IAMV Consulting
Voltar para casesAgentes de IA

Da Clínica à Sala de Aula: Assessment, Segurança e Roadmap de Agente de IA

Três entregáveis de consultoria que destravaram a expansão de uma plataforma conversacional de saúde para uma nova vertical de educação.

Achados críticos identificados no assessment
5 (3 com impacto e urgência altos)
Caminhos de secrets management avaliados e comparados
3 (com recomendação fundamentada)
Plano de rotação de credenciais expostas
até 15 dias úteis, zero downtime (padrão dual-key)
MVP do agente de captação escopado
4 módulos + 4 incrementos pós-MVP

O desafio

Uma startup healthtech brasileira que opera uma plataforma conversacional para clínicas odontológicas — construída sobre n8n, Supabase e LLMs — chegou a um ponto de inflexão em 2026: expandir a mesma base tecnológica para uma nova vertical, a captação de alunos para instituições de ensino em odontologia, começando por uma faculdade que é cliente final da empresa.

A pergunta que a liderança precisava responder não era "conseguimos construir?", e sim "a base aguenta a expansão?". Havia sinais de fragilidade acumulada: credenciais hardcoded em workflows, dados pessoais persistidos em artefatos de debug, isolamento multi-tenant frágil em pontos críticos e controle operacional dependente de planilha. Escalar sobre essa base significaria amplificar cada um desses riscos — incluindo exposição à LGPD e bloqueio em vendas enterprise.

A solução

O engajamento foi estruturado em três entregas pontuais, cada uma respondendo a uma decisão específica do cliente.

1. Assessment técnico-produto. Auditoria estática dos workflows do n8n cobrindo arquitetura, dependências externas, padrões de segurança, isolamento multi-tenant e prontidão de domínio para a nova vertical. O veredito: avançar com condições — gate técnico obrigatório de hardening antes da expansão. Foram identificados 5 achados críticos, classificados por impacto e urgência, com maturidade avaliada em 6 dimensões e priorização em matriz MoSCoW.

2. Plano de solução de segurança de credenciais. O achado de maior risco residual do assessment virou um plano de execução próprio: centralizar 100% das credenciais em um secrets manager (Infisical, escolhido após comparação fundamentada entre três caminhos — credenciais nativas do n8n, Infisical e cloud secrets manager), rotacionar todas as chaves expostas com padrão dual-key para zero downtime, e implantar gate de CI bloqueante com Gitleaks para prevenir reincidência. Plano de 5 fases em até 15 dias úteis, com gates de aprovação explícitos e executável pelo time atual do cliente.

3. Plano de entrega do agente de IA. Roadmap técnico do MVP de um agente conversacional de captação para a instituição de ensino: orquestrador com subagentes de graduação e pós-graduação, camada agnóstica de canal, follow-up automatizado e painel administrativo em Next.js. Escopo em 4 módulos, com 4 incrementos pós-MVP priorizados por impacto operacional (handoff humano via Chatwoot, painel de métricas, knowledge base com RAG e WhatsApp via Evolution API).

Como funciona

O fio condutor das três entregas é o mesmo: decisão executiva precisa de visibilidade técnica fim a fim. Cada documento segue a estrutura sumário executivo → contexto → diagnóstico com evidências → recomendações priorizadas (alta/média/baixa) → plano de ação com responsável, janela e esforço.

No plano de segurança, cada credencial mapeada ganhou provedor, criticidade e ação requerida; a rotação foi desenhada com janela aprovada pela liderança executiva e rollback pronto antes de revogar qualquer chave antiga. No roadmap do agente, toda mensagem de qualquer canal é normalizada em um objeto único antes de entrar na lógica dos agentes — adicionar um canal novo exige apenas um conector, sem tocar no core. O desenho reaproveita a infraestrutura que o cliente já opera (Supabase, n8n self-hosted, Chatwoot), reduzindo a fundação do projeto a schema, seed de dados e configuração.

O fluxo conversacional completo do agente foi mapeado em diagrama de decisão: formas de ingresso da graduação (vestibular, ENEM, transferência, novo título), inscrição em pós-graduação, tratamento de prazos encerrados, handoff humano estruturado e follow-ups agendados.

Resultados

  • Decisão de expansão tomada com base em evidência: veredito "avançar com condições", com janela de hardening de 6 semanas e piloto controlado antes do rollout comercial
  • Categoria de risco mais grave da operação encerrada em plano executável: 100% das credenciais migradas para cofre central e rotacionadas sem downtime, com prevenção de reincidência via CI
  • MVP do agente de captação escopado e destravado: 4 módulos com critérios de aceite, dependências e único bloqueador externo identificado antes do início do desenvolvimento
  • Time do cliente autossuficiente por desenho: runbook de operação do cofre, walkthrough com o time e cadência de rotação de 90 dias transferem a operação sem dependência da consultoria

O aprendizado que fica: expansão de produto raramente falha na feature nova — falha na base que ninguém auditou. Um assessment honesto antes do roadmap custa uma fração do retrabalho que evita, e transforma "vamos escalar" de aposta em decisão.