# Credenciais e Integrações — Astram

> Documento técnico com chaves de API, endpoints e instruções de uso das integrações do site da Astram.
>
> **⚠️ CONFIDENCIAL — não publicar em repositórios públicos.**

---

## 🤖 Reale Conecta IA — Atendente Mariza

Integração do widget de atendimento virtual via IA.

| Campo | Valor |
|---|---|
| **Produto** | Reale Conecta IA — Widget de chat |
| **Persona** | Mariza (atendente virtual da Astram) |
| **Status** | 🟢 Ativo no protótipo |
| **API key (live)** | `sk_live_xMnRH4eFzPh6YgKQ81ceAIJUv22hBVpHgnWJUqkB` |
| **API base** | `https://p9.realetech.net.br/api/v1` |
| **Widget JS** | `https://p9.realetech.net.br/widget/widget.v1.js` |
| **Posição na tela** | `bottom-right` |
| **Cor primária** | `#0072CE` (azul-oceano da paleta Astram) |
| **Treinamento** | Veja [mariza-treinamento.md](./mariza-treinamento.md) |

### Snippet original fornecido

```html
<script
  src="https://p9.realetech.net.br/widget/widget.v1.js"
  data-api-key="sk_live_xMnRH4eFzPh6YgKQ81ceAIJUv22hBVpHgnWJUqkB"
  data-api-base="https://p9.realetech.net.br/api/v1"
  data-position="bottom-right"
  data-color="#0284c7"
  async
></script>
```

### Como está implementado no protótipo

O widget é **injetado dinamicamente** via JavaScript em todas as páginas pelo arquivo:

📂 `/var/www/sites/astram/proto/assets/js/components.js` → função `injectMarizaWidget()`

Isso garante que ao adicionar novas páginas, basta incluir o script `components.js` e o widget aparece automaticamente — sem precisar copiar o snippet em cada arquivo HTML.

A única adaptação do snippet original foi a **cor**: trocada de `#0284c7` (azul Tailwind sky-600) para `#0072CE` (azul-oceano oficial da paleta Astram), praticamente idêntica mas alinhada ao design system do site.

### Verificar funcionamento

1. Abra qualquer página do protótipo: https://rt6753.realetech.net.br/proto/
2. O balão da Mariza aparece no canto inferior direito após o carregamento.
3. Inspecionar via DevTools (F12) → Console: confirme que não há erros 4xx/5xx em chamadas para `p9.realetech.net.br`.

---

## 🔐 Boas práticas de segurança

- ❌ **Nunca commitar** este arquivo (`credenciais.md`) em repositório público — adicione ao `.gitignore`.
- ❌ Não compartilhar a chave `sk_live_...` em mensagens, e-mails ou tickets públicos.
- ✅ Em produção, **mover a chave para variáveis de ambiente** (ex: `MARIZA_API_KEY`) e injetar via template do servidor — não deixar exposta no JS estático visível no DevTools de qualquer usuário.
- ✅ Considerar criar uma **chave separada por ambiente** (dev / staging / produção) com a equipe Reale Conecta.
- ✅ **Rotacionar** a chave após qualquer suspeita de vazamento.

> ⚠️ **Nota importante:** chaves de widget de chat geralmente são "públicas por design" (o browser precisa ter acesso para fazer chamadas à API). A proteção real costuma vir de validação de domínio (CORS) no backend. Confirme com a equipe Reale Conecta quais domínios estão autorizados para esta `sk_live_...` antes do go-live em produção.

---

## 📋 Outras integrações futuras (placeholders)

Conforme o site evolui, este documento deve crescer com as demais integrações:

| Serviço | Status | Chave |
|---|---|---|
| Mercado Pago (pagamentos) | ⏳ Pendente | — |
| Google Analytics 4 | ⏳ Pendente | — |
| Meta Pixel | ⏳ Pendente | — |
| WhatsApp Business API | ⏳ Pendente | — |
| Mailchimp / RD Station (e-mail) | ⏳ Pendente | — |
| Sentry (monitoramento) | ⏳ Pendente | — |

---

**Última atualização:** 25/05/2026