<340 ns Por decisão
<600 ps Op. lógica
2.9M/sec Débito
On-premise nativo Sem runtime na nuvem

Nota de Arquitetura Técnica — Versão 1.0

Estado Artefacto Público Controlado
Versão 1.0
Data de publicação 2026-02-17
Jurisdição Suíça
Âmbito Limite de demonstração

Enunciado do Problema

Os sistemas de autorização convencionais baseiam-se em inferência probabilística, limiares baseados em pontuação ou classificação heurística para produzir decisões. Estas abordagens introduzem ambiguidade no ponto de decisão, tornando estruturalmente impossível garantir resultados determinísticos em condições adversariais ou incompletas. A arquitetura descrita neste documento adota uma abordagem de indeterminação em primeiro lugar: o sistema está concebido para produzir uma decisão formalmente delimitada — incluindo um estado indeterminado explícito — para cada entrada. Isto elimina a classe de erros decorrente da resolução binária forçada e assegura que cada decisão é rastreável, reproduzível e vinculada a evidências. A arquitetura não infere intenções, não prevê resultados nem interpola evidências em falta. Avalia apenas o que é apresentado, dentro de limites formalmente declarados.

Invariantes Formais

Os cinco invariantes seguintes são restrições arquiteturais aplicadas em cada camada do sistema. Não são configuráveis, não são opcionais e não estão sujeitos a sobreescrita em tempo de execução.

1. Sem inferência probabilística

  • Definição: O sistema não emprega aprendizagem automática, pontuação estatística, inferência bayesiana ou qualquer forma de raciocínio probabilístico no seu caminho de decisão.
  • Garantia: Cada decisão é produzida pela avaliação determinística de regras de política explicitamente declaradas contra evidências apresentadas.
  • Limite: Sistemas externos que alimentam dados na plataforma podem utilizar métodos probabilísticos; este invariante aplica-se estritamente ao caminho de avaliação de decisões.

2. Extração vinculada a evidências

  • Definição: Nenhuma decisão pode ser produzida sem um registo completo de evidências. O sistema não fabrica, assume nem fornece valores por defeito para campos de evidência em falta.
  • Garantia: Cada saída de decisão é acompanhada por um conjunto de evidências criptograficamente vinculado que estava presente no momento da avaliação.
  • Limite: A completude da evidência é definida pelo esquema de política. O sistema não valida a veracidade da evidência — apenas a sua presença estrutural e conformidade de formato.

3. Reprodutibilidade determinística

  • Definição: Com a mesma versão de política e o mesmo conjunto de evidências, o sistema deve produzir a saída de decisão idêntica em cada execução.
  • Garantia: A reprodução de decisões é uma capacidade de auditoria de primeira classe. Qualquer decisão histórica pode ser reavaliada com as suas entradas originais para verificar a consistência.
  • Limite: A reprodutibilidade pressupõe versionamento imutável de políticas. Se uma versão de política for alterada in situ (uma violação do protocolo operacional), as garantias de reprodutibilidade não se aplicam.

4. Arquitetura não autoexecutável

  • Definição: O sistema produz decisões mas não as aplica. Não tem capacidade de executar ações, modificar sistemas externos ou desencadear efeitos a jusante de forma autónoma.
  • Garantia: A saída de decisão é um artefacto consultivo. A aplicação é sempre delegada ao sistema chamador, que retém o controlo total sobre a execução de ações.
  • Limite: Padrões de integração podem automatizar ações com base na saída de decisão. Tal automação é externa à arquitetura e fora do âmbito deste invariante.

5. Limite de sobreescrita humana

  • Definição: Cada decisão produzida pelo sistema está sujeita a revisão e sobreescrita humana. A arquitetura não inclui qualquer caminho que contorne a autoridade humana.
  • Garantia: Os eventos de sobreescrita são registados no mesmo registo append-only das decisões originais, preservando a cadeia de auditoria completa incluindo a identidade e justificação da sobreescrita.
  • Limite: A plataforma fornece o mecanismo para o registo de sobreescritas. As políticas organizacionais que determinam quando as sobreescritas são permitidas estão fora do âmbito do sistema.

Definição de Garantia Determinística

Uma decisão é considerada determinística se e somente se todas as seguintes condições forem cumpridas:

  • A versão de política utilizada para avaliação é imutável e bloqueada na versão no momento do pedido.
  • O conjunto de evidências é completo conforme definido pelo esquema de política, sem campos inferidos nem assumidos por defeito.
  • A função de avaliação não contém efeitos secundários, chamadas externas nem entradas aleatórias.
  • A saída é um de exatamente três estados: ALLOW, DENY ou INDETERMINATE.
  • O par completo entrada-saída é registado num registo append-only e está disponível para verificação de reprodução independente.

Cláusula de Limite de Demonstração

Este artefacto descreve a arquitetura tal como implementada num ambiente de demonstração controlado. Não representa uma implementação em produção, um sistema certificado nem um serviço operado comercialmente. O ambiente de demonstração opera com dados sintéticos, condições de carga restringidas e âmbito limitado de tenants. Não são feitas declarações relativas à escalabilidade, disponibilidade ou certificação regulamentar da arquitetura descrita. As organizações que avaliam este sistema para implementação operacional devem conduzir a sua própria avaliação independente de adequação ao fim.

Impressão Digital de Integridade

A impressão digital de integridade SHA-256 será publicada juntamente com o artefacto PDF assinado. Contacte a equipa de engenharia para obter a versão assinada sob NDA.

Contactar a Equipa

Solicitar Artefacto Completo

Obtenha a nota de arquitetura técnica completa como documento portátil sob NDA.

Solicitar PDF