Checklist de permissões para conector MCP e ferramentas de IA
O que revisar antes de conectar ferramentas de IA: objetivo, hospedagem, autenticação, acesso a dados, ações e revogação.
14 de maio de 2026
Use este checklist antes de conectar um assistente a um conector MCP, ferramenta interna ou acesso recorrente. A revisão precisa deixar claro o que a IA pode ler, o que pode acionar, quais logs ficam registrados e como revogar o acesso depois.
Highlight Reel
Revise permissões antes do conector
Use o Highlight Reel para transformar a conversa de aprovação em escopo de dados, riscos e próximos passos claros.
Em resumo
Permissão de conector MCP não é só “pode acessar”. Ela precisa dizer quais dados a IA lê, quais ações pode propor, o que exige aprovação e como o acesso será removido.
Modelo copiável
# Revisão de permissões do conector MCP
## Objetivo
- [ ] Qual trabalho o conector resolve?
- [ ] Quem pediu e quem aprova?
## Hospedagem e confiança
- [ ] O servidor ou fornecedor é conhecido pelo time.
- [ ] Existe responsável por manutenção.
## Autenticação
- [ ] O fluxo de login é aprovado.
- [ ] Tokens e credenciais não ficam em conversa compartilhada.
## Dados
- [ ] Fontes permitidas estão listadas.
- [ ] Dados sensíveis foram excluídos ou justificados.
## Ações
- [ ] Leitura e escrita estão separadas.
- [ ] Ações críticas exigem aprovação humana.
## Revogação
- [ ] Há caminho claro para remover acesso.Exemplo preenchido
# Revisão de permissão do conector MCP
## Uso aprovado
Ler documentação interna de produto para responder dúvidas recorrentes do time
de suporte.
## Fontes liberadas
- Notion: páginas públicas do workspace de suporte
- Confluence: pasta "Políticas vigentes"
## Ações bloqueadas
- Criar ou editar tickets no Jira
- Ler páginas de RH, contratos ou notas de clientes
- Usar dados fora das fontes listadas
## Dono e revogação
Dono: gerente de suporte.
Revisão: a cada 30 dias.
Revogar se o projeto piloto terminar ou se novas fontes sensíveis forem pedidas.Como usar sem criar burocracia
Para uma avaliação inicial, documente escopo e dono em uma página curta. Para um conector usado por time, registre permissões, logs, revisão humana e plano de revogação em docs internos ou ticket de aprovação.
Checklist antes de enviar
- Não trate MCP como simples link de compartilhamento.
- Documente leitura, escrita e ações separadamente.
- Confirme revogação antes do primeiro uso em produção.
- Guarde a decisão em docs internos ou ticket de aprovação.
Onde o Highlight Reel entra
O Highlight Reel pode explicar o resultado de uma sessão que usou MCP, mas a revisão de permissão precisa ficar no sistema oficial do time.
Perguntas frequentes
Preciso copiar o modelo inteiro toda vez?
Não. Use as seções de leitura, escrita, dono e revogação como mínimo. Detalhe mais quando houver dados de cliente, repositórios privados ou ações que alteram sistemas.
Posso incluir a conversa original?
Inclua apenas trechos que expliquem por que o conector existe. A conversa original não substitui uma decisão clara de permissão.
O que devo tirar antes de compartilhar?
Remova tokens, chaves de API, URLs internas sensíveis, dados de cliente e qualquer permissão que não seja necessária para o caso de uso.