) {
 						await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
-							configId: configAtiva._id
+							configId: args.configId
 						});
+					} else {
+						const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+						if (configAtiva) {
+							await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
+								configId: configAtiva._id
+							});
+						}
 					}
 
 					return {
@@ -235,15 +722,18 @@ export const testarConexaoJitsi = action({
 
 				// Para servidores Jitsi, pode ser normal receber erro 405 (Method Not Allowed)
 				// para GET em /http-bind, pois esse endpoint espera POST (BOSH)
-				// Isso indica que o servidor está acessível, apenas não aceita GET
 				if (errorMessage.includes('405') || errorMessage.includes('Method Not Allowed')) {
-					// Se o teste foi bem-sucedido e há uma config ativa, atualizar testadoEm
-					const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
-
-					if (configAtiva) {
+					if (args.configId) {
 						await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
-							configId: configAtiva._id
+							configId: args.configId
 						});
+					} else {
+						const configAtiva = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+						if (configAtiva) {
+							await ctx.runMutation(internal.configuracaoJitsi.atualizarTestadoEm, {
+								configId: configAtiva._id
+							});
+						}
 					}
 
 					return { sucesso: true as const, aviso: undefined };
@@ -303,3 +793,162 @@ export const marcarConfiguradoNoServidor = internalMutation({
 		return null;
 	}
 });
+
+/**
+ * Gerar token JWT para Jitsi
+ * Valida que o usuário é participante da conversa e retorna token assinado
+ */
+export const gerarTokenJitsi = action({
+	args: {
+		roomName: v.string(),
+		conversaId: v.id('conversas'),
+		chamadaId: v.id('chamadas'),
+		ambiente: v.optional(v.string())
+	},
+	returns: v.union(
+		v.object({
+			sucesso: v.literal(true),
+			token: v.string(),
+			payload: v.object({
+				iss: v.string(),
+				aud: v.string(),
+				sub: v.string(),
+				room: v.string(),
+				moderator: v.boolean(),
+				exp: v.number(),
+				nbf: v.number()
+			})
+		}),
+		v.object({ sucesso: v.literal(false), erro: v.string() })
+	),
+	handler: async (
+		ctx,
+		args
+	): Promise<
+		| {
+				sucesso: true;
+				token: string;
+				payload: {
+					iss: string;
+					aud: string;
+					sub: string;
+					room: string;
+					moderator: boolean;
+					exp: number;
+					nbf: number;
+				};
+		  }
+		| { sucesso: false; erro: string }
+	> => {
+		// Obter usuário autenticado (em actions, precisamos usar authComponent)
+		const authUser = await authComponent.safeGetAuthUser(toGenericCtx(ctx));
+		if (!authUser) {
+			return { sucesso: false as const, erro: 'Não autenticado' };
+		}
+
+		// Buscar usuário no banco usando query
+		const usuarioAtual = await ctx.runQuery(api.auth.getCurrentUser, {});
+		if (!usuarioAtual) {
+			return { sucesso: false as const, erro: 'Usuário não encontrado' };
+		}
+
+		// Verificar se usuário participa da conversa
+		const conversa = await ctx.runQuery(api.chamadas.obterChamada, {
+			chamadaId: args.chamadaId
+		});
+		if (!conversa) {
+			return { sucesso: false as const, erro: 'Chamada não encontrada ou você não tem acesso' };
+		}
+
+		// Verificar se conversaId corresponde
+		if (conversa.conversaId !== args.conversaId) {
+			return { sucesso: false as const, erro: 'Conversa não corresponde à chamada' };
+		}
+
+		// Verificar se chamada existe (já obtida acima como conversa)
+		const chamada = conversa;
+		if (!chamada) {
+			return { sucesso: false as const, erro: 'Chamada não encontrada' };
+		}
+
+		// Verificar se roomName corresponde
+		if (chamada.roomName !== args.roomName) {
+			return { sucesso: false as const, erro: 'Room name não corresponde à chamada' };
+		}
+
+		// Buscar configuração Jitsi
+		let config;
+		if (args.ambiente) {
+			config = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsiPorAmbiente, {
+				ambiente: args.ambiente
+			});
+		} else {
+			config = await ctx.runQuery(api.configuracaoJitsi.obterConfigJitsi, {});
+		}
+
+		if (!config) {
+			return { sucesso: false as const, erro: 'Configuração Jitsi não encontrada' };
+		}
+
+		// Se não há JWT secret configurado, retornar erro
+		if (!config.jwtSecret) {
+			return {
+				sucesso: false as const,
+				erro: 'JWT Secret não configurado. Configure o JWT Secret nas configurações do Jitsi.'
+			};
+		}
+
+		// Descriptografar JWT secret
+		let jwtSecret: string;
+		try {
+			jwtSecret = await decryptJWTSecret(config.jwtSecret);
+		} catch (error) {
+			console.error('Erro ao descriptografar JWT secret:', error);
+			return { sucesso: false as const, erro: 'Erro ao descriptografar JWT secret' };
+		}
+
+		// Determinar se usuário é moderador (anfitrião da chamada)
+		const ehModerador = chamada.criadoPor === usuarioAtual._id;
+
+		// Preparar claims do JWT
+		const iss: string = config.jwtIssuer || config.appId;
+		const aud: string = config.jwtAudience || config.domain;
+		const sub: string = usuarioAtual.email || usuarioAtual._id;
+
+		// Gerar token
+		try {
+			const token = await criarTokenJWTJitsi(jwtSecret, {
+				iss,
+				aud,
+				sub,
+				room: args.roomName,
+				moderator: ehModerador
+			});
+
+			// Retornar token e payload decodificado para debug
+			const now = Math.floor(Date.now() / 1000);
+			const payload: {
+				iss: string;
+				aud: string;
+				sub: string;
+				room: string;
+				moderator: boolean;
+				exp: number;
+				nbf: number;
+			} = {
+				iss,
+				aud,
+				sub,
+				room: args.roomName,
+				moderator: ehModerador,
+				exp: now + 3600, // 1 hora
+				nbf: now
+			};
+
+			return { sucesso: true as const, token, payload };
+		} catch (error) {
+			console.error('Erro ao gerar token JWT:', error);
+			return { sucesso: false as const, erro: 'Erro ao gerar token JWT' };
+		}
+	}
+});
diff --git a/packages/backend/convex/http.ts b/packages/backend/convex/http.ts
index c7d8480..952db00 100644
--- a/packages/backend/convex/http.ts
+++ b/packages/backend/convex/http.ts
@@ -16,7 +16,24 @@ http.route({
 		const method = request.method;
 
 		// Extrair IP do cliente
-		const ipOrigem = getClientIP(request);
+		const ipOrigem = getClientIP(request) ?? '0.0.0.0';
+
+		// Enforcement (blacklist + rate limit) antes de processar
+		const enforcement = await ctx.runMutation(api.security.enforceRequest, {
+			ip: ipOrigem,
+			path: url.pathname,
+			method
+		});
+		if (!enforcement.allowed) {
+			const headers: Record<string, string> = { 'Content-Type': 'application/json' };
+			if (enforcement.retryAfterMs) {
+				headers['Retry-After'] = String(Math.ceil(enforcement.retryAfterMs / 1000));
+			}
+			return new Response(JSON.stringify(enforcement), {
+				status: enforcement.status,
+				headers
+			});
+		}
 
 		// Extrair headers
 		const headers: Record<string, string> = {};
@@ -38,8 +55,8 @@ http.route({
 			// Ignorar erros ao ler body
 		}
 
-		// Analisar requisição para detectar ataques
-		const resultado = await ctx.runMutation(api.security.analisarRequisicaoHTTP, {
+		// Analisar requisição para detectar ataques ANTES de processar
+		const analise = await ctx.runMutation(api.security.analisarRequisicaoHTTP, {
 			url: url.pathname + url.search,
 			method,
 			headers,
@@ -49,7 +66,25 @@ http.route({
 			userAgent: request.headers.get('user-agent') ?? undefined
 		});
 
-		return new Response(JSON.stringify(resultado), {
+		// Se ataque detectado e bloqueio automático aplicado, retornar 403 imediatamente
+		if (analise.ataqueDetectado && analise.bloqueadoAutomatico) {
+			return new Response(
+				JSON.stringify({
+					ataqueDetectado: true,
+					bloqueado: true,
+					tipoAtaque: analise.tipoAtaque,
+					severidade: analise.severidade,
+					mensagem: 'Ataque detectado e bloqueado automaticamente'
+				}),
+				{
+					status: 403,
+					headers: { 'Content-Type': 'application/json' }
+				}
+			);
+		}
+
+		// Se ataque detectado mas sem bloqueio automático, retornar resultado normalmente
+		return new Response(JSON.stringify(analise), {
 			status: 200,
 			headers: { 'Content-Type': 'application/json' }
 		});
@@ -61,6 +96,19 @@ http.route({
 	path: '/security/rate-limit/seed-dev',
 	method: 'POST',
 	handler: httpAction(async (ctx) => {
+		// Hardening: endpoint apenas para dev/staging.
+		// Em Convex, NODE_ENV pode ser 'production' mesmo em dev local,
+		// então também aceitamos deployments locais "anonymous-*", ou uma flag explícita.
+		const deployment = process.env.CONVEX_DEPLOYMENT;
+		const siteUrl = process.env.SITE_URL || process.env.CONVEX_SITE_URL;
+		const enabled =
+			process.env.SECURITY_DEV_TOOLS === 'true' ||
+			(typeof siteUrl === 'string' && /localhost|127\.0\.0\.1/i.test(siteUrl)) ||
+			(typeof deployment === 'string' && deployment.startsWith('anonymous-')) ||
+			process.env.NODE_ENV !== 'production';
+		if (!enabled) {
+			return new Response('Not found', { status: 404 });
+		}
 		const resultado = await ctx.runMutation(api.security.seedRateLimitDev, {});
 		return new Response(JSON.stringify(resultado), {
 			status: 200,
diff --git a/packages/backend/convex/pontos.ts b/packages/backend/convex/pontos.ts
index 9c3e8b3..f1e6c1d 100644
--- a/packages/backend/convex/pontos.ts
+++ b/packages/backend/convex/pontos.ts
@@ -3040,9 +3040,7 @@ export const excluirHomologacao = mutation({
 
 				if (bancoHoras) {
 					// Remover o ajuste do array ajustesIds
-					const novosAjustesIds = (bancoHoras.ajustesIds || []).filter(
-						(id) => id !== ajuste._id
-					);
+					const novosAjustesIds = (bancoHoras.ajustesIds || []).filter((id) => id !== ajuste._id);
 
 					// Reverter o ajuste do saldo (subtrair o valor que foi adicionado)
 					const novoSaldoMinutos = bancoHoras.saldoMinutos - ajuste.valorMinutos;
@@ -3051,9 +3049,7 @@ export const excluirHomologacao = mutation({
 					let novoTipoDia = bancoHoras.tipoDia;
 					if (novosAjustesIds.length > 0) {
 						// Se ainda há outros ajustes, verificar qual tipoDia deve ser mantido
-						const outrosAjustes = await Promise.all(
-							novosAjustesIds.map((id) => ctx.db.get(id))
-						);
+						const outrosAjustes = await Promise.all(novosAjustesIds.map((id) => ctx.db.get(id)));
 						const temAjusteAbonar = outrosAjustes.some((a) => a?.tipo === 'abonar');
 						const temAjusteDescontar = outrosAjustes.some((a) => a?.tipo === 'descontar');
 
@@ -3103,7 +3099,12 @@ export const excluirHomologacao = mutation({
 					const estaRemovendoMesPassado = mes < mesAtual;
 
 					// Recalcular em cascata se for mês passado
-					await calcularBancoHorasMensal(ctx, homologacao.funcionarioId, mes, estaRemovendoMesPassado);
+					await calcularBancoHorasMensal(
+						ctx,
+						homologacao.funcionarioId,
+						mes,
+						estaRemovendoMesPassado
+					);
 				}
 
 				// Excluir o registro de ajuste do banco de dados
diff --git a/packages/backend/convex/security.ts b/packages/backend/convex/security.ts
index e388c97..1c98ebb 100644
--- a/packages/backend/convex/security.ts
+++ b/packages/backend/convex/security.ts
@@ -3,6 +3,7 @@ import { v } from 'convex/values';
 import { internalMutation, mutation, MutationCtx, query, QueryCtx } from './_generated/server';
 import { internal, api, components } from './_generated/api';
 import type { Id } from './_generated/dataModel';
+import { getCurrentUserFunction } from './auth';
 import type {
 	AtaqueCiberneticoTipo,
 	SeveridadeSeguranca,
@@ -38,6 +39,35 @@ type RegistroGeo = {
 	longitude?: number;
 };
 
+async function assertAdmin(ctx: QueryCtx | MutationCtx) {
+	const usuarioAtual = await getCurrentUserFunction(ctx);
+	if (!usuarioAtual) {
+		throw new Error('acesso_negado');
+	}
+	if (!usuarioAtual.roleId) {
+		throw new Error('acesso_negado');
+	}
+	const role = await ctx.db.get(usuarioAtual.roleId);
+	if (!role || role.admin !== true) {
+		throw new Error('acesso_negado');
+	}
+	return usuarioAtual;
+}
+
+function assertDevOnly() {
+	// Em produção, endpoints/mutations de teste devem ser desabilitados.
+	// Observação: em ambientes Convex, NODE_ENV pode vir como 'production' mesmo em dev local,
+	// então também aceitamos deployments locais "anonymous-*", ou uma flag explícita.
+	const deployment = process.env.CONVEX_DEPLOYMENT;
+	const siteUrl = process.env.SITE_URL || process.env.CONVEX_SITE_URL;
+	const enabled =
+		process.env.SECURITY_DEV_TOOLS === 'true' ||
+		(typeof siteUrl === 'string' && /localhost|127\.0\.0\.1/i.test(siteUrl)) ||
+		(typeof deployment === 'string' && deployment.startsWith('anonymous-')) ||
+		process.env.NODE_ENV !== 'production';
+	if (!enabled) throw new Error('acesso_negado');
+}
+
 type RegistroEventoArgs = {
 	descricao?: string;
 	tipoAtaque?: AtaqueCiberneticoTipo;
@@ -83,7 +113,6 @@ const ATAQUES_PRIORITARIOS: Array<AtaqueCiberneticoTipo> = [
 	'brute_force',
 	'supply_chain',
 	'malware',
-	'engenharia_social',
 	'cve_exploit',
 	'bec',
 	'side_channel'
@@ -103,7 +132,6 @@ const BASE_SEVERIDADE: Record<AtaqueCiberneticoTipo, SeveridadeSeguranca> = {
 	xxe: 'alto',
 	man_in_the_middle: 'alto',
 	ddos: 'alto',
-	engenharia_social: 'moderado',
 	cve_exploit: 'alto',
 	apt: 'critico',
 	zero_day: 'critico',
@@ -298,7 +326,6 @@ const KEYWORDS: Record<AtaqueCiberneticoTipo, RegExp[]> = {
 	],
 	man_in_the_middle: [/mitm/i, /man-in-the-middle/i, /ssl strip/i, /tls downgrade/i],
 	ddos: [/ddos/i, /flood/i, /pps/i, /distributed denial/i, /traffic flood/i],
-	engenharia_social: [/social/i, /engenharia/i, /social engineering/i],
 	cve_exploit: [/cve-\d{4}-\d+/i, /exploit/i, /cve/i],
 	apt: [/apt/i, /persistent/i, /advanced persistent threat/i],
 	zero_day: [/zero[-\s]?day/i, /unknown exploit/i, /0-day/i],
@@ -332,7 +359,6 @@ const ataqueValidator = v.union(
 	v.literal('xxe'),
 	v.literal('man_in_the_middle'),
 	v.literal('ddos'),
-	v.literal('engenharia_social'),
 	v.literal('cve_exploit'),
 	v.literal('apt'),
 	v.literal('zero_day'),
@@ -404,6 +430,79 @@ const acaoIncidenteValidator = v.union(
 
 const acaoOrigemValidator = v.union(v.literal('automatico'), v.literal('manual'));
 
+export const enforceRequest = mutation({
+	args: {
+		ip: v.string(),
+		path: v.string(),
+		method: v.string()
+	},
+	returns: v.object({
+		allowed: v.boolean(),
+		status: v.number(),
+		reason: v.optional(v.string()),
+		retryAfterMs: v.optional(v.number())
+	}),
+	handler: async (ctx, args) => {
+		const agora = Date.now();
+		const ip = args.ip.trim();
+		const path = args.path.trim() || '/';
+		const pathKey = path.replace(/^\/+/, '');
+
+		// 1) Blacklist enforcement (somente IP)
+		const registroIp = await ctx.db
+			.query('ipReputation')
+			.withIndex('by_indicador', (q) => q.eq('indicador', ip))
+			.order('desc')
+			.first();
+
+		if (registroIp && registroIp.categoria === 'ip' && registroIp.blacklist === true) {
+			const ativo = !registroIp.bloqueadoAte || registroIp.bloqueadoAte > agora;
+			if (ativo) {
+				return {
+					allowed: false,
+					status: 403,
+					reason: 'ip_blacklisted'
+				};
+			}
+		}
+
+		// 2) Rate limit enforcement (endpoint + IP)
+		// - endpoint rules usam o "pathKey" (ex.: api/auth/sign-in/email)
+		// - ip rules usam o IP e namespace por endpoint
+		const endpointCheck = await aplicarRateLimit(ctx, 'endpoint', pathKey || 'root', pathKey || 'root');
+		if (!endpointCheck.permitido) {
+			return {
+				allowed: false,
+				status: 429,
+				reason: endpointCheck.motivo ?? 'rate_limited',
+				retryAfterMs: endpointCheck.retryAfter
+			};
+		}
+
+		const ipCheck = await aplicarRateLimit(ctx, 'ip', ip, pathKey || 'root');
+		if (!ipCheck.permitido) {
+			return {
+				allowed: false,
+				status: 429,
+				reason: ipCheck.motivo ?? 'rate_limited',
+				retryAfterMs: ipCheck.retryAfter
+			};
+		}
+
+		// NOTE: para estratégias "throttle", o helper pode retornar retryAfter mas permitir.
+		// Aqui optamos por permitir, deixando o servidor decidir se atrasa ou apenas sinaliza.
+		const retryAfterMs =
+			(endpointCheck.retryAfter ?? 0) > 0 ? endpointCheck.retryAfter : ipCheck.retryAfter;
+
+		return {
+			allowed: true,
+			status: 200,
+			reason: undefined,
+			retryAfterMs: retryAfterMs && retryAfterMs > 0 ? retryAfterMs : undefined
+		};
+	}
+});
+
 // Função para analisar string e detectar ataques
 function analisarStringParaAtaques(texto: string): AtaqueCiberneticoTipo | null {
 	if (!texto) return null;
@@ -700,6 +799,7 @@ export const listarEventosSeguranca = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const limit = args.limit && args.limit > 0 ? Math.min(args.limit, 500) : 100;
 		const janelaInicial = args.apos ?? Date.now() - 6 * 60 * 60 * 1000;
 
@@ -809,6 +909,7 @@ export const obterVisaoCamadas = query({
 		})
 	}),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const agora = Date.now();
 		const periodoMs = Math.max(1, args.periodoHoras ?? 6) * 60 * 60 * 1000;
 		const inicioJanela = agora - periodoMs;
@@ -899,6 +1000,7 @@ export const listarReputacoes = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const limit = args.limit && args.limit > 0 ? Math.min(args.limit, 500) : 200;
 
 		const builder =
@@ -933,7 +1035,6 @@ export const listarReputacoes = query({
 
 export const atualizarReputacaoIndicador = mutation({
 	args: {
-		usuarioId: v.id('usuarios'),
 		indicador: v.string(),
 		categoria: indicadorCategoriaValidator,
 		acao: v.union(
@@ -953,11 +1054,12 @@ export const atualizarReputacaoIndicador = mutation({
 		status: v.string()
 	}),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		// Aplicar rate limiting por usuário
 		const rateLimitResult = await aplicarRateLimit(
 			ctx,
 			'usuario',
-			args.usuarioId,
+			usuarioAtual._id,
 			'atualizarReputacaoIndicador'
 		);
 		if (!rateLimitResult.permitido) {
@@ -995,7 +1097,7 @@ export const atualizarReputacaoIndicador = mutation({
 				eventoId: await ctx.db.insert('securityEvents', {
 					referencia: `auto-${args.indicador}-${agora}`,
 					timestamp: agora,
-					tipoAtaque: 'engenharia_social',
+					tipoAtaque: 'malware',
 					severidade: 'informativo',
 					status: 'contido',
 					descricao: 'Registro criado via painel de reputação.',
@@ -1016,13 +1118,13 @@ export const atualizarReputacaoIndicador = mutation({
 					tags: ['reputacao'],
 					referenciasExternas: undefined,
 					correlacoes: undefined,
-					criadoPor: args.usuarioId,
+					criadoPor: usuarioAtual._id,
 					atualizadoEm: agora
 				}),
 				tipo: args.acao === 'forcar_blacklist' ? 'block_ip' : 'custom',
 				origem: 'manual',
 				status: 'concluido',
-				executadoPor: args.usuarioId,
+				executadoPor: usuarioAtual._id,
 				detalhes: args.comentario,
 				resultado: 'Registro inicial',
 				relacionadoA: undefined,
@@ -1071,7 +1173,6 @@ export const atualizarReputacaoIndicador = mutation({
 
 export const configurarRegraPorta = mutation({
 	args: {
-		usuarioId: v.id('usuarios'),
 		regraId: v.optional(v.id('portRules')),
 		porta: v.number(),
 		protocolo: protocoloValidator,
@@ -1088,6 +1189,7 @@ export const configurarRegraPorta = mutation({
 		status: v.string()
 	}),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		const agora = Date.now();
 		const expiraEm =
 			args.temporario && args.duracaoSegundos ? agora + args.duracaoSegundos * 1000 : undefined;
@@ -1100,7 +1202,7 @@ export const configurarRegraPorta = mutation({
 				temporario: args.temporario,
 				duracaoSegundos: args.duracaoSegundos,
 				expiraEm,
-				atualizadoPor: args.usuarioId,
+				atualizadoPor: usuarioAtual._id,
 				atualizadoEm: agora,
 				severidadeMin: args.severidadeMin,
 				notas: args.notas,
@@ -1118,8 +1220,8 @@ export const configurarRegraPorta = mutation({
 			severidadeMin: args.severidadeMin,
 			duracaoSegundos: args.duracaoSegundos,
 			expiraEm,
-			criadoPor: args.usuarioId,
-			atualizadoPor: args.usuarioId,
+			criadoPor: usuarioAtual._id,
+			atualizadoPor: usuarioAtual._id,
 			criadoEm: agora,
 			atualizadoEm: agora,
 			notas: args.notas,
@@ -1150,6 +1252,7 @@ export const listarRegrasPorta = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const builder =
 			args.acao === undefined
 				? ctx.db.query('portRules')
@@ -1203,13 +1306,17 @@ export const registrarAcaoIncidente = mutation({
 		acaoId: v.id('incidentActions')
 	}),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
+		if (args.executadoPor && args.executadoPor !== usuarioAtual._id) {
+			throw new Error('acesso_negado');
+		}
 		const agora = Date.now();
 		const acaoId = await ctx.db.insert('incidentActions', {
 			eventoId: args.eventoId,
 			tipo: args.tipo,
 			origem: args.origem,
 			status: args.status ?? 'concluido',
-			executadoPor: args.executadoPor,
+			executadoPor: usuarioAtual._id,
 			detalhes: args.detalhes,
 			resultado: args.resultado,
 			relacionadoA: args.relacionadoA,
@@ -1223,7 +1330,6 @@ export const registrarAcaoIncidente = mutation({
 
 export const solicitarRelatorioSeguranca = mutation({
 	args: {
-		solicitanteId: v.id('usuarios'),
 		filtros: v.object({
 			dataInicio: v.number(),
 			dataFim: v.number(),
@@ -1238,8 +1344,9 @@ export const solicitarRelatorioSeguranca = mutation({
 		relatorioId: v.id('reportRequests')
 	}),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		const relatorioId = await ctx.db.insert('reportRequests', {
-			solicitanteId: args.solicitanteId,
+			solicitanteId: usuarioAtual._id,
 			filtros: {
 				dataInicio: args.filtros.dataInicio,
 				dataFim: args.filtros.dataFim,
@@ -1286,6 +1393,7 @@ export const listarRelatoriosRecentes = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const max = Math.min(args.limit ?? 10, 50);
 		const rows = await ctx.db
 			.query('reportRequests')
@@ -1311,6 +1419,7 @@ export const healthStatus = query({
 		pendingReports: v.number()
 	}),
 	handler: async (ctx) => {
+		await assertAdmin(ctx);
 		// Contar rapidamente quantos relatórios pendentes existem (limitado)
 		const pending = await ctx.db
 			.query('reportRequests')
@@ -1332,6 +1441,7 @@ export const deletarRelatorio = mutation({
 	},
 	returns: v.object({ success: v.boolean() }),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const doc = await ctx.db.get(args.relatorioId);
 		if (!doc) {
 			return { success: false };
@@ -1440,6 +1550,7 @@ export const listarAlertConfigs = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const max = Math.min(args.limit ?? 100, 200);
 		const rows = await ctx.db
 			.query('alertConfigs')
@@ -1472,11 +1583,11 @@ export const salvarAlertConfig = mutation({
 		severidadeMin: severidadeValidator,
 		tiposAtaque: v.optional(v.array(ataqueValidator)),
 		reenvioMin: v.number(),
-		templateCodigo: v.optional(v.string()), // Template a ser usado
-		criadoPor: v.id('usuarios')
+		templateCodigo: v.optional(v.string()) // Template a ser usado
 	},
 	returns: v.object({ _id: v.id('alertConfigs') }),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		const agora = Date.now();
 		if (args.configId) {
 			await ctx.db.patch(args.configId, {
@@ -1501,7 +1612,7 @@ export const salvarAlertConfig = mutation({
 			tiposAtaque: args.tiposAtaque,
 			reenvioMin: args.reenvioMin,
 			templateCodigo: args.templateCodigo ?? 'incidente_critico', // Padrão
-			criadoPor: args.criadoPor,
+			criadoPor: usuarioAtual._id,
 			criadoEm: agora,
 			atualizadoEm: agora
 		});
@@ -1513,6 +1624,7 @@ export const deletarAlertConfig = mutation({
 	args: { configId: v.id('alertConfigs') },
 	returns: v.null(),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		await ctx.db.delete(args.configId);
 		return null;
 	}
@@ -1566,10 +1678,9 @@ export const dispararAlertasInternos = internalMutation({
 			command_injection: 'Command Injection',
 			nosql_injection: 'NoSQL Injection',
 			xxe: 'XXE',
-			man_in_the_middle: 'MITM',
-			ddos: 'DDoS',
-			engenharia_social: 'Engenharia Social',
-			cve_exploit: 'Exploração de CVE',
+		man_in_the_middle: 'MITM',
+		ddos: 'DDoS',
+		cve_exploit: 'Exploração de CVE',
 			apt: 'APT',
 			zero_day: 'Zero-Day',
 			supply_chain: 'Supply Chain',
@@ -2113,7 +2224,6 @@ async function aplicarRateLimit(
 
 export const criarConfigRateLimit = mutation({
 	args: {
-		usuarioId: v.id('usuarios'),
 		nome: v.string(),
 		tipo: v.union(
 			v.literal('ip'),
@@ -2137,6 +2247,7 @@ export const criarConfigRateLimit = mutation({
 	},
 	returns: v.id('rateLimitConfig'),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		const agora = Date.now();
 		const configId = await ctx.db.insert('rateLimitConfig', {
 			nome: args.nome,
@@ -2149,7 +2260,7 @@ export const criarConfigRateLimit = mutation({
 			bloqueioTemporarioSegundos: args.bloqueioTemporarioSegundos,
 			ativo: true,
 			prioridade: args.prioridade ?? 0,
-			criadoPor: args.usuarioId,
+			criadoPor: usuarioAtual._id,
 			atualizadoPor: undefined,
 			criadoEm: agora,
 			atualizadoEm: agora,
@@ -2164,7 +2275,6 @@ export const criarConfigRateLimit = mutation({
 export const atualizarConfigRateLimit = mutation({
 	args: {
 		configId: v.id('rateLimitConfig'),
-		usuarioId: v.id('usuarios'),
 		nome: v.optional(v.string()),
 		limite: v.optional(v.number()),
 		janelaSegundos: v.optional(v.number()),
@@ -2182,6 +2292,7 @@ export const atualizarConfigRateLimit = mutation({
 	},
 	returns: v.null(),
 	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
 		const config = await ctx.db.get(args.configId);
 		if (!config) {
 			throw new Error('Configuração de rate limit não encontrada');
@@ -2201,7 +2312,7 @@ export const atualizarConfigRateLimit = mutation({
 			atualizadoPor: Id<'usuarios'>;
 			atualizadoEm: number;
 		} = {
-			atualizadoPor: args.usuarioId,
+			atualizadoPor: usuarioAtual._id,
 			atualizadoEm: Date.now()
 		};
 
@@ -2257,6 +2368,7 @@ export const listarConfigsRateLimit = query({
 		})
 	),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		let builder;
 		if (args.tipo !== undefined) {
 			const tipo = args.tipo;
@@ -2311,7 +2423,8 @@ export const analisarRequisicaoHTTP = mutation({
 		ataqueDetectado: v.boolean(),
 		tipoAtaque: v.optional(ataqueValidator),
 		severidade: v.optional(severidadeValidator),
-		eventoId: v.optional(v.id('securityEvents'))
+		eventoId: v.optional(v.id('securityEvents')),
+		bloqueadoAutomatico: v.optional(v.boolean())
 	}),
 	handler: async (ctx, args) => {
 		// Combinar todos os dados da requisição para análise
@@ -2336,13 +2449,38 @@ export const analisarRequisicaoHTTP = mutation({
 				ataqueDetectado: false,
 				tipoAtaque: undefined,
 				severidade: undefined,
-				eventoId: undefined
+				eventoId: undefined,
+				bloqueadoAutomatico: undefined
 			};
 		}
 
 		// Calcular severidade
 		const severidade = calcularSeveridade(tipoAtaque, undefined, undefined);
 
+		// Verificar configuração de bloqueio automático
+		const autoBlockConfig = await ctx.db
+			.query('autoBlockConfig')
+			.withIndex('by_tipo', (q) => q.eq('tipoAtaque', tipoAtaque))
+			.filter((q) => q.eq(q.field('ativo'), true))
+			.first();
+
+		let bloqueadoAutomatico = false;
+		let bloqueadoAte: number | undefined = undefined;
+
+		// Aplicar bloqueio automático se configurado
+		if (
+			autoBlockConfig &&
+			autoBlockConfig.bloquearAutomatico &&
+			SEVERIDADE_SCORE[severidade] >= SEVERIDADE_SCORE[autoBlockConfig.severidadeMinima]
+		) {
+			bloqueadoAutomatico = true;
+
+			// Calcular data de expiração se duração definida
+			if (autoBlockConfig.duracaoBloqueioSegundos) {
+				bloqueadoAte = Date.now() + autoBlockConfig.duracaoBloqueioSegundos * 1000;
+			}
+		}
+
 		// Permitir que o chamador informe o destino/protocolo via query string em cenários de dev/teste
 		const destinoIp =
 			(args.queryParams &&
@@ -2353,13 +2491,20 @@ export const analisarRequisicaoHTTP = mutation({
 		// Registrar evento de segurança
 		const referencia = `http_${Date.now()}_${Math.random().toString(36).substring(7)}`;
 		const agora = Date.now();
+		const tags = ['detecção_automática', 'http', tipoAtaque];
+		if (bloqueadoAutomatico) {
+			tags.push('bloqueio_automatico');
+		}
+
 		const eventoId = await ctx.db.insert('securityEvents', {
 			referencia,
 			timestamp: agora,
 			tipoAtaque,
 			severidade,
 			status: statusInicial(severidade),
-			descricao: `Ataque ${tipoAtaque} detectado na requisição HTTP ${args.method} ${args.url}`,
+			descricao: `Ataque ${tipoAtaque} detectado na requisição HTTP ${args.method} ${args.url}${
+				bloqueadoAutomatico ? ' (BLOQUEADO AUTOMATICAMENTE)' : ''
+			}`,
 			origemIp: args.ipOrigem,
 			protocolo,
 			transporte: 'tcp',
@@ -2370,28 +2515,30 @@ export const analisarRequisicaoHTTP = mutation({
 					}
 				: undefined,
 			destinoIp: destinoIp ?? undefined,
-			tags: ['detecção_automática', 'http', tipoAtaque],
+			tags,
 			atualizadoEm: agora
 		});
 
 		// Ajustar reputação do IP se fornecido
 		if (args.ipOrigem) {
 			const delta = SEVERIDADE_SCORE[severidade] * -10; // Penalidade baseada na severidade
-			await ajustarReputacao(
-				ctx,
-				args.ipOrigem,
-				'ip',
-				delta,
-				severidade,
-				severidade === 'critico' || severidade === 'alto' ? { blacklist: true } : undefined
-			);
+
+			// Se bloqueio automático ativo, aplicar blacklist
+			const opcoesBlacklist = bloqueadoAutomatico
+				? { blacklist: true, bloqueadoAte }
+				: severidade === 'critico' || severidade === 'alto'
+					? { blacklist: true }
+					: undefined;
+
+			await ajustarReputacao(ctx, args.ipOrigem, 'ip', delta, severidade, opcoesBlacklist);
 		}
 
 		return {
 			ataqueDetectado: true,
 			tipoAtaque,
 			severidade,
-			eventoId
+			eventoId,
+			bloqueadoAutomatico
 		};
 	}
 });
@@ -2531,6 +2678,7 @@ export const criarEventosTeste = mutation({
 		eventosIds: v.array(v.id('securityEvents'))
 	}),
 	handler: async (ctx, args) => {
+		assertDevOnly();
 		const quantidade = args.quantidade ?? 10;
 		const eventosIds: Id<'securityEvents'>[] = [];
 		const agora = Date.now();
@@ -2701,11 +2849,11 @@ export const monitorarLogsLogin = internalMutation({
 
 export const deletarConfigRateLimit = mutation({
 	args: {
-		configId: v.id('rateLimitConfig'),
-		usuarioId: v.id('usuarios')
+		configId: v.id('rateLimitConfig')
 	},
 	returns: v.null(),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const config = await ctx.db.get(args.configId);
 		if (!config) {
 			throw new Error('Configuração de rate limit não encontrada');
@@ -2723,8 +2871,9 @@ export const seedRateLimitDev = mutation({
 		criadosOuAtualizados: v.number()
 	}),
 	handler: async (ctx) => {
+		assertDevOnly();
 		let count = 0;
-		// Obter um usuário existente para campos de auditoria
+		// Em dev, usar qualquer usuário existente para auditoria
 		const algumUsuario = await ctx.db.query('usuarios').order('asc').take(1);
 		if (algumUsuario.length === 0) {
 			throw new Error('Seed de rate limit: nenhum usuário encontrado para auditoria (criadoPor).');
@@ -2836,6 +2985,7 @@ export const limparEventosTeste = mutation({
 	args: {},
 	returns: v.object({ removidos: v.number() }),
 	handler: async (ctx) => {
+		assertDevOnly();
 		const docs = await ctx.db
 			.query('securityEvents')
 			.withIndex('by_timestamp', (q) => q.gte('timestamp', 0))
@@ -2855,11 +3005,11 @@ export const limparEventosTeste = mutation({
 // Deletar regra de porta
 export const deletarRegraPorta = mutation({
 	args: {
-		regraId: v.id('portRules'),
-		usuarioId: v.id('usuarios')
+		regraId: v.id('portRules')
 	},
 	returns: v.null(),
 	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
 		const regra = await ctx.db.get(args.regraId);
 		if (!regra) {
 			throw new Error('Regra de porta não encontrada');
@@ -2868,3 +3018,220 @@ export const deletarRegraPorta = mutation({
 		return null;
 	}
 });
+
+// ============================================
+// CONFIGURAÇÃO DE BLOQUEIO AUTOMÁTICO
+// ============================================
+
+// Criar configuração de bloqueio automático
+export const criarAutoBlockConfig = mutation({
+	args: {
+		tipoAtaque: ataqueValidator,
+		bloquearAutomatico: v.boolean(),
+		severidadeMinima: severidadeValidator,
+		duracaoBloqueioSegundos: v.optional(v.number()),
+		ativo: v.boolean()
+	},
+	returns: v.id('autoBlockConfig'),
+	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
+		const agora = Date.now();
+
+		// Verificar se já existe configuração para este tipo de ataque
+		const existente = await ctx.db
+			.query('autoBlockConfig')
+			.withIndex('by_tipo', (q) => q.eq('tipoAtaque', args.tipoAtaque))
+			.first();
+
+		if (existente) {
+			throw new Error(`Já existe uma configuração para o tipo de ataque ${args.tipoAtaque}`);
+		}
+
+		// Validação: não permitir bloqueio permanente para severidade baixa
+		if (
+			args.bloquearAutomatico &&
+			!args.duracaoBloqueioSegundos &&
+			(args.severidadeMinima === 'informativo' || args.severidadeMinima === 'baixo')
+		) {
+			throw new Error(
+				'Bloqueio permanente só é permitido para severidade moderada, alta ou crítica'
+			);
+		}
+
+		const configId = await ctx.db.insert('autoBlockConfig', {
+			tipoAtaque: args.tipoAtaque,
+			bloquearAutomatico: args.bloquearAutomatico,
+			severidadeMinima: args.severidadeMinima,
+			duracaoBloqueioSegundos: args.duracaoBloqueioSegundos,
+			ativo: args.ativo,
+			criadoPor: usuarioAtual._id,
+			atualizadoPor: undefined,
+			criadoEm: agora,
+			atualizadoEm: agora
+		});
+
+		return configId;
+	}
+});
+
+// Atualizar configuração de bloqueio automático
+export const atualizarAutoBlockConfig = mutation({
+	args: {
+		configId: v.id('autoBlockConfig'),
+		bloquearAutomatico: v.optional(v.boolean()),
+		severidadeMinima: v.optional(severidadeValidator),
+		duracaoBloqueioSegundos: v.optional(v.number()),
+		ativo: v.optional(v.boolean())
+	},
+	returns: v.id('autoBlockConfig'),
+	handler: async (ctx, args) => {
+		const usuarioAtual = await assertAdmin(ctx);
+		const config = await ctx.db.get(args.configId);
+
+		if (!config) {
+			throw new Error('Configuração não encontrada');
+		}
+
+		// Validação: não permitir bloqueio permanente para severidade baixa
+		const severidadeMinima = args.severidadeMinima ?? config.severidadeMinima;
+		const bloquearAutomatico = args.bloquearAutomatico ?? config.bloquearAutomatico;
+		const duracaoBloqueioSegundos =
+			args.duracaoBloqueioSegundos !== undefined
+				? args.duracaoBloqueioSegundos
+				: config.duracaoBloqueioSegundos;
+
+		if (
+			bloquearAutomatico &&
+			!duracaoBloqueioSegundos &&
+			(severidadeMinima === 'informativo' || severidadeMinima === 'baixo')
+		) {
+			throw new Error(
+				'Bloqueio permanente só é permitido para severidade moderada, alta ou crítica'
+			);
+		}
+
+		await ctx.db.patch(args.configId, {
+			bloquearAutomatico: args.bloquearAutomatico ?? config.bloquearAutomatico,
+			severidadeMinima: severidadeMinima,
+			duracaoBloqueioSegundos: duracaoBloqueioSegundos,
+			ativo: args.ativo ?? config.ativo,
+			atualizadoPor: usuarioAtual._id,
+			atualizadoEm: Date.now()
+		});
+
+		return args.configId;
+	}
+});
+
+// Deletar configuração de bloqueio automático
+export const deletarAutoBlockConfig = mutation({
+	args: {
+		configId: v.id('autoBlockConfig')
+	},
+	returns: v.null(),
+	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
+		const config = await ctx.db.get(args.configId);
+		if (!config) {
+			throw new Error('Configuração não encontrada');
+		}
+		await ctx.db.delete(args.configId);
+		return null;
+	}
+});
+
+// Listar todas as configurações de bloqueio automático
+export const listarAutoBlockConfigs = query({
+	args: {
+		ativo: v.optional(v.boolean()),
+		limit: v.optional(v.number())
+	},
+	returns: v.array(
+		v.object({
+			_id: v.id('autoBlockConfig'),
+			tipoAtaque: ataqueValidator,
+			bloquearAutomatico: v.boolean(),
+			severidadeMinima: severidadeValidator,
+			duracaoBloqueioSegundos: v.optional(v.number()),
+			ativo: v.boolean(),
+			criadoPor: v.id('usuarios'),
+			atualizadoPor: v.optional(v.id('usuarios')),
+			criadoEm: v.number(),
+			atualizadoEm: v.number()
+		})
+	),
+	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
+
+		const queryInitializer = ctx.db.query('autoBlockConfig');
+		const query = args.ativo !== undefined
+			? queryInitializer.withIndex('by_ativo', (q) => {
+					const ativoValue: boolean = args.ativo!;
+					return q.eq('ativo', ativoValue);
+				})
+			: queryInitializer;
+
+		const configs = await query.order('desc').take(args.limit ?? 100);
+
+		return configs.map((config) => ({
+			_id: config._id,
+			tipoAtaque: config.tipoAtaque,
+			bloquearAutomatico: config.bloquearAutomatico,
+			severidadeMinima: config.severidadeMinima,
+			duracaoBloqueioSegundos: config.duracaoBloqueioSegundos,
+			ativo: config.ativo,
+			criadoPor: config.criadoPor,
+			atualizadoPor: config.atualizadoPor,
+			criadoEm: config.criadoEm,
+			atualizadoEm: config.atualizadoEm
+		}));
+	}
+});
+
+// Obter configuração de bloqueio automático por tipo de ataque
+export const obterAutoBlockConfig = query({
+	args: {
+		tipoAtaque: ataqueValidator
+	},
+	returns: v.union(
+		v.object({
+			_id: v.id('autoBlockConfig'),
+			tipoAtaque: ataqueValidator,
+			bloquearAutomatico: v.boolean(),
+			severidadeMinima: severidadeValidator,
+			duracaoBloqueioSegundos: v.optional(v.number()),
+			ativo: v.boolean(),
+			criadoPor: v.id('usuarios'),
+			atualizadoPor: v.optional(v.id('usuarios')),
+			criadoEm: v.number(),
+			atualizadoEm: v.number()
+		}),
+		v.null()
+	),
+	handler: async (ctx, args) => {
+		await assertAdmin(ctx);
+
+		const config = await ctx.db
+			.query('autoBlockConfig')
+			.withIndex('by_tipo', (q) => q.eq('tipoAtaque', args.tipoAtaque))
+			.filter((q) => q.eq(q.field('ativo'), true))
+			.first();
+
+		if (!config) {
+			return null;
+		}
+
+		return {
+			_id: config._id,
+			tipoAtaque: config.tipoAtaque,
+			bloquearAutomatico: config.bloquearAutomatico,
+			severidadeMinima: config.severidadeMinima,
+			duracaoBloqueioSegundos: config.duracaoBloqueioSegundos,
+			ativo: config.ativo,
+			criadoPor: config.criadoPor,
+			atualizadoPor: config.atualizadoPor,
+			criadoEm: config.criadoEm,
+			atualizadoEm: config.atualizadoEm
+		};
+	}
+});
diff --git a/packages/backend/convex/tables/security.ts b/packages/backend/convex/tables/security.ts
index 4edc561..74ad3b6 100644
--- a/packages/backend/convex/tables/security.ts
+++ b/packages/backend/convex/tables/security.ts
@@ -15,7 +15,6 @@ export const ataqueCiberneticoTipo = v.union(
 	v.literal('xxe'),
 	v.literal('man_in_the_middle'),
 	v.literal('ddos'),
-	v.literal('engenharia_social'),
 	v.literal('cve_exploit'),
 	v.literal('apt'),
 	v.literal('zero_day'),
@@ -326,5 +325,19 @@ export const securityTables = {
 	})
 		.index('by_status', ['status'])
 		.index('by_solicitante', ['solicitanteId', 'status'])
-		.index('by_criado_em', ['criadoEm'])
+		.index('by_criado_em', ['criadoEm']),
+
+	autoBlockConfig: defineTable({
+		tipoAtaque: ataqueCiberneticoTipo,
+		bloquearAutomatico: v.boolean(),
+		severidadeMinima: severidadeSeguranca,
+		duracaoBloqueioSegundos: v.optional(v.number()),
+		ativo: v.boolean(),
+		criadoPor: v.id('usuarios'),
+		atualizadoPor: v.optional(v.id('usuarios')),
+		criadoEm: v.number(),
+		atualizadoEm: v.number()
+	})
+		.index('by_tipo', ['tipoAtaque'])
+		.index('by_ativo', ['ativo'])
 };
diff --git a/packages/backend/convex/tables/system.ts b/packages/backend/convex/tables/system.ts
index bf9c26c..dc33e3e 100644
--- a/packages/backend/convex/tables/system.ts
+++ b/packages/backend/convex/tables/system.ts
@@ -212,6 +212,10 @@ export const systemTables = {
 		roomPrefix: v.string(), // Prefixo para nomes de salas
 		useHttps: v.boolean(), // Usar HTTPS
 		acceptSelfSignedCert: v.optional(v.boolean()), // Aceitar certificados autoassinados (útil para desenvolvimento)
+		ambiente: v.optional(v.string()), // Ambiente da configuração (ex: "desenvolvimento", "staging", "producao")
+		jwtSecret: v.optional(v.string()), // JWT Secret criptografado (usado para gerar tokens JWT)
+		jwtAudience: v.optional(v.string()), // Audience do JWT (padrão: o próprio domínio)
+		jwtIssuer: v.optional(v.string()), // Issuer do JWT (padrão: appId)
 		ativo: v.boolean(), // Configuração ativa
 		testadoEm: v.optional(v.number()), // Timestamp do último teste de conexão
 		configuradoEm: v.optional(v.number()), // Timestamp da última configuração do servidor Docker
@@ -223,7 +227,10 @@ export const systemTables = {
 		sshUsername: v.optional(v.string()), // Usuário SSH para acesso ao servidor
 		sshPasswordHash: v.optional(v.string()), // Hash da senha SSH (criptografada)
 		sshPort: v.optional(v.number()) // Porta SSH (padrão: 22)
-	}).index('by_ativo', ['ativo']),
+	})
+		.index('by_ativo', ['ativo'])
+		.index('by_ambiente', ['ambiente'])
+		.index('by_ativo_ambiente', ['ativo', 'ambiente']),
 
 	// Logs de Erros do Servidor (500, etc)
 	errosServidor: defineTable({
diff --git a/packages/backend/convex/times.ts b/packages/backend/convex/times.ts
index a1e1d9e..4711a17 100644
--- a/packages/backend/convex/times.ts
+++ b/packages/backend/convex/times.ts
@@ -48,9 +48,26 @@ export const obterPorId = query({
 		const membros = await Promise.all(
 			membrosRelacoes.map(async (rel) => {
 				const funcionario = await ctx.db.get(rel.funcionarioId);
+				// Buscar foto do perfil do funcionário através do usuário associado
+				let fotoPerfilUrl: string | null = null;
+				if (funcionario) {
+					const usuario = await ctx.db
+						.query('usuarios')
+						.withIndex('by_funcionarioId', (q) => q.eq('funcionarioId', funcionario._id))
+						.first();
+					if (usuario?.fotoPerfil) {
+						fotoPerfilUrl = await ctx.storage.getUrl(usuario.fotoPerfil);
+					}
+				}
+
 				return {
 					...rel,
-					funcionario
+					funcionario: funcionario
+						? {
+								...funcionario,
+								fotoPerfilUrl
+							}
+						: null
 				};
 			})
 		);
diff --git a/packages/backend/package.json b/packages/backend/package.json
index 301292e..0026ae0 100644
--- a/packages/backend/package.json
+++ b/packages/backend/package.json
@@ -2,7 +2,7 @@
 	"name": "@sgse-app/backend",
 	"version": "1.0.0",
 	"scripts": {
-		"dev": "convex dev",
+		"dev": "CONVEX_DEV_TIMEOUT=60 convex dev",
 		"dev:setup": "convex dev --configure --until-success",
 		"lint": "eslint .",
 		"format": "prettier --write ."
diff --git a/scripts/REVISAO_CIBERSECURITY.md b/scripts/REVISAO_CIBERSECURITY.md
new file mode 100644
index 0000000..f3e2686
--- /dev/null
+++ b/scripts/REVISAO_CIBERSECURITY.md
@@ -0,0 +1,166 @@
+# Revisão e Melhorias do Módulo de Cibersecurity
+
+**Data:** 12/01/2026  
+**Módulo:** `/ti/cibersecurity`  
+**Objetivo:** Garantir funcionamento seguro do sistema mesmo diante de ataques
+
+## Resumo das Melhorias Implementadas
+
+### ✅ 1. Controle de Acesso (Admin-Only)
+
+**Problema identificado:** Qualquer usuário autenticado podia executar ações críticas de segurança (bloquear IPs, criar regras, deletar configurações).
+
+**Solução implementada:**
+- Adicionado helper `assertAdmin()` em `packages/backend/convex/security.ts`
+- Todas as queries e mutations sensíveis agora exigem role `admin === true`
+- Removido parâmetro `usuarioId` do cliente; o ID é derivado do usuário autenticado
+- Criado `+page.server.ts` na rota `/ti/cibersecurity` para redirecionar não-admins
+
+**Funções protegidas:**
+- `listarEventosSeguranca`, `obterVisaoCamadas`, `listarReputacoes`
+- `atualizarReputacaoIndicador`, `configurarRegraPorta`, `deletarRegraPorta`
+- `solicitarRelatorioSeguranca`, `deletarRelatorio`
+- `salvarAlertConfig`, `deletarAlertConfig`, `listarAlertConfigs`
+- `criarConfigRateLimit`, `atualizarConfigRateLimit`, `deletarConfigRateLimit`, `listarConfigsRateLimit`
+- `registrarAcaoIncidente`
+
+### ✅ 2. Hardening de Endpoints Dev-Only
+
+**Problema identificado:** Endpoints e mutations de teste estavam acessíveis em produção.
+
+**Solução implementada:**
+- Criado helper `assertDevOnly()` que verifica:
+  - Flag `SECURITY_DEV_TOOLS === 'true'`
+  - URL contém `localhost` ou `127.0.0.1`
+  - Deployment local (`anonymous-*`)
+  - `NODE_ENV !== 'production'`
+- Endpoint HTTP `/security/rate-limit/seed-dev` retorna 404 em produção
+- Mutations `criarEventosTeste`, `limparEventosTeste`, `seedRateLimitDev` bloqueadas em produção
+
+### ✅ 3. Enforcement Real de Blacklist e Rate Limit
+
+**Problema identificado:** As políticas eram apenas registradas no banco, sem enforcement real no tráfego.
+
+**Solução implementada:**
+- Criada mutation `enforceRequest` que verifica:
+  1. **Blacklist de IPs:** Consulta `ipReputation` e bloqueia com 403 se `blacklist === true` e ativo
+  2. **Rate limit por endpoint:** Aplica regras configuradas para o path específico
+  3. **Rate limit por IP:** Aplica regras globais ou específicas por IP
+- Integrado no `hooks.server.ts` do SvelteKit para proteger `/api/auth/*`
+- Integrado no handler HTTP `/security/analyze` do Convex
+- Respostas consistentes: 403 (blacklist) ou 429 (rate limit) com header `Retry-After`
+
+**Arquivos modificados:**
+- `packages/backend/convex/security.ts` - função `enforceRequest`
+- `packages/backend/convex/http.ts` - enforcement no `/security/analyze`
+- `apps/web/src/hooks.server.ts` - enforcement no `/api/auth/*`
+
+### ✅ 4. Melhorias de UX/UI
+
+**Problema identificado:**
+- Alerta sonoro falhava por autoplay policy
+- Uso de `confirm()`/`alert()` nativos (inconsistente)
+- Componente muito grande (difícil manter)
+
+**Solução implementada:**
+- **Alerta sonoro:** Agora requer interação do usuário (toggle) para ativar `AudioContext`
+- **Confirmações:** Substituído `confirm()` por modal `<dialog>` nativo com estado reativo
+- **Feedback:** Substituído `alert()` por sistema de feedback já existente (`feedback` state)
+
+**Arquivos modificados:**
+- `apps/web/src/lib/components/ti/CybersecurityWizcard.svelte`
+
+## Funcionalidades Validadas
+
+### ✅ Dashboard Principal
+- ✅ Threat Matrix (gráfico de camadas) - 6h de dados
+- ✅ Feed de eventos em tempo real com filtros (severidade/tipo)
+- ✅ Contador de novos eventos
+- ✅ Lista negra (blacklist) com ações rápidas
+- ✅ Regras de porta (CRUD completo)
+- ✅ Relatórios refinados (solicitar, listar, imprimir PDF, excluir)
+- ✅ Rate limiting avançado (CRUD + ativar/desativar)
+- ✅ Alertas e notificações (configurações múltiplas, email/chat)
+
+### ✅ Backend (Convex)
+- ✅ Queries protegidas (admin-only)
+- ✅ Mutations protegidas (admin-only)
+- ✅ Enforcement de blacklist
+- ✅ Enforcement de rate limit
+- ✅ Detecção automática de ataques (SQLi, XSS, DDoS, etc.)
+- ✅ Sistema de reputação de IPs
+- ✅ Alertas automáticos (email/chat)
+
+## Pontos de Atenção
+
+### ⚠️ Enforcement de Rate Limit
+- O enforcement atual funciona para:
+  - Endpoints HTTP do Convex (`/security/analyze`)
+  - Rotas `/api/auth/*` do SvelteKit
+- **Recomendação:** Para proteção completa, considere:
+  - Proxy reverso (Nginx/Traefik) com rate limiting
+  - WAF (Web Application Firewall) na borda
+  - Cloudflare ou similar para DDoS protection
+
+### ⚠️ Testes Automatizados
+- Script existente: `scripts/teste_seguranca.py`
+- **Recomendação:** Executar periodicamente para validar:
+  - Detecção de ataques (SQLi, XSS, brute force, DDoS)
+  - Bloqueio de IPs na blacklist
+  - Rate limiting funcionando
+
+### ⚠️ Ambiente de Produção
+- Endpoints dev-only estão protegidos, mas verifique:
+  - `NODE_ENV` está configurado corretamente
+  - `CONVEX_DEPLOYMENT` não começa com `anonymous-` em produção
+  - Flag `SECURITY_DEV_TOOLS` não está definida em produção
+
+## Como Testar
+
+### 1. Teste de Autorização
+```bash
+# Como usuário não-admin, tentar acessar /ti/cibersecurity
+# Esperado: redirecionamento para /ti
+```
+
+### 2. Teste de Enforcement
+```bash
+# Bloquear um IP via painel
+# Tentar fazer login com esse IP
+# Esperado: 403 Forbidden
+```
+
+### 3. Teste de Rate Limit
+```bash
+# Configurar rate limit baixo (ex: 5 req/20s) para /api/auth/sign-in/email
+# Fazer 6 tentativas de login rapidamente
+# Esperado: 429 Too Many Requests na 6ª tentativa
+```
+
+### 4. Teste de Detecção de Ataques
+```bash
+python scripts/teste_seguranca.py --teste brute_force
+python scripts/teste_seguranca.py --teste sql_injection
+python scripts/teste_seguranca.py --teste ddos
+```
+
+## Próximos Passos Recomendados
+
+1. **Monitoramento:** Implementar dashboard de métricas em tempo real
+2. **Automação:** Cron job para expirar bloqueios temporários automaticamente
+3. **Integração:** Conectar com WAF/proxy reverso para enforcement na borda
+4. **Testes E2E:** Criar suite de testes automatizados para validação contínua
+5. **Documentação:** Adicionar guia de uso para equipe TI
+
+## Arquivos Modificados
+
+- `packages/backend/convex/security.ts` - Guards de admin, enforcement, dev-only
+- `packages/backend/convex/http.ts` - Enforcement no endpoint HTTP
+- `apps/web/src/hooks.server.ts` - Enforcement no SvelteKit
+- `apps/web/src/routes/(dashboard)/ti/cibersecurity/+page.server.ts` - Guard de rota (novo)
+- `apps/web/src/lib/components/ti/CybersecurityWizcard.svelte` - UX melhorada
+
+---
+
+**Status:** ✅ Implementação completa  
+**Próxima revisão:** Após testes em ambiente de staging/produção
diff --git a/scripts/configurar-jitsi.sh b/scripts/configurar-jitsi.sh
new file mode 100755
index 0000000..0cef320
--- /dev/null
+++ b/scripts/configurar-jitsi.sh
@@ -0,0 +1,526 @@
+#!/bin/bash
+
+# Script de configuração interativa do Jitsi Meet para SGSE
+# Este script facilita a configuração inicial do Jitsi no sistema SGSE
+
+set -e
+
+# Cores para output
+RED='\033[0;31m'
+GREEN='\033[0;32m'
+YELLOW='\033[1;33m'
+BLUE='\033[0;34m'
+NC='\033[0m' # No Color
+
+# Variáveis
+DOMAIN=""
+APP_ID=""
+ROOM_PREFIX=""
+USE_HTTPS=false
+ACCEPT_SELF_SIGNED=false
+JWT_SECRET=""
+JWT_AUDIENCE=""
+JWT_ISSUER=""
+AMBIENTE=""
+TEST_ONLY=false
+VALIDATE_ONLY=false
+NON_INTERACTIVE=false
+
+# Função para imprimir mensagens
+print_info() {
+    echo -e "${BLUE}ℹ️  $1${NC}"
+}
+
+print_success() {
+    echo -e "${GREEN}✅ $1${NC}"
+}
+
+print_warning() {
+    echo -e "${YELLOW}⚠️  $1${NC}"
+}
+
+print_error() {
+    echo -e "${RED}❌ $1${NC}"
+}
+
+# Função para validar formato de domínio
+validar_dominio() {
+    local dominio=$1
+    if [[ -z "$dominio" ]]; then
+        return 1
+    fi
+    
+    # Padrão para localhost:porta
+    if [[ $dominio =~ ^(localhost|127\.0\.0\.1|0\.0\.0\.0)(:[0-9]+)?$ ]]; then
+        return 0
+    fi
+    
+    # Padrão para FQDN
+    if [[ $dominio =~ ^([a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?\.)+[a-zA-Z]{2,}(:[0-9]+)?$ ]]; then
+        return 0
+    fi
+    
+    return 1
+}
+
+# Função para validar App ID
+validar_app_id() {
+    local app_id=$1
+    if [[ -z "$app_id" ]]; then
+        return 1
+    fi
+    
+    if [[ $app_id =~ ^[a-zA-Z0-9_-]+$ ]]; then
+        return 0
+    fi
+    
+    return 1
+}
+
+# Função para validar JWT Secret
+validar_jwt_secret() {
+    local secret=$1
+    if [[ -z "$secret" ]]; then
+        return 0  # Opcional
+    fi
+    
+    if [[ ${#secret} -lt 16 ]]; then
+        return 1
+    fi
+    
+    return 0
+}
+
+# Função para testar conectividade
+testar_conectividade() {
+    local dominio=$1
+    local use_https=$2
+    
+    print_info "Testando conectividade com $dominio..."
+    
+    # Extrair host e porta
+    local host=$(echo $dominio | cut -d: -f1)
+    local porta=$(echo $dominio | cut -d: -f2)
+    
+    if [[ -z "$porta" ]]; then
+        if [[ "$use_https" == "true" ]]; then
+            porta=443
+        else
+            porta=80
+        fi
+    fi
+    
+    local protocol="http"
+    if [[ "$use_https" == "true" ]]; then
+        protocol="https"
+    fi
+    
+    local url="$protocol://$host:$porta/http-bind"
+    
+    # Testar conexão
+    if command -v curl &> /dev/null; then
+        local response=$(curl -s -o /dev/null -w "%{http_code}" --max-time 10 "$url" 2>&1 || echo "000")
+        if [[ "$response" == "200" ]] || [[ "$response" == "405" ]] || [[ "$response" == "000" ]]; then
+            # 405 é esperado (Method Not Allowed para GET em /http-bind)
+            print_success "Servidor acessível em $url"
+            return 0
+        else
+            print_warning "Servidor retornou status $response (pode ser normal para /http-bind)"
+            return 0
+        fi
+    elif command -v wget &> /dev/null; then
+        if wget --spider --timeout=10 "$url" 2>&1 | grep -q "200 OK\|405\|connected"; then
+            print_success "Servidor acessível em $url"
+            return 0
+        else
+            print_warning "Não foi possível verificar conectividade (wget)"
+            return 1
+        fi
+    else
+        print_warning "curl ou wget não encontrado. Pulando teste de conectividade."
+        return 1
+    fi
+}
+
+# Função para validar certificado SSL
+validar_certificado_ssl() {
+    local dominio=$1
+    
+    if [[ ! "$dominio" =~ ^localhost ]]; then
+        print_info "Validando certificado SSL para $dominio..."
+        
+        local host=$(echo $dominio | cut -d: -f1)
+        local porta=$(echo $dominio | cut -d: -f2)
+        
+        if [[ -z "$porta" ]]; then
+            porta=443
+        fi
+        
+        if command -v openssl &> /dev/null; then
+            local cert_info=$(echo | openssl s_client -connect "$host:$porta" -servername "$host" 2>&1 | grep -A 2 "Certificate chain\|Verify return code")
+            if echo "$cert_info" | grep -q "Verify return code: 0"; then
+                print_success "Certificado SSL válido"
+                return 0
+            else
+                print_warning "Certificado SSL não válido ou autoassinado"
+                return 1
+            fi
+        else
+            print_warning "openssl não encontrado. Pulando validação de certificado."
+            return 1
+        fi
+    fi
+    
+    return 0
+}
+
+# Função para gerar JWT Secret
+gerar_jwt_secret() {
+    if command -v openssl &> /dev/null; then
+        openssl rand -hex 32
+    elif [[ -r /dev/urandom ]]; then
+        head -c 32 /dev/urandom | base64 | tr -d '\n' | head -c 64
+    else
+        print_error "Não foi possível gerar JWT Secret. Instale openssl ou forneça manualmente."
+        exit 1
+    fi
+}
+
+# Função para ler entrada do usuário
+ler_entrada() {
+    local prompt=$1
+    local default=$2
+    local var_name=$3
+    
+    if [[ "$NON_INTERACTIVE" == "true" ]]; then
+        if [[ -n "$default" ]]; then
+            eval "$var_name='$default'"
+            return
+        else
+            print_error "Modo não-interativo requer valor para: $prompt"
+            exit 1
+        fi
+    fi
+    
+    local input
+    if [[ -n "$default" ]]; then
+        read -p "$(echo -e ${BLUE}$prompt${NC} [padrão: $default]): " input
+        eval "$var_name=\${input:-$default}"
+    else
+        read -p "$(echo -e ${BLUE}$prompt${NC}): " input
+        eval "$var_name='$input'"
+    fi
+}
+
+# Função para exibir ajuda
+mostrar_ajuda() {
+    cat << EOF
+Uso: $0 [OPÇÕES]
+
+Script de configuração interativa do Jitsi Meet para SGSE.
+
+OPÇÕES:
+    --ambiente NOME          Especificar ambiente (desenvolvimento, staging, producao)
+    --domain DOMINIO          Configurar domínio do servidor Jitsi
+    --app-id ID               Configurar App ID
+    --jwt-secret SECRET       Configurar JWT Secret (ou gerar automaticamente se não fornecido)
+    --room-prefix PREFIXO     Configurar prefixo de sala
+    --use-https               Usar HTTPS
+    --accept-self-signed      Aceitar certificados autoassinados
+    --test-only               Apenas testar configuração existente
+    --validate-only           Apenas validar sem salvar
+    --non-interactive         Modo não-interativo (para CI/CD)
+    --help                    Mostrar esta ajuda
+
+EXEMPLOS:
+    # Modo interativo
+    $0
+
+    # Modo não-interativo
+    $0 --domain meet.example.com --app-id sgse-app --use-https
+
+    # Apenas validar
+    $0 --validate-only --domain meet.example.com
+
+    # Apenas testar
+    $0 --test-only
+EOF
+}
+
+# Processar argumentos da linha de comando
+while [[ $# -gt 0 ]]; do
+    case $1 in
+        --ambiente)
+            AMBIENTE="$2"
+            shift 2
+            ;;
+        --domain|--domínio)
+            DOMAIN="$2"
+            shift 2
+            ;;
+        --app-id)
+            APP_ID="$2"
+            shift 2
+            ;;
+        --jwt-secret)
+            JWT_SECRET="$2"
+            shift 2
+            ;;
+        --room-prefix)
+            ROOM_PREFIX="$2"
+            shift 2
+            ;;
+        --use-https)
+            USE_HTTPS=true
+            shift
+            ;;
+        --accept-self-signed)
+            ACCEPT_SELF_SIGNED=true
+            shift
+            ;;
+        --test-only)
+            TEST_ONLY=true
+            shift
+            ;;
+        --validate-only)
+            VALIDATE_ONLY=true
+            shift
+            ;;
+        --non-interactive)
+            NON_INTERACTIVE=true
+            shift
+            ;;
+        --help|-h)
+            mostrar_ajuda
+            exit 0
+            ;;
+        *)
+            print_error "Opção desconhecida: $1"
+            mostrar_ajuda
+            exit 1
+            ;;
+    esac
+done
+
+# Banner
+echo -e "${BLUE}"
+cat << "EOF"
+╔═══════════════════════════════════════════════════════════╗
+║     Configuração do Jitsi Meet para SGSE                  ║
+╚═══════════════════════════════════════════════════════════╝
+EOF
+echo -e "${NC}"
+
+# Modo apenas teste
+if [[ "$TEST_ONLY" == "true" ]]; then
+    print_info "Modo de teste apenas. Validando configuração existente..."
+    # Aqui você pode adicionar lógica para testar configuração existente
+    # Por exemplo, buscar do banco de dados ou arquivo de configuração
+    exit 0
+fi
+
+# Coletar informações
+if [[ "$NON_INTERACTIVE" != "true" ]]; then
+    print_info "Coletando informações de configuração..."
+    echo
+fi
+
+# Ambiente
+if [[ -z "$AMBIENTE" ]]; then
+    ler_entrada "Ambiente (desenvolvimento, staging, producao)" "" AMBIENTE
+fi
+
+# Domínio
+while [[ -z "$DOMAIN" ]] || ! validar_dominio "$DOMAIN"; do
+    if [[ -z "$DOMAIN" ]]; then
+        ler_entrada "Domínio do servidor Jitsi (ex: localhost:8443 ou meet.example.com)" "" DOMAIN
+    else
+        print_error "Domínio inválido: $DOMAIN"
+        DOMAIN=""
+        ler_entrada "Domínio do servidor Jitsi" "" DOMAIN
+    fi
+done
+
+# Detectar HTTPS automaticamente
+if [[ "$DOMAIN" =~ :8443$ ]] || [[ "$DOMAIN" =~ ^[^:]+$ ]] && [[ ! "$DOMAIN" =~ ^localhost ]]; then
+    if [[ "$USE_HTTPS" != "true" ]] && [[ "$NON_INTERACTIVE" != "true" ]]; then
+        read -p "$(echo -e ${BLUE}Usar HTTPS? (S/n)${NC}): " resposta
+        if [[ "$resposta" =~ ^[Ss]$ ]] || [[ -z "$resposta" ]]; then
+            USE_HTTPS=true
+        fi
+    elif [[ -z "$USE_HTTPS" ]]; then
+        USE_HTTPS=true
+    fi
+fi
+
+# Aceitar certificados autoassinados
+if [[ "$USE_HTTPS" == "true" ]] && [[ "$DOMAIN" =~ localhost ]]; then
+    if [[ "$ACCEPT_SELF_SIGNED" != "true" ]] && [[ "$NON_INTERACTIVE" != "true" ]]; then
+        read -p "$(echo -e ${BLUE}Aceitar certificados autoassinados? (S/n)${NC}): " resposta
+        if [[ "$resposta" =~ ^[Ss]$ ]] || [[ -z "$resposta" ]]; then
+            ACCEPT_SELF_SIGNED=true
+        fi
+    fi
+fi
+
+# App ID
+while [[ -z "$APP_ID" ]] || ! validar_app_id "$APP_ID"; do
+    if [[ -z "$APP_ID" ]]; then
+        ler_entrada "App ID" "sgse-app" APP_ID
+    else
+        print_error "App ID inválido: $APP_ID (deve conter apenas letras, números, hífens e underscores)"
+        APP_ID=""
+        ler_entrada "App ID" "sgse-app" APP_ID
+    fi
+done
+
+# Room Prefix
+if [[ -z "$ROOM_PREFIX" ]]; then
+    ler_entrada "Prefixo de sala" "sgse" ROOM_PREFIX
+fi
+
+# JWT Secret
+if [[ -z "$JWT_SECRET" ]]; then
+    if [[ "$NON_INTERACTIVE" != "true" ]]; then
+        read -p "$(echo -e ${BLUE}Gerar JWT Secret automaticamente? (S/n)${NC}): " resposta
+        if [[ "$resposta" =~ ^[Ss]$ ]] || [[ -z "$resposta" ]]; then
+            JWT_SECRET=$(gerar_jwt_secret)
+            print_success "JWT Secret gerado: ${JWT_SECRET:0:16}..."
+        else
+            ler_entrada "JWT Secret (deixe vazio para desabilitar JWT)" "" JWT_SECRET
+        fi
+    else
+        JWT_SECRET=$(gerar_jwt_secret)
+    fi
+fi
+
+# Validar JWT Secret se fornecido
+if [[ -n "$JWT_SECRET" ]] && ! validar_jwt_secret "$JWT_SECRET"; then
+    print_error "JWT Secret deve ter no mínimo 16 caracteres"
+    exit 1
+fi
+
+# JWT Audience (opcional)
+if [[ -z "$JWT_AUDIENCE" ]] && [[ "$NON_INTERACTIVE" != "true" ]]; then
+    ler_entrada "JWT Audience (opcional, padrão: domínio)" "$DOMAIN" JWT_AUDIENCE
+fi
+
+# JWT Issuer (opcional)
+if [[ -z "$JWT_ISSUER" ]] && [[ "$NON_INTERACTIVE" != "true" ]]; then
+    ler_entrada "JWT Issuer (opcional, padrão: App ID)" "$APP_ID" JWT_ISSUER
+fi
+
+# Validações
+print_info "Validando configuração..."
+
+# Validar domínio
+if ! validar_dominio "$DOMAIN"; then
+    print_error "Domínio inválido: $DOMAIN"
+    exit 1
+fi
+
+# Validar App ID
+if ! validar_app_id "$APP_ID"; then
+    print_error "App ID inválido: $APP_ID"
+    exit 1
+fi
+
+# Validar JWT Secret
+if [[ -n "$JWT_SECRET" ]] && ! validar_jwt_secret "$JWT_SECRET"; then
+    print_error "JWT Secret inválido (mínimo 16 caracteres)"
+    exit 1
+fi
+
+print_success "Validações básicas passaram"
+
+# Testes de conectividade
+if [[ "$VALIDATE_ONLY" != "true" ]]; then
+    print_info "Testando conectividade..."
+    if testar_conectividade "$DOMAIN" "$USE_HTTPS"; then
+        print_success "Conectividade OK"
+    else
+        print_warning "Não foi possível testar conectividade (servidor pode estar offline)"
+    fi
+    
+    # Validar certificado SSL se HTTPS
+    if [[ "$USE_HTTPS" == "true" ]]; then
+        validar_certificado_ssl "$DOMAIN"
+    fi
+fi
+
+# Resumo
+echo
+print_info "Resumo da configuração:"
+echo "━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━"
+echo "  Ambiente:          ${AMBIENTE:-padrão}"
+echo "  Domínio:           $DOMAIN"
+echo "  App ID:            $APP_ID"
+echo "  Prefixo de Sala:   $ROOM_PREFIX"
+echo "  HTTPS:             $USE_HTTPS"
+echo "  Cert. Autoassinado: $ACCEPT_SELF_SIGNED"
+if [[ -n "$JWT_SECRET" ]]; then
+    echo "  JWT Secret:        ${JWT_SECRET:0:16}... (${#JWT_SECRET} caracteres)"
+else
+    echo "  JWT Secret:        (não configurado)"
+fi
+if [[ -n "$JWT_AUDIENCE" ]]; then
+    echo "  JWT Audience:      $JWT_AUDIENCE"
+fi
+if [[ -n "$JWT_ISSUER" ]]; then
+    echo "  JWT Issuer:        $JWT_ISSUER"
+fi
+echo "━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━"
+
+# Se apenas validar, sair aqui
+if [[ "$VALIDATE_ONLY" == "true" ]]; then
+    print_success "Validação concluída"
+    exit 0
+fi
+
+# Confirmar antes de salvar
+if [[ "$NON_INTERACTIVE" != "true" ]]; then
+    echo
+    read -p "$(echo -e ${BLUE}Salvar esta configuração? (S/n)${NC}): " confirmar
+    if [[ ! "$confirmar" =~ ^[Ss]$ ]] && [[ -n "$confirmar" ]]; then
+        print_info "Configuração cancelada pelo usuário"
+        exit 0
+    fi
+fi
+
+# Gerar JSON de configuração
+CONFIG_JSON=$(cat <<EOF
+{
+  "domain": "$DOMAIN",
+  "appId": "$APP_ID",
+  "roomPrefix": "$ROOM_PREFIX",
+  "useHttps": $USE_HTTPS,
+  "acceptSelfSignedCert": $ACCEPT_SELF_SIGNED,
+  "ambiente": "${AMBIENTE:-}",
+  "jwtSecret": "${JWT_SECRET:-}",
+  "jwtAudience": "${JWT_AUDIENCE:-}",
+  "jwtIssuer": "${JWT_ISSUER:-}"
+}
+EOF
+)
+
+# Salvar em arquivo
+CONFIG_FILE="jitsi-config-$(date +%Y%m%d-%H%M%S).json"
+echo "$CONFIG_JSON" > "$CONFIG_FILE"
+print_success "Configuração salva em: $CONFIG_FILE"
+
+# Instruções finais
+echo
+print_info "Próximos passos:"
+echo "1. Revise o arquivo de configuração: $CONFIG_FILE"
+echo "2. Acesse o painel SGSE: TI > Configurações do Jitsi"
+echo "3. Preencha os campos com os valores acima"
+echo "4. Teste a conexão usando o botão 'Testar Conexão'"
+echo "5. Salve a configuração no painel"
+
+if [[ -n "$JWT_SECRET" ]]; then
+    echo
+    print_warning "IMPORTANTE: Guarde o JWT Secret em local seguro!"
+    print_warning "O JWT Secret não será exibido novamente."
+fi
+
+print_success "Configuração concluída!"
diff --git a/scripts/teste_seguranca.py b/scripts/teste_seguranca.py
index 56914ff..0fc9ca4 100755
--- a/scripts/teste_seguranca.py
+++ b/scripts/teste_seguranca.py
@@ -5,6 +5,8 @@ Simula diferentes tipos de ataques para validar o sistema de segurança
 
 Autor: Sistema de Testes Automatizados
 Data: 2024
+Atualizado: 2026 - Suporte a bloqueio automático configurável
+Nota: 'engenharia_social' foi removido do sistema conforme atualização de segurança
 """
 
 import requests
@@ -45,14 +47,14 @@ class SegurancaTeste:
             'Content-Type': 'application/json'
         })
         self.resultados = {
-            'brute_force': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'sql_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'xss': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'ddos': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'path_traversal': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'command_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'no_sql_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False},
-            'xxe': {'sucesso': 0, 'falhas': 0, 'detectado': False},
+            'brute_force': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'sql_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'xss': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'ddos': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'path_traversal': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'command_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'nosql_injection': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
+            'xxe': {'sucesso': 0, 'falhas': 0, 'detectado': False, 'bloqueado_automatico': False},
         }
     
     def log(self, tipo: str, mensagem: str, cor: str = Colors.OKCYAN):
@@ -60,6 +62,25 @@ class SegurancaTeste:
         timestamp = datetime.now().strftime("%H:%M:%S")
         print(f"{cor}[{timestamp}] [{tipo}] {mensagem}{Colors.ENDC}")
     
+    def verificar_bloqueio_automatico(self, response: requests.Response) -> bool:
+        """
+        Verifica se a resposta indica bloqueio automático
+        Retorna True se bloqueio automático foi aplicado
+        """
+        if response.status_code == 403:
+            try:
+                resp_json = response.json()
+                # Verificar flags de bloqueio automático
+                if (resp_json.get('bloqueado') or 
+                    resp_json.get('reason') == 'ataque_detectado' or
+                    resp_json.get('bloqueadoAutomatico')):
+                    return True
+            except (json.JSONDecodeError, ValueError):
+                # Se não for JSON, verificar no texto
+                if 'bloqueado automaticamente' in response.text.lower() or 'ataque_detectado' in response.text.lower():
+                    return True
+        return False
+    
     def testar_brute_force(self, email: str = "test@example.com", 
                           tentativas: int = 10) -> bool:
         """
@@ -104,9 +125,16 @@ class SegurancaTeste:
                     break
                 
                 if response.status_code == 403:  # Forbidden
-                    self.log("BRUTE_FORCE", 
-                            f"✅ DETECTADO! Acesso negado após {i} tentativas (403)", 
-                            Colors.OKGREEN)
+                    bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                    if bloqueio_auto:
+                        self.log("BRUTE_FORCE", 
+                                f"✅ BLOQUEIO AUTOMÁTICO! Ataque detectado e bloqueado após {i} tentativas (403)", 
+                                Colors.OKGREEN)
+                        self.resultados['brute_force']['bloqueado_automatico'] = True
+                    else:
+                        self.log("BRUTE_FORCE", 
+                                f"✅ DETECTADO! Acesso negado após {i} tentativas (403)", 
+                                Colors.OKGREEN)
                     bloqueado = True
                     self.resultados['brute_force']['detectado'] = True
                     break
@@ -148,10 +176,19 @@ class SegurancaTeste:
                 if r2.status_code == 200:
                     jd = r2.json()
                     if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "brute_force":
-                        self.log("BRUTE_FORCE", "✅ DETECTADO (analisador) mesmo sem 429/403", Colors.OKGREEN)
+                        if jd.get("bloqueadoAutomatico"):
+                            self.log("BRUTE_FORCE", "✅ BLOQUEIO AUTOMÁTICO (analisador) mesmo sem 429/403", Colors.OKGREEN)
+                            self.resultados['brute_force']['bloqueado_automatico'] = True
+                        else:
+                            self.log("BRUTE_FORCE", "✅ DETECTADO (analisador) mesmo sem 429/403", Colors.OKGREEN)
                         self.resultados['brute_force']['detectado'] = True
                     else:
                         self.log("BRUTE_FORCE", f"⚠️  AVISO: Nenhum bloqueio detectado após {tentativas} tentativas", Colors.WARNING)
+                elif r2.status_code == 403:
+                    if self.verificar_bloqueio_automatico(r2):
+                        self.log("BRUTE_FORCE", "✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)", Colors.OKGREEN)
+                        self.resultados['brute_force']['bloqueado_automatico'] = True
+                        self.resultados['brute_force']['detectado'] = True
                 else:
                     self.log("BRUTE_FORCE", f"⚠️  AVISO: analisador retornou {r2.status_code}", Colors.WARNING)
             except Exception as e:
@@ -162,6 +199,7 @@ class SegurancaTeste:
     def testar_sql_injection(self) -> bool:
         """
         Testa ataques de SQL Injection em campos de entrada
+        Agora verifica bloqueio automático configurável
         """
         self.log("SQL_INJECTION", "Iniciando testes de SQL Injection...")
         
@@ -208,11 +246,18 @@ class SegurancaTeste:
                         detectado = True
                         self.resultados['sql_injection']['detectado'] = True
                 
-                # Verificar se há WAF bloqueando
+                # Verificar se há bloqueio automático ou WAF bloqueando
                 if response.status_code == 403:
-                    self.log("SQL_INJECTION", 
-                            f"✅ BLOQUEADO pelo WAF! Payload: {payload[:30]}...", 
-                            Colors.OKGREEN)
+                    bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                    if bloqueio_auto:
+                        self.log("SQL_INJECTION", 
+                                f"✅ BLOQUEIO AUTOMÁTICO! Payload: {payload[:30]}...", 
+                                Colors.OKGREEN)
+                        self.resultados['sql_injection']['bloqueado_automatico'] = True
+                    else:
+                        self.log("SQL_INJECTION", 
+                                f"✅ BLOQUEADO pelo WAF! Payload: {payload[:30]}...", 
+                                Colors.OKGREEN)
                     detectado = True
                     self.resultados['sql_injection']['detectado'] = True
                 
@@ -227,7 +272,17 @@ class SegurancaTeste:
                     if r2.status_code == 200:
                         jd = r2.json()
                         if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "sql_injection":
-                            self.log("SQL_INJECTION", f"✅ DETECTADO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("SQL_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                                self.resultados['sql_injection']['bloqueado_automatico'] = True
+                            else:
+                                self.log("SQL_INJECTION", f"✅ DETECTADO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['sql_injection']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("SQL_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            self.resultados['sql_injection']['bloqueado_automatico'] = True
                             detectado = True
                             self.resultados['sql_injection']['detectado'] = True
                 except Exception:
@@ -246,6 +301,7 @@ class SegurancaTeste:
     def testar_xss(self) -> bool:
         """
         Testa ataques de Cross-Site Scripting (XSS)
+        Agora verifica bloqueio automático configurável
         """
         self.log("XSS", "Iniciando testes de XSS...")
         
@@ -293,9 +349,16 @@ class SegurancaTeste:
                         self.resultados['xss']['detectado'] = True
                 
                 if response.status_code == 403:
-                    self.log("XSS", 
-                            f"✅ BLOQUEADO! Payload: {payload[:30]}...", 
-                            Colors.OKGREEN)
+                    bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                    if bloqueio_auto:
+                        self.log("XSS", 
+                                f"✅ BLOQUEIO AUTOMÁTICO! Payload: {payload[:30]}...", 
+                                Colors.OKGREEN)
+                        self.resultados['xss']['bloqueado_automatico'] = True
+                    else:
+                        self.log("XSS", 
+                                f"✅ BLOQUEADO! Payload: {payload[:30]}...", 
+                                Colors.OKGREEN)
                     detectado = True
                     self.resultados['xss']['detectado'] = True
                 
@@ -306,7 +369,17 @@ class SegurancaTeste:
                     if r2.status_code == 200:
                         jd = r2.json()
                         if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "xss":
-                            self.log("XSS", f"✅ DETECTADO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("XSS", f"✅ BLOQUEIO AUTOMÁTICO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                                self.resultados['xss']['bloqueado_automatico'] = True
+                            else:
+                                self.log("XSS", f"✅ DETECTADO (analisador)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['xss']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("XSS", f"✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)! Payload: {payload[:30]}...", Colors.OKGREEN)
+                            self.resultados['xss']['bloqueado_automatico'] = True
                             detectado = True
                             self.resultados['xss']['detectado'] = True
                 except Exception:
@@ -335,9 +408,10 @@ class SegurancaTeste:
         inicio = time.time()
         total_requisicoes = 0
         bloqueios = 0
+        bloqueios_automaticos = 0
         
         def fazer_requisicao():
-            nonlocal total_requisicoes, bloqueios
+            nonlocal total_requisicoes, bloqueios, bloqueios_automaticos
             try:
                 payload = {
                     "email": f"ddos_test_{random.randint(1000, 9999)}@example.com",
@@ -357,6 +431,12 @@ class SegurancaTeste:
                     bloqueios += 1
                     return True
                 
+                if response.status_code == 403:
+                    if self.verificar_bloqueio_automatico(response):
+                        bloqueios_automaticos += 1
+                    bloqueios += 1
+                    return True
+                
                 if response.status_code == 503:  # Service Unavailable
                     bloqueios += 1
                     return True
@@ -373,6 +453,8 @@ class SegurancaTeste:
                 if r.status_code == 200:
                     jd = r.json()
                     return jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "ddos"
+                elif r.status_code == 403:
+                    return self.verificar_bloqueio_automatico(r)
             except Exception:
                 return False
             return False
@@ -403,10 +485,14 @@ class SegurancaTeste:
         
         taxa_bloqueio = (bloqueios / total_requisicoes * 100) if total_requisicoes > 0 else 0
         
+        if bloqueios_automaticos > 0:
+            self.resultados['ddos']['bloqueado_automatico'] = True
+        
         if detectado or taxa_bloqueio > 50:
-            self.log("DDoS", 
-                    f"✅ DETECTADO! {bloqueios}/{total_requisicoes} requisições bloqueadas ({taxa_bloqueio:.1f}%)", 
-                    Colors.OKGREEN)
+            msg = f"✅ DETECTADO! {bloqueios}/{total_requisicoes} requisições bloqueadas ({taxa_bloqueio:.1f}%)"
+            if bloqueios_automaticos > 0:
+                msg += f" | {bloqueios_automaticos} bloqueios automáticos"
+            self.log("DDoS", msg, Colors.OKGREEN)
             self.resultados['ddos']['detectado'] = True
         else:
             self.log("DDoS", 
@@ -418,6 +504,7 @@ class SegurancaTeste:
     def testar_path_traversal(self) -> bool:
         """
         Testa ataques de Path Traversal
+        Agora verifica bloqueio automático configurável
         """
         self.log("PATH_TRAVERSAL", "Iniciando testes de Path Traversal...")
         
@@ -448,9 +535,16 @@ class SegurancaTeste:
                 )
                 
                 if response.status_code == 403:
-                    self.log("PATH_TRAVERSAL", 
-                            f"✅ BLOQUEADO! Payload: {payload}", 
-                            Colors.OKGREEN)
+                    bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                    if bloqueio_auto:
+                        self.log("PATH_TRAVERSAL", 
+                                f"✅ BLOQUEIO AUTOMÁTICO! Payload: {payload}", 
+                                Colors.OKGREEN)
+                        self.resultados['path_traversal']['bloqueado_automatico'] = True
+                    else:
+                        self.log("PATH_TRAVERSAL", 
+                                f"✅ BLOQUEADO! Payload: {payload}", 
+                                Colors.OKGREEN)
                     detectado = True
                     self.resultados['path_traversal']['detectado'] = True
                 
@@ -461,7 +555,17 @@ class SegurancaTeste:
                     if r2.status_code == 200:
                         jd = r2.json()
                         if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "path_traversal":
-                            self.log("PATH_TRAVERSAL", f"✅ DETECTADO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("PATH_TRAVERSAL", f"✅ BLOQUEIO AUTOMÁTICO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                                self.resultados['path_traversal']['bloqueado_automatico'] = True
+                            else:
+                                self.log("PATH_TRAVERSAL", f"✅ DETECTADO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['path_traversal']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("PATH_TRAVERSAL", f"✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)! Payload: {payload}", Colors.OKGREEN)
+                            self.resultados['path_traversal']['bloqueado_automatico'] = True
                             detectado = True
                             self.resultados['path_traversal']['detectado'] = True
                 except Exception:
@@ -475,6 +579,7 @@ class SegurancaTeste:
     def testar_command_injection(self) -> bool:
         """
         Testa ataques de Command Injection
+        Agora verifica bloqueio automático configurável
         """
         self.log("COMMAND_INJECTION", "Iniciando testes de Command Injection...")
         
@@ -511,9 +616,16 @@ class SegurancaTeste:
                 )
                 
                 if response.status_code == 403:
-                    self.log("COMMAND_INJECTION", 
-                            f"✅ BLOQUEADO! Payload: {payload}", 
-                            Colors.OKGREEN)
+                    bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                    if bloqueio_auto:
+                        self.log("COMMAND_INJECTION", 
+                                f"✅ BLOQUEIO AUTOMÁTICO! Payload: {payload}", 
+                                Colors.OKGREEN)
+                        self.resultados['command_injection']['bloqueado_automatico'] = True
+                    else:
+                        self.log("COMMAND_INJECTION", 
+                                f"✅ BLOQUEADO! Payload: {payload}", 
+                                Colors.OKGREEN)
                     detectado = True
                     self.resultados['command_injection']['detectado'] = True
                 
@@ -524,7 +636,17 @@ class SegurancaTeste:
                     if r2.status_code == 200:
                         jd = r2.json()
                         if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "command_injection":
-                            self.log("COMMAND_INJECTION", f"✅ DETECTADO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("COMMAND_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                                self.resultados['command_injection']['bloqueado_automatico'] = True
+                            else:
+                                self.log("COMMAND_INJECTION", f"✅ DETECTADO (analisador)! Payload: {payload}", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['command_injection']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("COMMAND_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)! Payload: {payload}", Colors.OKGREEN)
+                            self.resultados['command_injection']['bloqueado_automatico'] = True
                             detectado = True
                             self.resultados['command_injection']['detectado'] = True
                 except Exception:
@@ -538,6 +660,7 @@ class SegurancaTeste:
     def testar_no_sql_injection(self) -> bool:
         """
         Testa ataques de NoSQL Injection (para sistemas que usam MongoDB, etc)
+        Agora verifica bloqueio automático configurável
         """
         self.log("NOSQL_INJECTION", "Iniciando testes de NoSQL Injection...")
         
@@ -552,27 +675,63 @@ class SegurancaTeste:
         ]
         
         endpoint = f"{self.base_url}/api/auth/sign-in/email"
+        endpoint_analyze = urljoin(self.convex_url if self.convex_url.endswith('/') else self.convex_url + '/', "http/security/analyze?dst=127.0.0.1&proto=http")
         detectado = False
         
         for payload in payloads_nosql:
             try:
+                ip_origem = f"203.0.113.{random.randint(10, 250)}"
                 # Tentar enviar como JSON malicioso
                 response = self.session.post(
                     endpoint,
                     json={"email": payload, "password": {"$ne": None}},
-                    headers={"X-Forwarded-For": f"203.0.113.{random.randint(10, 250)}"},
+                    headers={"X-Forwarded-For": ip_origem},
                     timeout=5,
                     allow_redirects=False
                 )
                 
                 if response.status_code in [400, 403, 422]:
-                    self.log("NOSQL_INJECTION", 
-                            f"✅ DETECTADO/BLOQUEADO! Payload: {str(payload)[:50]}...", 
-                            Colors.OKGREEN)
+                    if response.status_code == 403:
+                        bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                        if bloqueio_auto:
+                            self.log("NOSQL_INJECTION", 
+                                    f"✅ BLOQUEIO AUTOMÁTICO! Payload: {str(payload)[:50]}...", 
+                                    Colors.OKGREEN)
+                            self.resultados['nosql_injection']['bloqueado_automatico'] = True
+                        else:
+                            self.log("NOSQL_INJECTION", 
+                                    f"✅ DETECTADO/BLOQUEADO! Payload: {str(payload)[:50]}...", 
+                                    Colors.OKGREEN)
+                    else:
+                        self.log("NOSQL_INJECTION", 
+                                f"✅ DETECTADO/BLOQUEADO! Payload: {str(payload)[:50]}...", 
+                                Colors.OKGREEN)
                     detectado = True
-                    self.resultados['no_sql_injection']['detectado'] = True
+                    self.resultados['nosql_injection']['detectado'] = True
                 
                 time.sleep(0.3)
+                # Registrar via analisador HTTP
+                try:
+                    payload_str = json.dumps(payload)
+                    r2 = self.session.post(endpoint_analyze, data=payload_str, headers={"Content-Type":"application/json","X-Forwarded-For": ip_origem})
+                    if r2.status_code == 200:
+                        jd = r2.json()
+                        if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "nosql_injection":
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("NOSQL_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador)! Payload: {str(payload)[:50]}...", Colors.OKGREEN)
+                                self.resultados['nosql_injection']['bloqueado_automatico'] = True
+                            else:
+                                self.log("NOSQL_INJECTION", f"✅ DETECTADO (analisador)! Payload: {str(payload)[:50]}...", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['nosql_injection']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("NOSQL_INJECTION", f"✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)! Payload: {str(payload)[:50]}...", Colors.OKGREEN)
+                            self.resultados['nosql_injection']['bloqueado_automatico'] = True
+                            detectado = True
+                            self.resultados['nosql_injection']['detectado'] = True
+                except Exception:
+                    pass
                 
             except requests.exceptions.RequestException as e:
                 self.log("NOSQL_INJECTION", f"Erro: {str(e)}", Colors.WARNING)
@@ -582,6 +741,7 @@ class SegurancaTeste:
     def testar_xxe(self) -> bool:
         """
         Testa ataques de XXE (XML External Entity)
+        Agora verifica bloqueio automático configurável
         """
         self.log("XXE", "Iniciando testes de XXE...")
         
@@ -608,9 +768,21 @@ class SegurancaTeste:
                 )
                 
                 if response.status_code in [400, 403, 415]:
-                    self.log("XXE", 
-                            f"✅ BLOQUEADO! Tipo de conteúdo XML rejeitado", 
-                            Colors.OKGREEN)
+                    if response.status_code == 403:
+                        bloqueio_auto = self.verificar_bloqueio_automatico(response)
+                        if bloqueio_auto:
+                            self.log("XXE", 
+                                    f"✅ BLOQUEIO AUTOMÁTICO! Tipo de conteúdo XML bloqueado", 
+                                    Colors.OKGREEN)
+                            self.resultados['xxe']['bloqueado_automatico'] = True
+                        else:
+                            self.log("XXE", 
+                                    f"✅ BLOQUEADO! Tipo de conteúdo XML rejeitado", 
+                                    Colors.OKGREEN)
+                    else:
+                        self.log("XXE", 
+                                f"✅ BLOQUEADO! Tipo de conteúdo XML rejeitado", 
+                                Colors.OKGREEN)
                     detectado = True
                     self.resultados['xxe']['detectado'] = True
                 
@@ -622,7 +794,17 @@ class SegurancaTeste:
                     if r2.status_code == 200:
                         jd = r2.json()
                         if jd.get("ataqueDetectado") and jd.get("tipoAtaque") == "xxe":
-                            self.log("XXE", "✅ DETECTADO (analisador)!", Colors.OKGREEN)
+                            if jd.get("bloqueadoAutomatico"):
+                                self.log("XXE", "✅ BLOQUEIO AUTOMÁTICO (analisador)!", Colors.OKGREEN)
+                                self.resultados['xxe']['bloqueado_automatico'] = True
+                            else:
+                                self.log("XXE", "✅ DETECTADO (analisador)!", Colors.OKGREEN)
+                            detectado = True
+                            self.resultados['xxe']['detectado'] = True
+                    elif r2.status_code == 403:
+                        if self.verificar_bloqueio_automatico(r2):
+                            self.log("XXE", "✅ BLOQUEIO AUTOMÁTICO (analisador retornou 403)!", Colors.OKGREEN)
+                            self.resultados['xxe']['bloqueado_automatico'] = True
                             detectado = True
                             self.resultados['xxe']['detectado'] = True
                 except Exception:
@@ -662,13 +844,18 @@ class SegurancaTeste:
         
         total_testes = len(self.resultados)
         total_detectados = sum(1 for r in self.resultados.values() if r['detectado'])
+        total_bloqueios_automaticos = sum(1 for r in self.resultados.values() if r.get('bloqueado_automatico', False))
         
         for tipo, resultado in self.resultados.items():
             status = "✅ DETECTADO" if resultado['detectado'] else "❌ NÃO DETECTADO"
             cor = Colors.OKGREEN if resultado['detectado'] else Colors.FAIL
             
+            bloqueio_auto = ""
+            if resultado.get('bloqueado_automatico'):
+                bloqueio_auto = f" {Colors.BOLD}🔒 BLOQUEIO AUTOMÁTICO ATIVO{Colors.ENDC}"
+            
             print(f"{cor}[{tipo.upper().replace('_', ' ')}]{Colors.ENDC}")
-            print(f"  Status: {cor}{status}{Colors.ENDC}")
+            print(f"  Status: {cor}{status}{Colors.ENDC}{bloqueio_auto}")
             print(f"  Sucessos: {resultado['sucesso']}")
             print(f"  Falhas: {resultado['falhas']}")
             print()
@@ -677,6 +864,8 @@ class SegurancaTeste:
         print(f"Total de Testes: {total_testes}")
         print(f"{Colors.OKGREEN if total_detectados == total_testes else Colors.WARNING}")
         print(f"Ataques Detectados: {total_detectados}/{total_testes}")
+        if total_bloqueios_automaticos > 0:
+            print(f"{Colors.BOLD}🔒 Bloqueios Automáticos: {total_bloqueios_automaticos}/{total_testes}{Colors.ENDC}")
         print(f"{Colors.ENDC}")
         
         # Recomendações
@@ -686,18 +875,29 @@ class SegurancaTeste:
             for tipo in tipos_nao_detectados:
                 print(f"  • Revisar proteção contra {tipo.replace('_', ' ')}")
         
-        print(f"\n{Colors.BOLD}{'='*70}{Colors.ENDC}\n")
+        if total_bloqueios_automaticos < total_detectados:
+            tipos_sem_auto = [tipo for tipo, r in self.resultados.items() 
+                             if r['detectado'] and not r.get('bloqueado_automatico', False)]
+            if tipos_sem_auto:
+                print(f"\n{Colors.WARNING}{Colors.BOLD}SUGESTÃO:{Colors.ENDC}")
+                print(f"  • Considerar configurar bloqueio automático para: {', '.join(tipos_sem_auto)}")
+        
+        print(f"\n{Colors.BOLD}{'='*70}{Colors.ENDC}")
+        print(f"{Colors.OKCYAN}Nota: 'engenharia_social' foi removido do sistema conforme atualização de segurança.{Colors.ENDC}")
+        print(f"{Colors.BOLD}{'='*70}{Colors.ENDC}\n")
     
     def executar_todos_testes(self):
         """Executa todos os testes de segurança"""
         print(f"\n{Colors.BOLD}{Colors.HEADER}")
         print("╔" + "═" * 68 + "╗")
         print("║" + " " * 10 + "TESTES DE SEGURANÇA - SGSE" + " " * 30 + "║")
+        print("║" + " " * 5 + "Atualizado: Suporte a Bloqueio Automático" + " " * 20 + "║")
         print("╚" + "═" * 68 + "╝")
         print(f"{Colors.ENDC}\n")
         
         self.log("INICIO", f"URL Base: {self.base_url}")
-        self.log("INICIO", f"URL Convex: {self.convex_url}\n")
+        self.log("INICIO", f"URL Convex: {self.convex_url}")
+        self.log("INICIO", "Verificando bloqueio automático configurável...\n")
         
         # Executar testes sequenciais
         testes = [
@@ -728,7 +928,7 @@ def main():
     import argparse
     
     parser = argparse.ArgumentParser(
-        description='Teste de Segurança para SGSE',
+        description='Teste de Segurança para SGSE - Suporta bloqueio automático configurável',
         formatter_class=argparse.RawDescriptionHelpFormatter,
         epilog="""
 Exemplos:
@@ -743,6 +943,9 @@ Exemplos:
   
   # Teste DDoS com mais threads
   python teste_seguranca.py --teste ddos --ddos-threads 100
+  
+Nota: O script agora verifica bloqueio automático configurável.
+      'engenharia_social' foi removido do sistema.
         """
     )
     
@@ -758,7 +961,7 @@ Exemplos:
                        choices=['brute_force', 'sql_injection', 'xss', 'ddos', 
                                'path_traversal', 'command_injection', 'nosql', 'xxe', 'todos'],
                        default='todos',
-                       help='Tipo de teste a executar (padrão: todos)')
+                       help='Tipo de teste a executar (padrão: todos). Nota: "engenharia_social" foi removido do sistema.')
     
     parser.add_argument('--brute-force-tentativas',
                        type=int,
@@ -810,7 +1013,3 @@ Exemplos:
 
 if __name__ == "__main__":
     main()
-
-
-
-