Simulados técnicos para Analista de TI do DETRAN com questões comentadas

Como usar este capítulo de simulados (nível progressivo)

Este capítulo é composto por blocos de questões por assunto, com dificuldade crescente (básico → intermediário → avançado) e comentários técnicos completos. O objetivo é treinar leitura de enunciado, eliminação de alternativas e aplicação normativa/técnica em cenários típicos do DETRAN (serviços digitais, integrações, dados pessoais, disponibilidade e auditoria).

Passo a passo prático para resolver questões (método em 5 etapas)

• 1) Identifique o verbo do comando: assinale, julgue, melhor alternativa, incorreta, exceção.

• 2) Marque palavras-chave: “sempre”, “nunca”, “apenas”, “exclusivamente”, “obrigatório” (tendem a tornar alternativas falsas).

• 3) Classifique o tema: dados/SQL, rede, segurança, governança, legislação, integração.

• 4) Elimine por inconsistência técnica/normativa: procure conflitos com princípios (ex.: menor privilégio, minimização, segregação de funções, rastreabilidade, confidencialidade).

  Continue em nosso aplicativo

  Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

  ou continue lendo abaixo...

  

  Baixar o aplicativo

• 5) Valide a alternativa final: confira se atende ao cenário e não viola restrições (LGPD, controles, disponibilidade, auditoria).

Bloco 1 — Sistemas de Informação (progressivo)

Questão 1 (Básico) — Qualidade de informação

Em um sistema de atendimento digital do DETRAN, um indicador de qualidade de informação diretamente relacionado à capacidade de o dado refletir a realidade no momento do uso é:

• A) Integridade

• B) Tempestividade (atualidade)

• C) Confidencialidade

• D) Disponibilidade

• E) Auditabilidade

Alternativa correta: B) Tempestividade (atualidade).

Comentário técnico: Tempestividade mede se a informação está atual e no tempo adequado para decisão/serviço (ex.: status de pagamento, agendamento, restrições). É um atributo clássico de qualidade de dados/informação usado em sistemas operacionais e analíticos.

Por que as demais estão incorretas:

• A) Integridade refere-se à consistência e correção estrutural (regras, chaves, referências), não ao “quão recente” o dado está.

• C) Confidencialidade é propriedade de segurança (CIA), não atributo de atualidade.

• D) Disponibilidade é capacidade de acesso ao serviço/dado quando necessário, não se o dado está atualizado.

• E) Auditabilidade é capacidade de rastrear eventos/alterações, não atributo de atualidade.

Referências conceituais do curso: qualidade da informação (tempestividade, acurácia, completude), requisitos não funcionais e atributos de qualidade.

Questão 2 (Intermediário) — Integração e consistência

Um serviço de integração do DETRAN consome dados de multas de um sistema externo e atualiza o cadastro do condutor. Para reduzir inconsistências por reprocessamento (mensagens duplicadas), a medida mais adequada é:

• A) Aumentar o timeout HTTP do cliente

• B) Implementar idempotência com chave de deduplicação por evento

• C) Usar criptografia simétrica no payload

• D) Alterar o banco para isolamento READ UNCOMMITTED

• E) Desabilitar logs para melhorar desempenho

Alternativa correta: B) Implementar idempotência com chave de deduplicação por evento.

Comentário técnico: Em integrações assíncronas/síncronas, reenvios e duplicidades são comuns (falha de rede, retry). Idempotência garante que processar o mesmo evento mais de uma vez não altera o resultado final. Prática: armazenar um identificador único do evento (eventId) e rejeitar/ignorar duplicados (tabela de controle, constraint única, cache com TTL).

Por que as demais estão incorretas:

• A) Timeout não resolve duplicidade; pode até aumentar retries.

• C) Criptografia protege confidencialidade, não consistência por duplicidade.

• D) READ UNCOMMITTED aumenta risco de leituras sujas e inconsistência.

• E) Desabilitar logs prejudica auditoria e recuperação; não é controle de duplicidade.

Referências conceituais do curso: integrações, confiabilidade, idempotência, rastreabilidade e requisitos de consistência.

Questão 3 (Avançado) — Observabilidade e SLO

Um portal de serviços do DETRAN apresenta picos de lentidão em horários de maior demanda. Para orientar decisões técnicas e de gestão, a métrica mais alinhada a SLO (Service Level Objective) para experiência do usuário é:

• A) Uso de CPU do servidor de aplicação

• B) Memória livre no banco de dados

• C) Latência p95/p99 de requisições por endpoint crítico

• D) Quantidade de commits por minuto

• E) Tamanho do log de aplicação

Alternativa correta: C) Latência p95/p99 de requisições por endpoint crítico.

Comentário técnico: SLOs devem refletir o que o usuário percebe (latência, taxa de erro, disponibilidade). Percentis (p95/p99) capturam cauda de latência, essencial em serviços públicos com picos. CPU/memória são métricas de recurso (causa), não de resultado.

Por que as demais estão incorretas:

• A) CPU pode estar alta ou baixa sem refletir latência percebida (I/O, lock, rede).

• B) Memória livre isolada não define experiência; pode haver cache eficiente com pouca memória livre.

• D) Commits/minuto é indicador interno, não SLO de usuário.

• E) Tamanho de log não mede qualidade do serviço.

Referências conceituais do curso: gestão de serviços, SLI/SLO, monitoramento e indicadores orientados ao usuário.

Bloco 2 — Banco de Dados e SQL (progressivo)

Questão 4 (Básico) — JOIN e cardinalidade

Considere as tabelas condutor(id_condutor, nome) e infracao(id_infracao, id_condutor, data). Para listar todos os condutores, inclusive os que não possuem infrações, com a quantidade de infrações, a consulta mais adequada é:

• A) SELECT c.id_condutor, COUNT(i.id_infracao) FROM condutor c JOIN infracao i ON i.id_condutor=c.id_condutor GROUP BY c.id_condutor;

• B) SELECT c.id_condutor, COUNT(i.id_infracao) FROM condutor c LEFT JOIN infracao i ON i.id_condutor=c.id_condutor GROUP BY c.id_condutor;

• C) SELECT c.id_condutor, SUM(i.id_infracao) FROM condutor c RIGHT JOIN infracao i ON i.id_condutor=c.id_condutor GROUP BY c.id_condutor;

• D) SELECT DISTINCT c.id_condutor, i.id_infracao FROM condutor c, infracao i;

• E) SELECT c.id_condutor, COUNT(*) FROM infracao i GROUP BY c.id_condutor;

Alternativa correta: B).

Comentário técnico: LEFT JOIN preserva todos os registros da tabela à esquerda (condutor). Ao agrupar por condutor e contar i.id_infracao, condutores sem infração retornam contagem 0 (dependendo do SGBD, COUNT(coluna) ignora NULL).

Por que as demais estão incorretas:

• A) JOIN (inner) exclui condutores sem infração.

• C) SUM em id não faz sentido para contagem; RIGHT JOIN preserva infrações, não condutores.

• D) Produto cartesiano (sem condição de junção) gera combinações incorretas.

• E) Parte de infracao, logo não lista condutores sem infração.

Referências conceituais do curso: SQL, JOINs, agregação, tratamento de NULL e cardinalidade.

Questão 5 (Intermediário) — Transações e anomalias

Em um fluxo de emissão de guia, duas transações concorrentes atualizam o mesmo registro de débito. Para evitar lost update (perda de atualização) com abordagem pessimista, a opção mais adequada é:

• A) Usar SELECT ... FOR UPDATE no registro antes de atualizar

• B) Reduzir o nível de isolamento para READ UNCOMMITTED

• C) Desabilitar constraints para acelerar a atualização

• D) Usar apenas SELECT simples e confiar no commit

• E) Fazer VACUUM antes de cada atualização

Alternativa correta: A).

Comentário técnico: SELECT ... FOR UPDATE bloqueia a linha lida para atualização por outras transações até commit/rollback, evitando que duas transações leiam o mesmo valor e gravem resultados conflitantes. É controle de concorrência pessimista.

Por que as demais estão incorretas:

• B) READ UNCOMMITTED aumenta anomalias (leituras sujas) e não evita lost update.

• C) Remover constraints compromete integridade e auditoria; não é controle de concorrência.

• D) Sem lock/controle, o lost update permanece possível.

• E) Manutenção de armazenamento não resolve concorrência lógica.

Referências conceituais do curso: transações, isolamento, bloqueios, anomalias de concorrência.

Questão 6 (Avançado) — Índices e plano de execução

Uma consulta frequente filtra por cpf e ordena por data_atualizacao em uma tabela grande de cadastros. Para melhorar desempenho, a escolha mais adequada é:

• A) Criar índice composto (cpf, data_atualizacao) alinhado ao filtro e ordenação

• B) Criar índice apenas em data_atualizacao

• C) Criar índice apenas em cpf e ignorar a ordenação

• D) Substituir ORDER BY por GROUP BY

• E) Aumentar o tamanho do log de transações

Alternativa correta: A).

Comentário técnico: Um índice composto com a coluna de filtro primeiro e a de ordenação em seguida pode permitir busca seletiva por cpf e leitura já ordenada por data_atualizacao, reduzindo sort e I/O. A efetividade depende do SGBD e do padrão de consulta, mas é a opção conceitualmente correta.

Por que as demais estão incorretas:

• B) Índice só em data pode não ser seletivo para o filtro por cpf.

• C) Índice só em cpf ajuda no filtro, mas pode manter custo alto de ordenação.

• D) GROUP BY altera semântica do resultado.

• E) Log não é mecanismo de otimização de consulta.

Referências conceituais do curso: índices, seletividade, ordenação, plano de execução e custo.

Bloco 3 — Redes (progressivo)

Questão 7 (Básico) — DNS e disponibilidade

Usuários relatam que o portal do DETRAN está “fora do ar”, mas o servidor responde por IP. O componente mais provável com falha é:

• A) DNS

• B) NAT

• C) VLAN

• D) MTU

• E) ARP

Alternativa correta: A) DNS.

Comentário técnico: Se o serviço responde por IP, a conectividade e o serviço HTTP/HTTPS podem estar ativos. A falha em resolver o nome (ex.: portal.detran...) aponta para DNS (registro expirado, delegação, indisponibilidade do resolvedor).

Por que as demais estão incorretas:

• B) NAT afeta tradução de endereços; se por IP funciona, NAT não é o suspeito principal.

• C) VLAN é segmentação L2; falhas aqui tenderiam a impedir acesso por IP também.

• D) MTU pode causar problemas intermitentes, mas não explica diretamente falha de nome com IP funcionando.

• E) ARP é resolução L2 local; novamente, acesso por IP sugere que ARP está ok no caminho relevante.

Referências conceituais do curso: serviços de rede (DNS), camadas e diagnóstico por sintomas.

Questão 8 (Intermediário) — TLS e cadeia de confiança

Ao acessar um serviço HTTPS do DETRAN, navegadores exibem erro de certificado inválido após renovação. Uma causa comum é:

• A) Porta 80 bloqueada no firewall

• B) Cadeia intermediária (CA intermediate) não enviada pelo servidor

• C) TTL do DNS muito alto

• D) MTU configurada acima do padrão

• E) Falta de rota estática no core

Alternativa correta: B).

Comentário técnico: Em TLS, o servidor deve apresentar o certificado do site e, tipicamente, a cadeia intermediária para que o cliente valide até uma raiz confiável. Após renovação, é comum esquecer de configurar o bundle/cadeia intermediária, causando falha de validação em clientes.

Por que as demais estão incorretas:

• A) HTTPS usa porta 443; porta 80 não é necessária para validação do certificado.

• C) TTL alto afeta propagação de mudanças de DNS, não validade de certificado.

• D) MTU pode afetar conexões, mas não é causa típica de “certificado inválido”.

• E) Falta de rota impediria conexão, não validação do certificado.

Referências conceituais do curso: HTTPS/TLS, PKI, cadeia de certificação e configuração de serviço.

Questão 9 (Avançado) — Balanceamento e afinidade

Um serviço web do DETRAN está atrás de um balanceador. Usuários autenticados relatam que, ao navegar, são deslogados aleatoriamente. A causa mais provável e a correção mais adequada são:

• A) Falha de DNS; reduzir TTL

• B) Sessão armazenada em memória local do servidor; usar sessão compartilhada (ex.: cache distribuído) ou sticky sessions

• C) MTU baixa; aumentar MTU

• D) Falta de VLAN; criar VLAN

• E) Certificado expirado; renovar certificado

Alternativa correta: B).

Comentário técnico: Em ambientes com balanceamento, se a sessão fica apenas na memória do nó (stateful), uma requisição pode cair em outro nó e perder contexto, gerando logout. Soluções: (1) tornar aplicação stateless com token; (2) armazenar sessão em repositório compartilhado (cache distribuído); (3) usar afinidade (sticky) como mitigador, com cautela.

Por que as demais estão incorretas:

• A) DNS não explica perda de sessão durante navegação já conectada.

• C) MTU afetaria transmissão, não especificamente sessão.

• D) VLAN não é correção para estado de sessão.

• E) Certificado expirado impediria conexão/alertaria sempre, não logout aleatório.

Referências conceituais do curso: balanceamento, estado de sessão, escalabilidade e arquitetura de serviços.

Bloco 4 — Segurança (progressivo)

Questão 10 (Básico) — Princípio do menor privilégio

Um analista precisa consultar dados para suporte, sem alterar registros. A configuração mais aderente ao menor privilégio é:

• A) Conceder perfil de administrador para agilizar

• B) Conceder permissão apenas de leitura (SELECT) nas tabelas necessárias

• C) Conceder permissão de escrita e confiar em auditoria posterior

• D) Compartilhar credenciais de um usuário de aplicação

• E) Desabilitar autenticação em ambiente interno

Alternativa correta: B).

Comentário técnico: Menor privilégio: conceder apenas o necessário para a tarefa. Para consulta, permissão de leitura e escopo restrito (tabelas/visões) reduz risco de alteração indevida e facilita auditoria.

Por que as demais estão incorretas:

• A) Admin amplia superfície de risco.

• C) Escrita não é necessária; auditoria não substitui prevenção.

• D) Compartilhar credenciais elimina rastreabilidade.

• E) Desabilitar autenticação viola controles básicos.

Referências conceituais do curso: IAM, menor privilégio, rastreabilidade e controles preventivos.

Questão 11 (Intermediário) — OWASP e injeção

Uma API recebe parâmetros de consulta e monta SQL concatenando strings. A medida mais eficaz para mitigar SQL Injection é:

• A) Validar apenas no front-end

• B) Usar consultas parametrizadas/prepared statements

• C) Ocultar mensagens de erro do banco e manter concatenação

• D) Aumentar o tamanho do campo de entrada

• E) Trocar HTTP por FTP

Alternativa correta: B).

Comentário técnico: Prepared statements separam código SQL de dados, impedindo que entrada do usuário seja interpretada como comando. Complementos: validação server-side, menor privilégio no usuário do banco, e logging de tentativas.

Por que as demais estão incorretas:

• A) Front-end pode ser burlado; validação deve existir no servidor.

• C) Ocultar erro reduz informação ao atacante, mas não remove a vulnerabilidade.

• D) Não tem relação com injeção.

• E) FTP não é substituto de HTTP para API e não mitiga SQLi.

Referências conceituais do curso: segurança de aplicações, OWASP, validação e parametrização.

Questão 12 (Avançado) — Resposta a incidente e evidências

Durante um incidente de possível exfiltração de dados, a equipe precisa preservar evidências para análise e auditoria. A ação mais adequada é:

• A) Reiniciar imediatamente todos os servidores para “limpar” o ambiente

• B) Coletar logs e artefatos com cadeia de custódia, garantindo integridade (hash) e controle de acesso

• C) Apagar logs antigos para economizar espaço

• D) Desabilitar monitoramento para reduzir ruído

• E) Compartilhar evidências por e-mail sem controle

Alternativa correta: B).

Comentário técnico: Preservação de evidências exige integridade e rastreabilidade: coleta controlada, armazenamento seguro, registro de quem acessou, e uso de hash para verificar alterações. Reiniciar pode destruir evidências voláteis (memória) e alterar timestamps.

Por que as demais estão incorretas:

• A) Pode destruir evidências e dificultar análise de causa raiz.

• C) Apagar logs compromete auditoria e investigação.

• D) Monitoramento é essencial durante incidente.

• E) Envio sem controle viola confidencialidade e cadeia de custódia.

Referências conceituais do curso: gestão de incidentes, logging, cadeia de custódia e auditoria.

Bloco 5 — Governança (progressivo)

Questão 13 (Básico) — Segregação de funções

Em um processo de mudança em produção, qual prática melhor atende segregação de funções?

• A) O mesmo analista desenvolve, aprova e implanta a mudança

• B) Desenvolvimento e aprovação/implantação são realizados por papéis distintos, com registro e evidências

• C) Aprovação verbal para acelerar

• D) Implantar direto em produção e testar depois

• E) Desabilitar trilhas de auditoria para reduzir custo

Alternativa correta: B).

Comentário técnico: Segregação reduz risco de fraude/erro: quem implementa não deve ser o único a aprovar. Evidências (ticket, aprovação, plano de rollback) suportam auditoria e conformidade.

Por que as demais estão incorretas:

• A) Concentra poder e risco.

• C) Aprovação verbal reduz rastreabilidade.

• D) Aumenta risco operacional.

• E) Remove capacidade de auditoria.

Referências conceituais do curso: controles internos, gestão de mudanças, rastreabilidade e auditoria.

Questão 14 (Intermediário) — Catálogo de serviços e SLAs

Para reduzir chamados recorrentes e alinhar expectativas com áreas usuárias, o artefato mais adequado é:

• A) Diagrama ER do banco

• B) Catálogo de serviços com descrição, canais, prazos e SLAs/OLAs

• C) Dump completo do banco para consulta

• D) Lista de IPs dos servidores

• E) Script de deploy

Alternativa correta: B).

Comentário técnico: Catálogo de serviços define o que TI entrega, como solicitar, tempos de atendimento e responsabilidades. Isso reduz ambiguidade e melhora governança operacional.

Por que as demais estão incorretas:

• A) ER é técnico e não alinha serviço ao usuário.

• C) Dump é risco e não é artefato de governança de serviço.

• D) Lista de IPs não define serviços.

• E) Script de deploy é operacional, não de relacionamento com usuário.

Referências conceituais do curso: gestão de serviços, catálogo, SLA/OLA, central de serviços.

Questão 15 (Avançado) — Gestão de riscos e controles

Em análise de risco, foi identificado que uma integração crítica depende de um único endpoint externo sem redundância. A resposta de risco mais adequada, mantendo o serviço essencial, é:

• A) Aceitar o risco sem registro

• B) Mitigar com redundância/contingência (fallback, filas, cache, contrato de disponibilidade) e monitoramento

• C) Evitar encerrando o serviço definitivamente

• D) Transferir publicando o código em repositório público

• E) Ignorar e aumentar o número de usuários de banco

Alternativa correta: B).

Comentário técnico: Mitigação reduz probabilidade/impacto: mecanismos de resiliência (retry com backoff, circuit breaker, fila para desacoplamento, cache para leituras, plano de contingência) e acordos/monitoramento para detectar degradação. Evitar (C) pode ser inviável por essencialidade do serviço.

Por que as demais estão incorretas:

• A) Aceitação exige registro e aprovação; sem isso, falha de governança.

• C) Evitar pode contrariar continuidade do serviço público.

• D) Não é transferência de risco; ainda cria risco de segurança.

• E) Não endereça dependência externa.

Referências conceituais do curso: gestão de riscos, continuidade, resiliência e monitoramento.

Bloco 6 — Legislação e normativos (progressivo)

Questão 16 (Básico) — LGPD: papéis

Em um sistema do DETRAN que trata dados pessoais para prestação de serviços ao cidadão, o papel de controlador é exercido por quem:

• A) Executa a limpeza do banco de dados

• B) Decide sobre as finalidades e meios do tratamento de dados pessoais

• C) Hospeda o servidor em nuvem

• D) Desenvolve a interface do sistema

• E) Faz o suporte de rede

Alternativa correta: B).

Comentário técnico: Na LGPD, controlador é quem toma decisões sobre o tratamento (finalidade e meios). Operador executa o tratamento em nome do controlador. A identificação correta orienta responsabilidades, contratos e resposta a incidentes.

Por que as demais estão incorretas:

• A), D), E) são atividades técnicas; não definem finalidade/meios.

• C) Hospedagem pode ser operador/fornecedor, mas não necessariamente controlador.

Referências conceituais do curso: LGPD (papéis: controlador, operador, encarregado), responsabilização e governança de dados.

Questão 17 (Intermediário) — LGPD: princípios aplicados

Ao projetar um relatório de auditoria interna, a equipe pretende incluir CPF completo e endereço de todos os condutores, embora o objetivo seja apenas verificar volume de atendimentos por região. O princípio mais diretamente violado é:

• A) Transparência

• B) Necessidade (minimização)

• C) Não discriminação

• D) Prevenção

• E) Responsabilização

Alternativa correta: B).

Comentário técnico: Necessidade/minimização: limitar o tratamento ao mínimo necessário para a finalidade. Para volume por região, dados agregados/anônimos ou pseudonimizados são mais adequados.

Por que as demais estão incorretas:

• A) Transparência trata de informação ao titular, não do excesso de dados no relatório.

• C) Não discriminação não é o ponto central do enunciado.

• D) Prevenção é relevante, mas a violação direta é coletar/expor além do necessário.

• E) Responsabilização é dever de demonstrar conformidade; não é o princípio diretamente violado.

Referências conceituais do curso: princípios da LGPD, minimização, relatórios e controles de acesso.

Questão 18 (Avançado) — Incidente e comunicação

Em caso de incidente de segurança com risco relevante aos titulares, a postura mais adequada sob a ótica de conformidade é:

• A) Ocultar o incidente para evitar repercussão

• B) Avaliar impacto, registrar evidências, acionar governança e cumprir obrigações de comunicação conforme aplicável

• C) Apagar logs e restaurar backup para “voltar ao normal”

• D) Comunicar apenas informalmente por mensagem instantânea

• E) Publicar dados vazados para “transparência”

Alternativa correta: B).

Comentário técnico: A resposta adequada envolve: triagem, contenção, preservação de evidências, análise de impacto, e acionamento de fluxos formais de governança e comunicação quando exigido (incluindo titulares/autoridade, conforme critérios). O ponto central é agir com processo, rastreabilidade e proporcionalidade.

Por que as demais estão incorretas:

• A) Viola deveres de governança e pode agravar sanções.

• C) Destrói evidências e compromete auditoria.

• D) Falta formalização e rastreabilidade.

• E) Amplia dano e viola confidencialidade.

Referências conceituais do curso: resposta a incidentes, conformidade, registros e comunicação formal.

Baterias mistas (integração de temas)

Questão 19 (Intermediário) — Incidente envolvendo API + Banco + LGPD

Uma API de consulta de situação do veículo retorna dados pessoais em excesso. Foi detectado que requisições sem autenticação conseguem consultar por placa e obter nome e CPF do proprietário. A primeira ação técnica mais adequada para contenção imediata é:

• A) Criar um índice no banco para acelerar a consulta

• B) Bloquear/limitar o endpoint vulnerável (WAF/rate limit), exigir autenticação e revisar autorização (RBAC/ABAC)

• C) Aumentar o TTL do DNS para reduzir carga

• D) Trocar o SGBD por outro mais moderno

• E) Remover logs para evitar exposição

Alternativa correta: B).

Comentário técnico: Contenção imediata: reduzir superfície e impedir exploração (bloqueio temporário, WAF, rate limiting) e corrigir controle de acesso (autenticação + autorização). Em paralelo, aplicar minimização de dados na resposta (retornar apenas o necessário) e revisar logs/evidências para investigação.

Por que as demais estão incorretas:

• A) Desempenho não resolve exposição indevida.

• C) DNS não corrige falha de autorização.

• D) Troca de SGBD não é contenção e não corrige endpoint exposto.

• E) Remover logs piora resposta a incidente e auditoria.

Referências conceituais do curso: segurança de APIs, controle de acesso, minimização (LGPD), resposta a incidentes e logging.

Questão 20 (Avançado) — Resiliência + Transações + Observabilidade

Um serviço de agendamento chama um serviço externo para validar pagamento. Em caso de instabilidade externa, o serviço interno fica lento e acumula threads, degradando todo o portal. A combinação mais adequada de medidas é:

• A) Aumentar o número de threads e desabilitar timeouts

• B) Implementar timeout, circuit breaker e fila para desacoplamento; monitorar taxa de erro e latência p95/p99

• C) Reduzir isolamento do banco para READ UNCOMMITTED

• D) Remover autenticação para reduzir latência

• E) Desabilitar logs e métricas para reduzir overhead

Alternativa correta: B).

Comentário técnico: Timeout evita espera indefinida; circuit breaker impede cascata de falhas; fila desacopla e permite reprocessamento controlado. Observabilidade com SLIs (erro/latência) orienta capacidade e resposta. Isso reduz degradação sistêmica em dependências externas.

Por que as demais estão incorretas:

• A) Mais threads sem controle piora contenção e exaure recursos.

• C) Isolamento do banco não resolve dependência externa e adiciona risco de consistência.

• D) Remover autenticação viola segurança.

• E) Sem logs/métricas, fica mais difícil detectar e corrigir.

Referências conceituais do curso: resiliência, integrações, gestão de serviços e monitoramento orientado a SLO.

Questão 21 (Avançado) — Auditoria + Banco + Segregação

Uma auditoria identificou alterações em registros sensíveis sem identificação do responsável, pois a aplicação usa uma única conta de banco compartilhada. A correção mais adequada é:

• A) Manter a conta compartilhada e aumentar privilégios para facilitar investigação

• B) Implementar rastreabilidade: autenticação individual (ou propagação de identidade), trilhas de auditoria e segregação de perfis

• C) Remover triggers de auditoria para reduzir overhead

• D) Permitir acesso direto ao banco para todos os usuários

• E) Fazer backup diário e ignorar logs

Alternativa correta: B).

Comentário técnico: Conta compartilhada elimina não repúdio. A correção envolve identidade e trilhas: cada ação deve ser atribuível a um usuário/processo, com perfis segregados e logs protegidos. Dependendo da arquitetura, pode-se propagar identidade via camada de aplicação (campos de auditoria) e restringir a conta técnica a operações controladas.

Por que as demais estão incorretas:

• A) Aumentar privilégios piora risco.

• C) Remover auditoria agrava o problema.

• D) Acesso amplo ao banco viola menor privilégio e aumenta risco.

• E) Backup não substitui rastreabilidade.

Referências conceituais do curso: auditoria, IAM, segregação de funções, logging e responsabilização.

Revisão por erros frequentes (o que mais derruba em prova)

Erro frequente 1 — Confundir atributo de qualidade com propriedade de segurança

• Armadilha: marcar confidencialidade/disponibilidade quando a pergunta é sobre atualidade, completude ou acurácia.

• Como evitar: se o enunciado fala em “dado refletir a realidade no momento”, pense em tempestividade; se fala em “correto”, acurácia; se fala em “sem lacunas”, completude.

Erro frequente 2 — JOIN errado excluindo registros

• Armadilha: usar INNER JOIN quando precisa manter todos os registros da tabela principal.

• Passo a passo prático: (1) identifique a entidade que deve aparecer sempre; (2) coloque-a à esquerda; (3) use LEFT JOIN; (4) em contagens, prefira COUNT(coluna_da_tabela_direita) para contar apenas quando houver correspondência.

Erro frequente 3 — Resolver problema de segurança com medida de desempenho

• Armadilha: sugerir índice, cache ou aumento de recursos quando o problema é autorização, exposição de dados ou injeção.

• Como evitar: se há acesso indevido, priorize autenticação, autorização, minimização e logging; desempenho vem depois.

Erro frequente 4 — Confundir contenção com erradicação em incidentes

• Armadilha: reiniciar/apagar logs imediatamente.

• Passo a passo prático: (1) conter (bloquear vetor, limitar endpoint); (2) preservar evidências (logs, hashes, acesso controlado); (3) analisar impacto; (4) erradicar causa; (5) recuperar com validação e monitoramento reforçado.

Erro frequente 5 — LGPD: coletar/expor “por garantia”

• Armadilha: incluir CPF/endereco completo em relatórios quando não é necessário.

• Como evitar: pergunte: “qual é a finalidade?” e “qual o mínimo de dados para cumprir?”. Prefira agregação, anonimização/pseudonimização e controle de acesso por perfil.