log: sessao 22/05 - Melissa UX overhaul + 5 saas-docs (Fases 2-5)

Sessao completa de ~14 commits. 2 grandes blocos:

BLOCO 1 — Melissa UI overhaul: tray bottom-right (substitui topbar
band), mobile collapse parcial em <md, busca global unificada
(MelissaBusca ganha "Ir para [data]", popover da agenda deletado),
dock com 4 builtins, hero resumo com cancelado/remarcado, settings+
ajuda click-outside, cronometro evento-aware (botao ⏱ na timeline +
sessionPlan + confirm fechar), documents edit in-place via
document_generated.documento_id, wire-up dos 5 botoes do preview.

BLOCO 2 — 5 docs saas novas (03-07 em development/saas-docs/) +
SQL imports + 60 FAQs total. Cobertura: aba Documentos paciente,
pagina Templates, Assinatura eletronica, Emissao de recibo
profissional, Relatorios + 3 formatos de export.

Memorias adicionadas:
- feedback_tailwind_utility_load_order (hidden perde pra CSS base
  do componente por ordem de carga Vite)
- project_documents_reedit_in_place (linkage documento_id + editingDocId)

PROXIMA SESSAO (23/05): Fase 6 restante (C12 antecipar UX iter —
unico item de codigo da lista de ontem), Fase 7 restante (regressao
Agenda C7-C13, validacao manual). Antes/depois: panorama MVP no
ROADMAP canonico — ainda restam #12 papel timbrado, #15 NFS-e,
§1.5 Sentry, Asaas Fase B, M4 cutover, validacao centralizada
de forms.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

HANDOFF.md

@@ -1,147 +1,448 @@
-# HANDOFF — 2026-05-08 (MelissaPaciente — port completo + iteração de UX)
+# HANDOFF — 2026-05-20 (C10 ✅ + C11 ✅ + C12 ⏳ deferido · testando C13)
 
-Documento de continuidade. **Quando voltar, comece lendo esta página.**
+Documento de continuidade. **Quando voltar, comece lendo esta página até o fim.**
 
-> **🟢 PLANO DE 8 FASES COMPLETO** — `MelissaPaciente.vue` (~2400L) é a versão
-> Melissa nativa do `PatientProntuario.vue` legacy (3593L). Todas as 7 abas
-> entregues, wire-up final feito (Dialog → route `/melissa/paciente?id=X`).
-> 5 composables + utils compartilhados extraídos.
+> **🎯 SE A FORÇA CAIR / SESSÃO PERDER CONTEXTO:** C10 e C11 fechados.
+> **C12 fluxo crítico OK no DB mas UX confusa** — adiado pra iterar
+> pós-Rail/Clínica (memória project_c12_antecipar_iterar). Agora
+> **testando C13** (edit cobrada — invariante imutabilidade SimplePractice).
+> Implementação JÁ existe (Fase 6 do commit 1feb711 — Message com cadeado +
+> AgendaEventoFinanceiroPanel embedded). Só validação visual + persistência.
 
-> **🟢 ITERAÇÃO PÓS-FASE 8** — Várias rodadas de feedback do user com fixes:
-> full-width, sidebar "Voltar pra Pacientes" (no lugar de Configurações),
-> editar inline, openWhatsapp fix, dialog Lançamento, dialog Nova Sessão
-> com `AgendaEventDialog` real, recorrências do paciente.
+> **🟢 14 COMMITS NO DIA**. C10 (5/5), C11 (4/4), C12 deferred (DB OK),
+> reverse transition trava implementada, popover watch sync implementado.
+> Pós-C13: replicar Rail (AgendaTerapeutaPage) + Clínica (AgendaClinicaPage)
+> + iterar C12 UX + doc de ajuda (pendência separada).
 
-> **🟢 COMMITADO + PUSHED** — Working tree limpa.
+### C13 — passos de teste (próximo)
+Paciente: **João Almeida Martins** (sessão 20/05 9:00 realizada + paid R$ 40 maquininha) ou **André Green 20/05** (paid PIX).
+
+Esperado ao abrir o AgendaEventDialog:
+- Message azul com cadeado: "Cobrança de R$ X já emitida..."
+- AgendaEventoFinanceiroPanel renderiza embaixo do Message
+- Card "Aplicar alterações em" oculto (v-if="!occFinancialRecord")
+- Só horário/observações editáveis; valor/serviços/tipo travados
+
+### C11 sub-test results
+| # | Teste | DB validado |
+|---|---|---|
+| 11A | Realizada + markPaid PIX | sessions_used 0→1, record paid R$ 40 PIX |
+| 11B | Falta + Descontar saldo | sessions_used 1→2, sem multa |
+| 11C | Falta + Multa SEM consumir | sessions_used stays 2, multa pending R$ 30 |
+| 11D | Cancelado + default_consume_on_miss=true | sessions_used 2→3, sem multa (>2h) |
+
+### Bugs descobertos + corrigidos durante C11
+- UI "Como cobrar?" com options "Já recebi" misturadas → refatorado pra "Já recebi?" radio Sim/Não + select condicional
+- `billing_contracts` sem coluna `updated_at` → UPDATE falhava silently em Promise.allSettled (root cause do saldo não incrementar). Trocado pra awaits sequenciais com error handling explícito
+- Reverse transitions deixavam multa órfã → dialog reverse implementado com radio "cancelar pending" + "devolver saldo" + warning pra paid
+- Botão "Gerar cobrança" em sessão encerrada → bloqueado
+- Lock total em cancelado/faltou: Editar sessão some, status mudanças disabled exceto Agendada (recovery)
+- Label "A cobrar R$ X" em pacote saldo state=none → "Aguardando uso do pacote"
+- Badge $ amber em pacote saldo state=none → suprimido
+- billing_contract_id não amarrado em alguns flows → link universal antes dos blocos forward
+- Reverse saldo decrementar: refresh sessions_used FRESH do DB antes do UPDATE (anti-race)
+
+### Pendências mapeadas pós-C13
+- **Popover snapshot**: `eventoSelecionado.value = ev` é snapshot. Fix: guardar ev.id, derivar via computed
+- ~~Reverse transitions~~ ✓ implementado ahead of schedule
+- **Cleanup teste**: Otto sessão 5364f631 leftover (não-critical)
+
+### C10 sub-test results
+| # | Teste | DB validado | Notas |
+|---|---|---|---|
+| A | Realizada sem markPaid | ✅ status=realizado, record=pending | Bubble do C9 funcionou |
+| A2 | Realizada + markPaid maquininha | ✅ status=realizado, record=paid, payment_method=cartao_maquininha, paid_at set | João Almeida |
+| B | Faltou + multa R$ 30 (fixed_fee) | ✅ original cancelled + nova multa "Multa por falta · sessão dd/mm/aa" | Otto Rank |
+| C | Cancelado >2h antecedência | ✅ original cancelled, sem multa | Otto / Karen |
+| C2 | Cancelado tardio (<2h) full charge | ✅ original cancelled + nova "Taxa de cancelamento tardio · sessão dd/mm/aa" | Karen Horney |
+
+### Pendências mapeadas durante C10 — pós-C13
+- **Reverse transitions**: faltou/cancelado → agendado deixa multa órfã. Implementar confirm dialog oferecendo auto-cancelar multa.
+- **Popover snapshot**: `eventoSelecionado.value = ev` é snapshot, não acompanha _paymentStateMap. Fix: guardar ev.id, derivar via computed.
+- **Cleanup teste**: Otto sessão 5364f631 às 19:30 UTC tem record pending R$ 40 leftover do teste A original. Apagar quando convenient.
+
+Memórias relevantes:
+- `project_agenda_reverse_transitions.md`
+- `project_melissa_popover_snapshot.md`
+
+### Code-fix aplicado em 20/05 (pré-C10)
+- **`useMelissaAgenda.js:1450-1505`** — `_applyStatusDecisions` agora cancela
+  o `ctx.pendingRecord` quando faltou/cancelado (com ou sem multa). Antes
+  inseria a multa mas DEIXAVA o original pending → cobrança dupla
+  (R$ 200 + R$ 30 = R$ 230). Audit trail vai em `notes` do record
+  cancelado, descrição da multa nova carrega data: "Multa por falta · sessão 20/05/26".
+- **`useAgendaFinanceiro.js:59`** — fix dormente `'fixed'` → `'fixed_fee'`
+  (off-by-key contra schema; path nunca exercitado na Melissa, mas iria
+  quebrar se algum dia fosse).
+
+### Financial exceptions seedadas (tenant Bruno Terapeuta / owner Leonardo)
+- `patient_no_show` → `fixed_fee R$ 30`
+- `patient_cancellation` → `full`, `min_hours_notice=2`, `default_consume_on_miss=true`
 
 ---
 
-## 🚦 STATUS — Working tree LIMPA
+## 🔴 PRÓXIMO PASSO IMEDIATO — Cenário 10 (Status change AVULSA)
 
-```
-On branch main
-Your branch is up to date with 'origin/main'.
-nothing to commit, working tree clean
-```
+Doc HTML diz: testar status change numa sessão avulsa com cobrança pendente,
+mudando entre realizado / faltou / cancelado. As consequências financeiras
+seguem `financial_exceptions` (regras configuradas pelo terapeuta sobre o
+que acontece com a cobrança nesses casos).
+
+Possíveis pacientes pra teste: usar Joyce, Sándor ou outro com cobrança
+avulsa pendente já criada.
+
+**Esperado** (depende das `financial_exceptions` configuradas no tenant):
+- Realizada: status muda; cobrança permanece (caminho default)
+- Faltou: pode ter regra → cobrança 100% (paciente paga falta) ou cancela
+- Cancelado: pode ter regra → cancelar cobrança ou cobrar parcial
+
+Conferir:
+- `STATUS_TO_EXCEPTION` mapping em `useAgendaFinanceiro.js`
+- `getFinancialExceptionRule(tenantId, exceptionType)` retorna a regra
+- `handleStatusChange` orquestra: agenda update + financial adjust
+
+Após C10: C11 (status change pacote saldo — usar a infra do Usar/Revogar)
+→ C12 (antecipar pagamento) → C13 (edit cobrada).
+
+Quando todos passarem, replicar em **Rail** (`AgendaTerapeutaPage.vue`) e
+**Clínica** (`AgendaClinicaPage.vue`).
 
 ---
 
-## 📦 Histórico de commits da sessão (mais recente → mais antigo)
+## 📦 O que foi feito em 20/05 madrugada (C9 + rowGroup financeiro + bubble cobranca-atualizada)
 
-| # | Hash | Resumo |
-|---|------|--------|
-| 24 | `6ad91e7` | passa preset-commitment-id pro AgendaEventDialog (fix botão Salvar sumido) |
-| 23 | `cf1cd67` | pré-popula eventRow com commitment_id + paciente nome/avatar/status |
-| 22 | `73788c7` | AgendaEventDialog: lockType auto-seleciona commitment "Sessão" (fix jornada/billing/freq sumidos) |
-| 21 | `30d09eb` | AgendaEventDialog: props lockType + lockPatient + slot #headerLeft (aditivos) |
-| 20 | `88dff50` | (REVERTIDO em 30d09eb) usa AgendaEventDialog GLOBAL via inject |
-| 19 | `b040e15` | header custom do dialog Nova Sessão (ícone + título + nome) |
-| 18 | `42a39ed` | dialog Nova Sessão usa "Frequência" estilo AgendaEventDialog |
-| 17 | `9e76e4e` | bloco "Recorrências do paciente" na Tab Agenda |
-| 16 | `f1d6fba` | dialog nova sessão integra useRecurrence (recorrência semanal) |
-| 15 | `a8ab13b` | dialog inline nova sessão + createSession mutation |
-| 14 | `21c71f7` | addFinancial navega pra Financeiro + novo botão Agendar |
-| 13 | `64005a5` | fix openWhatsapp + dialog inline novo lançamento financeiro |
-| 12 | `301a712` | editPatient abre PatientCadastroDialog INLINE (sem sair) |
-| 11 | `5d2c389` | fix sidebar cards encolhendo + gap das abas main |
-| 10 | `159b80d` | full-width + sidebar "Voltar pra Pacientes" no lugar de Configurações |
-| 9 | `71ee51d` | **Fase 8** wire-up final (Dialog → route /melissa/paciente?id=X) |
-| 8 | `167e864` | **Fase 7** Tabs Documentos + Conversas (KPIs + embed componentes existentes) |
-| 7 | `e7c0f6c` | **Fase 6** Tab Financeiro + mark paid (mutation que legacy não tem) |
-| 6 | `8a8d2e0` | **Fase 5** Tab Agenda (KPIs + filtros + grupos por mês + ações) |
-| 5 | `1278e93` | **Fase 4** Tab Prontuário MVP (evolução via session.observacoes) |
-| 4 | `4fc0e3a` | **Fase 3** Tab Perfil (6 sections stacked + anchors) |
-| 3 | `ab7526b` | **Fase 2** Tab Visão Geral (4 KPIs + timeline + msgs + notas) |
-| 2 | `df61cc4` | **Fase 1** Foundation (5 composables + skeleton 7 tabs + slug paciente) |
-| 1 | `f3f0d83` | (pré-MelissaPaciente) preview teleport 3-way no Agendador/LinkExterno + chrome 6 páginas |
+### Cenário 9 ✅ (Per-session — Michael Balint 12 × R$ 150)
+Testado e passou. Criou-se 1 rule + 12 agenda_eventos materializadas + 12 financial_records pending. Sem billing_contract. Cada sessão com badge $ amber individual. **Sem nenhuma `linha de pacote`** no popover (não tem contract → não aparece). Conforme esperado.
+
+### `/melissa/financeiro-lancamentos` agrupado por paciente
+- DataTable com `rowGroupMode='subheader'` + `groupRowsBy='patient_id'`
+- Default: todos os grupos da página expandidos (watcher popula `expandedGroups` com unique patient_ids quando `recordsGrouped` muda)
+- Header de grupo: avatar pequeno + nome + badge "N lançamento(s)"
+- Click no chevron contrai/expande (auto via PrimeVue `expandableRowGroups`)
+- Sort estável: ordena outer por nome do paciente, preserva inner order (pai → filhos de multas/taxas)
+
+### Bubble-up `@cobranca-atualizada`
+Antes: `AgendaEventoFinanceiroPanel.@cobranca-atualizada` disparava só `loadOccFinancialRecord` (interno do dialog). O `_paymentStateMap` da agenda ficava stale → card no FC só atualizava ao trocar de view.
+
+Agora: `AgendaEventDialog._onCobrancaAtualizada` faz duas coisas:
+1. `loadOccFinancialRecord()` — refresca estado interno do dialog
+2. `emit('cobranca-atualizada')` — bubble pra MelissaLayout
+
+MelissaLayout escuta nos 2 dialogs (principal + occurrenceMode) e chama `onCobrancaAtualizada` que dispara `M.refetch() + refetchEventosHoje()`. Resultado: card na agenda passa pra borda verde imediatamente após marcar pago.
 
 ---
 
-## 📂 Arquivos novos / modificados
+## 📦 O que foi feito em 19/05 madrugada (C8 + Usar/Revogar saldo + UI de pacote)
 
-### NOVOS — composables + utils compartilhados
-- `src/features/patients/composables/usePatientDetail.js` (~108L) — patient + groups + tags
-- `src/features/patients/composables/usePatientSessions.js` (~155L) — agenda_eventos + computeds + `updateStatus`/`createSession` mutations
-- `src/features/patients/composables/usePatientFinancial.js` (~155L) — financial_records + computeds + `markPaid`/`markUnpaid`/`createRecord` mutations
-- `src/features/patients/composables/usePatientMessages.js` (~80L) — conversation_messages + computeds
-- `src/features/patients/composables/usePatientDocuments.js` (~110L) — documents + computeds (topType, pendentes, sizeTotalFormatted)
-- `src/features/patients/composables/usePatientRecurrences.js` (~110L) — recurrence_rules + cancel/reactivate + ativas/canceladas computeds
-- `src/features/patients/utils/patientFormatters.js` (~280L) — fmt* helpers + STATUS_LABEL/SEVERITY + tagStyle (luminance) + DOC_TYPE_LABEL + chConvLabel + recordStatus + RECORD_STATUS_LABEL + WEEKDAY_LABEL + fmtRecurrenceLabel/Fim
+### Cenário 8 ✅ (Pacote SALDO — Otávio Souza Ferreira 12 × R$ 50)
+Testado e validado. Contract criado com `charging_style='saldo'`, 0 events materializadas, 0 records. Modelo Cliniko: sessões materializam on-demand via Usar.
 
-### NOVO — página Melissa
-- `src/layout/melissa/MelissaPaciente.vue` (~2400L) — 7 abas funcionais, header custom, sidebar com Voltar pra Pacientes, dialog Lançamento inline, dialog Nova Sessão usando AgendaEventDialog real
+### UI do pacote (saldo + upfront)
+- **`_ruleContractMap`** em useMelissaAgenda: bulk-load agora popula contract info (id, style, totalSessions, sessionsUsed, packagePrice) por `recurrence_id`. Query usa `recurrence_rules.patient_id` como fonte autoritativa (cobre saldo sem materializadas).
+- **Normalize** injeta `contract` no evento → popover acessa via `ev.contract`.
+- **Popover** (`MelissaEventoPanel`): nova linha colorida abaixo do payment:
+  - Saldo: violeta `"Pacote saldo · N/M usadas"` + botão verde **"Usar"** (paymentState=none) OU vermelho **"Revogar"** (paymentState=pending)
+  - Upfront: verde `"Pacote · N/M realizadas"` (sem botão; cobrança já tratada)
+- **AgendaEventDialog**: info card mt-4 (saldo violeta / upfront emerald) com header (pacote+contador), body (total/per-session/restam), botão "Usar agora" ou "Revogar uso", hint explicando o modelo. Gateado por `occFinancialLoading` (spinner durante carga) pra evitar piscar entre estados.
 
-### MODIFICADOS — wire-up
-- `src/layout/melissa/MelissaLayout.vue` — entry SECOES.paciente + render condicional `<MelissaPaciente :patient-id="String(route.query.id || '')" @close="fecharSecao" />`
-- `src/layout/melissa/MelissaPacientes.vue` — `abrirProntuario` agora navega via `router.push('/melissa/paciente', query: { id })`. Removeu `<PatientProntuario>` Dialog. Watch em `route.query.edit` pra abrir cadastro full quando vem de `MelissaPaciente.editPatient`.
-- `src/layout/melissa/MelissaAgenda.vue` — `abrirProntuarioPorId` igual. Removeu Dialog legacy.
-- `src/layout/melissa/composables/useMelissaAgenda.js` — adicionou `onCreateEventoForPatient(patientId)` (não usado mais após reverter inject, mas mantido)
-- `src/features/agenda/components/AgendaEventDialog.vue` — **3 props aditivas** (lockType, lockPatient, slot #headerLeft) + watch que auto-seleciona commitment "Sessão" quando lockType. **Zero regressão (301 specs passando)**.
+### Handlers Usar/Revogar atômicos
+**`onUsarSessao`** em MelissaLayout (aceita payload do popover OU do dialog):
+1. Materializa virtual se necessário (preserva `determined_commitment_id` da regra)
+2. Status='realizado' + link `billing_contract_id`
+3. `create_financial_record_for_session` RPC com per-session amount
+4. Incrementa `billing_contracts.sessions_used`
+5. Se atingiu total → contract `status='completed'`
+6. Toast verde + fecha popover/dialog
+
+**`onRevogarSessao`** desfaz tudo:
+1. Cancela financial_record (status='cancelled')
+2. Decrementa sessions_used (não fica negativo)
+3. Reativa contract se estava completed
+4. Status volta pra 'agendado'
+5. Bloqueia se record já está `paid` (precisa estorno formal pelo Financeiro)
+6. **Backfill** de `determined_commitment_id` se NULL (fix de legado)
+
+### Fix: enum status_evento_agenda
+Era `'realizada'` no insert/update, DB exige `'realizado'` (masculino). Corrigido em todas as ocorrências.
+
+### Fix: campo "Título" indevido no dialog
+Sessão sem `determined_commitment_id` → `selectedCommitment=null` → `isSessionEvent=false` → mostra campo Título (que é só pra não-sessão). Fix: 
+- Materialize do Usar inclui `determined_commitment_id` da regra
+- Update path do Usar (sessão real após revogar) backfilla via query da rule
+- Revogar também backfilla — garante consistência mesmo sem novo Usar
+- SQL massivo de backfill disponível no HANDOFF pra limpar rows legadas
+
+### Fix: "Gerar fatura" não cabe em sessão de saldo
+Hide do botão "Gerar fatura" no popover quando há `contractInfo`. Geraria cobrança solta sem incrementar saldo → duplicação. Fluxo correto: usar "Usar".
+
+### Recorrências Aplicadas: cores + badges
+- Header stats: total **azul**, realizadas **verde**, faltaram **amber**, canceladas **cinza**, remarcadas **violeta**
+- Pills: badge sólido por status (Realizado=emerald-600, Faltou=amber-600, Cancelado=stone-500, Remarcado=violet-600)
+
+### Race condition no dialog
+- AgendaEventDialog mostrava botões "Usar"/"Revogar" baseado em `occFinancialRecord` que carrega async
+- Durante load (~500ms), botão errado podia aparecer → snap pro correto depois
+- Fix: spinner "Verificando estado…" enquanto `occFinancialLoading=true`; botões só renderizam após
+- Popover decidiu manter como está (race window pequena, fechar/reabrir resolve)
 
 ---
 
-## 🟡 PENDENTES PRA PRÓXIMA SESSÃO
+## 📦 O que foi feito em 19/05 noite (C7 + lock-edit + propagação cross-week)
 
-User mencionou: **"tem alguns ajustes pra fazer nessa tela ainda"** após o último fix
-do botão Salvar (commit `6ad91e7`). Ajustes específicos não foram detalhados ainda
-— próxima sessão começa pelo feedback do user no dialog Nova Sessão.
+### Cenário 7 ✅ (Pacote UPFRONT — Ana Souza Ferreira)
+Testado e validado. Usuária criou Ana, R$ 200/sessão × 4 = R$ 800, marcou como pago em dinheiro pelo Financeiro. Visualização correta em mês AND em semana navegando pelas 4 semanas.
 
-### Pendentes conhecidos (não ditos pelo user, mas observados)
-- **PatientProntuario.vue legacy (3593L)** continua existindo intocado. Usado por:
-  - `TherapistDashboard.vue` (homepage role therapist sem Melissa)
-  - `PatientsListPage.vue` (rota `/therapist/patients`)
-  - Quando user troca pra Melissa em `/account/profile`, vê a versão nativa
-  - Pra deletar de vez precisa portar TherapistDashboard + PatientsListPage também
-- **Tab Prontuário** é MVP usando `agenda_eventos.observacoes` como evolução. Quando schema clínico (`anamnese`, `clinical_notes`, `plano_terapeutico`) for adicionado, vira o real
-- **2 errors pré-existentes em MelissaLayout.vue** (duplicate key 'financeiro' L242, empty block L1130) — não foram tocados durante o port
+### Fase 6 (lock-edit cobrada) ativada em Melissa
+Antes: `loadOccFinancialRecord` tinha guard `if (!props.occurrenceMode) return;` — só carregava em Rail/Clínica (edição de ocorrência). Em Melissa, `sessionPaymentRecord` paralelo alimentava só o Resumo lateral, sem trigger de lock.
+
+Agora unificado: `occFinancialRecord` carrega em ambos modos:
+- Card Sessão / Honorários ganha **Tag** (em vez de Select billingType) quando há cobrança
+- Body do card mostra **Message "Cobrança de R$ X já emitida"** + cadeado
+- Tipo de cobrança (Particular/Convênio/Gratuito) bloqueado
+- Edição de serviços/preço bloqueada
+
+### Propagação cross-week de pacote upfront pago/pendente
+**Bug descoberto durante C7:** ao navegar pra semanas futuras (onde só virtual da Ana 2/3/4 aparecia, sem real event paid na view), o `_rulePaymentMap` era zerado pelo else branch do bulk-load → virtuais perdiam estado paid.
+
+Fix em `useMelissaAgenda.js _reloadRange`:
+- Maps (paymentStateMap, amountMap, rulePaymentMap) inicializados SEMPRE no início
+- Propagação agora roda **independente de realIds.length** (ie, mesmo em semanas só-com-virtuais)
+- Coleta `ruleIdsInView` de TODOS eventos da view (reais + virtuais com recurrence_id)
+- Cross-week query: pra cada rule em view, busca QUALQUER evento sibling (inclusive em outras semanas) + seus records paid/pending → determina estado do contrato
+- Propaga estado pra eventos reais (via map) + virtuais (via rulePaymentMap acessado pelo normalize)
+
+### Atalho "Gerar fatura" no popover
+- Pill amber pequeno ao lado de "A cobrar R$ X" no popover (`paymentVariant === 'none' && !is_occurrence`)
+- Click → `gerarCobrancaManual` direto, fecha popover pra impedir double-click
+- Tooltip: "Gerar fatura agora"
+
+### Info de pacote no popover
+- Header agora mostra `Sessão · Pacote · N sessões` (computed `seriesLabel` lê de `_raw` do rule)
+
+### Botão "Excluir série inteira"
+- Novo emit `delete-series` em `MelissaEventoPanel` + botão ao lado de "Excluir sessão" quando evento tem `recurrence_id`
+- Handler `onDeleteSeries` em MelissaLayout faz hard delete: `financial_records` pendentes → `agenda_eventos` materializados → `recurrence_rules` (CASCADE leva exceptions + rule_services)
+- Bloqueia se algum record tem `status='paid'` (estornar primeiro)
+
+### RPC `create_financial_record_for_session` ignora cancelled
+**Migration 20260519000001:** idempotência da RPC passou a filtrar `AND status != 'cancelled'` além de `deleted_at IS NULL`. Antes: cancelar cobrança sem querer → todo "Gerar fatura" subsequente retornava o cancelado em vez de criar nova. Toast verde mentindo.
+
+Memória durável em `memory/project_rpc_idempotency_cancelled.md`.
+
+### `cancel_session` exception some da agenda
+- `useRecurrence.expandRules` agora pula ocorrência com `exception.type === 'cancel_session'` (era visível com status cancelado; doc dizia "some da agenda" mas código mantinha)
+- `patient_missed` / `therapist_canceled` / `holiday_block` permanecem visíveis como histórico
+
+### `recurrence_exceptions` cancel idempotente
+- Cancel de ocorrência (virtual e materializada) usa `upsert` com `onConflict: 'recurrence_id,original_date'` — não quebra mais com unique violation quando há exception zumbi de tentativa anterior.
+
+### Visualização paid/pending de upfront em virtuais
+- `MelissaEventoPanel.showPaymentRow` antes excluía virtuais incondicionalmente. Agora só esconde quando `paymentState === 'none'` (saldo/sem pacote continua limpo; upfront propagado mostra).
+- `MelissaAgenda.fcEvents`: removida exigência de `!is_occurrence` no `isPaidSession` e no badge $ pendente. Virtuais herdadas via propagação mostram borda verde/badge amber.
+
+### `onVerLancamentos` cobre virtual de upfront
+- Antes: virtual sempre toast "Sem lançamentos". Agora: busca records via siblings da série pra encontrar o do pacote. Saldo/sem pacote continua com toast.
+
+### Confirmação 3 decisões UX (não codar)
+Antes de C7, user perguntou e concordou:
+1. Editar serviço já lançado e pago → **NÃO** (cobrança fiscal imutável)
+2. Alternar Particular/Convênio/Gratuito em série com cobrança ativa → **NÃO** (mesma razão)
+3. "Gerar fatura" extra em sessão coberta por contrato upfront → **NÃO** (duplicaria cobrança)
+Tudo isso o lock-edit (Fase 6 ativada acima) cobre.
 
 ---
 
-## 🧠 Conhecimento adicional acumulado nesta sessão
+## 📦 O que foi feito em 18/05
 
-### Decisões arquiteturais
-1. **`MelissaPaciente` segue o padrão Melissa** (mesmo prefix `mpa-`, glass chrome, sidebar 320px à esquerda, drawer mobile). Diferente das outras Melissa Pages: **largura total** (sem `right: max(...)`) porque conteúdo (KPIs grid + tabelas + timeline) precisa de espaço.
+### Cenário 4 (Joyce · "Já recebi") ✅
+- Testado e passou: toast "Cobrança paga R$ 180,00 recebido via PIX", record nasceu `paid + payment_method=pix + paid_at=now()`.
 
-2. **Reuso do `AgendaEventDialog`** via 2 props aditivas (`lockType` + `lockPatient`) + slot `#headerLeft` — caminho A escolhido após discussão honesta sobre drift risk de duplicação.
+### Novo indicador: barra esquerda verde para sessão paga
+- Brainstorm de 6 opções; user escolheu #6 (3 canais visuais distintos por estado).
+- `MelissaAgenda.vue:395-419` — computa `isPaidSession` (sessão+paciente+não-virtual+`paymentState==='paid'`) e adiciona classe `ma-evt--paid` ao FC event (combina com `ma-evt--inactive-patient` se ambos).
+- `MelissaAgenda.vue:2325-2335` — CSS força `border-left-color: #10b981 !important` (emerald-500, 4px). `!important` necessário porque FC seta `borderColor` inline. Trata também list view (`.fc-list-event-dot`).
+- Doc HTML atualizado: legenda "Indicadores visuais" agora descreve **3 estados** (pendente / pago / neutro) com 3 mocks empilhados; estado-alvo do C4 reescrito mencionando a barra verde.
+- Decisão salva em `memory/project_agenda_payment_indicators.md`.
 
-3. **Inject vs state local** — `MelissaPaciente` injeta `MELISSA_AGENDA_KEY` SÓ pra ler dados pesados (commitmentOptions, workRules, etc) e mantém state LOCAL pro dialog (sessaoDialogOpen/EventRow/StartISO/EndISO). Não colide com dialog global da Agenda.
+### Linha "Cobrança" no popover + Resumo do dialog
+- **Popover `MelissaEventoPanel`** — antes só mostrava amber "A receber R$ X" pra pendente. Agora cobre os 3 estados, com cor + ícone por variante:
+  - `paid` → `pi-check-circle` verde, label **"Pago · R$ X,XX"**
+  - `pending` → `pi-dollar` amber, label **"A receber R$ X (cobrança pendente)"** (mantido)
+  - `none` → `pi-dollar` amber, label **"A cobrar R$ X"** ou **"Cobrança ainda não gerada"** (mantido)
+  - CSS reescrito em 3 modificadores `.evento-row--pay-{paid|pending|none}` (com dark mode).
+- **Resumo lateral do `AgendaEventDialog`** — nova linha entre `pi-clock` e `pi-map-marker` em ambas as cópias (mobile inline + desktop floating).
+  - Novo ref `sessionPaymentRecord` em `useAgendaEventLifecycle.js:104+` (sem guard de `occurrenceMode`, contrário ao `occFinancialRecord` que continua só pra Rail/Clínica). Loader `loadSessionPaymentRecord` chamado no mesmo lifecycle.
+  - Computed `paymentSummary` em `AgendaEventDialog.vue:951+` retorna `{icon, cls, label}` pra 5 casos: paid (verde + paid_at), overdue (vermelho + due_date), pending (amber + due_date), sem cobrança c/ valor (neutro), sem cobrança s/ valor (neutro).
+  - `@cobranca-atualizada` do `AgendaEventoFinanceiroPanel` agora também dispara `loadSessionPaymentRecord` pra a linha refrescar.
+  - **Importante:** `occFinancialRecord` (que aciona lock-edit) NÃO foi tocado de propósito — esse é território da Fase 6/C13 (Edit cobrada). Manter dois refs separados evita ativar lock prematuro em Melissa.
 
-4. **Inicialização do dialog**: precisa passar **TANTO** `determined_commitment_id` no eventRow **QUANTO** prop `presetCommitmentId` separada. O resetForm lê o primeiro pra popular `form.commitment_id`; o lifecycle lê o segundo pra decidir step inicial. Sem ambos, cair em race condition (lifecycle reset desfaz selectCommitment).
+### Preparação do C5 (Sándor + Unimed Nacional) — UX de convênio refinado (3 issues)
 
-5. **Pré-popular paciente_nome/avatar/status no eventRow** é obrigatório pra não-edit — o composer só faz fetch async do nome quando isEdit=true.
+User tentou rodar C5 e bateu em 3 problemas seguidos. Cada um virou um fix:
 
-### Hotspots de drift no `AgendaEventDialog`
-Arquivo tem 5 composables que fazem o trabalho pesado: `useAgendaEventComposer` (state + computeds), `useAgendaEventActions` (save/delete), `useAgendaEventLifecycle` (watchers + init), `useAgendaEventPickerBilling` (selectCommitment, paciente picker), `agendaEventHelpers` (utils). Mexer aqui é seguro pelo coverage de **301 specs**.
+1. **Botão "Cadastrar" do procedimento navegava pra `/pages/notfound`**
+   - Root cause: `goToConveniosConfig` em `AgendaEventDialog.vue` prefixava com `/therapist` ou `/admin`, mas `/configuracoes/*` é rota **raiz** sob `AppLayout` (sibling, não filho). Em Melissa, convênios mora dentro do próprio layout via `secao: 'cfg-convenios'` (sem URL própria).
+   - Fix descartado: o user não queria sair da agenda. Em vez disso, criamos um quick-create inline (ver #2). `goToConveniosConfig` foi removida (dead code virou armadilha).
 
-### Slug `/melissa/paciente?id=<uuid>`
-Registrado em `MelissaLayout.vue` SECOES + adicionado a `MELISSA_NON_CONFIG_SLUGS`. ID vem via query param. Funciona pra deep-link.
+2. **Quick-create de procedimento inline (sem sair da agenda)**
+   - Novo componente `InsurancePlanServiceQuickCreateDialog.vue` (modelo do `InsurancePlanQuickCreateDialog`). 2 campos: nome do procedimento + valor que o convênio paga. Insere em `insurance_plan_services` pro `insurance_plan_id` ativo.
+   - Wiring em `useAgendaEventLifecycle.js`: novo `planServiceQuickDlgOpen` + `openPlanServiceQuickCreate()` + `onPlanServiceCreated(service)`. Após criar, recarrega `loadInsurancePlans` e **auto-seleciona** o novo procedimento **só quando nada estava selecionado antes** (preserva escolha quando user já tinha selecionado X e está só cadastrando Y pra próxima).
+   - UI refatorada (`AgendaEventDialog.vue:3110+`): a caixa cinza com botão "Cadastrar" agora aparece **sempre** que um convênio está selecionado. Quando 0 procedimentos: **"Este convênio ainda não tem procedimentos cadastrados."** Quando 1+: **"Se quiser adicionar mais procedimentos a este convênio:"**.
+   - `planServiceQuickDlgOpen` adicionado ao `anyChildDialogOpen` pra esconder o Resumo flutuante enquanto o quick-create está aberto.
+
+3. **Botão "+ Novo convênio" faltando em `/melissa/cfg-convenios` (e na rota canônica também)**
+   - Root cause: `ConfiguracoesConveniosPage.vue` tinha o form de "Novo convênio" condicionado a `addingNew === true`, mas **nenhum botão setava esse flag**. Empty state mandava "Clique em 'Novo convênio'" sem botão pra clicar.
+   - Fix: toolbar simples no topo do template `<template v-else>` com `<Button label="Novo convênio" icon="pi pi-plus" @click="addingNew = true">`. Empty state corrigida pra apontar pro botão certo.
+
+### Hint contextual abaixo do card Sessão / Honorários
+
+- User pediu mensagem clarificando que "Nº da guia" é opcional em convênio.
+- **Tentativa 1 (errou o lugar):** coloquei o hint em `AgendaEventDialog.vue:1826` dentro do bloco `v-if="occurrenceMode"` (só edita ocorrência em Rail/Clínica). User não viu.
+- **Tentativa 2 (correta):** adicionado em `AgendaEventDialog.vue:2305+` (fluxo principal Melissa, fora do occurrenceMode). Mantive a tentativa 1 também — não atrapalha, só ativa em outro contexto.
+- Texto: convênio = **"Nº da guia é opcional — você pode salvar a sessão e preencher depois, quando o convênio responder."** Gratuito = **"Sessão gratuita — nenhum lançamento será gerado no Financeiro."** Particular = sem hint (não há ambiguidade).
+- Condição: `isSessionEvent && !occFinancialRecord && billingType === 'convenio'|'gratuito'`. Esconde quando há cobrança paga/pendente (lock-edit) — Message do panel já cobre.
+- CSS: `.aed-billing-hint` em `AgendaEventDialog.vue:3558+` — barra esquerda primary, fundo neutro leve, fonte 0.78rem.
+- Label do "Nº da Guia" no service-picker dialog também ganhou **(opcional)**.
 
 ---
 
-## 🛠️ Comandos úteis
+## 📦 O que foi feito antes (16/05 noite/madrugada)
 
-```bash
-# Specs do agenda (regression check pro AgendaEventDialog)
-npx vitest run src/features/agenda/composables/__tests__
+### Cenário 1 (Bloqueio) ✅
 
-# Lint só dos arquivos do MelissaPaciente
-npx eslint src/layout/melissa/MelissaPaciente.vue src/features/patients/composables/usePatient*.js src/features/patients/utils/patientFormatters.js
+1. **Fix `bloqueioCobrindo is not defined`** — função estava no escopo de `useMelissaAgenda` mas `onSelectTime` mora no `_buildHandlers` (outro escopo). Passada via `deps`. Mesmo padrão que `_openStatusDialog`.
+2. **Soft warn dentro do dialog** em vez de toast atrás do overlay — novo ref `dialogBlockOverlap` no composable + nova prop `blockOverlapWarning` no `AgendaEventDialog` + Message warn no topo do step 1. Reset nos outros openers (`onCreateEvento`, `onCreateEventoForPatient`, `onEditEvento`).
+3. **Doc HTML Cenário 1 expandido** em 1a (criar bloqueio) + 1b (agendar sobre bloqueio), com mock visual da Message + comparação com agendador público (que veta).
 
-# Testar visualmente
-npm run dev
-# → http://localhost:5173/melissa/paciente?id=<uuid-real-de-paciente>
-```
+### Cenário 2 (Avulsa sem cobrança) ✅
+
+4. **Fonte da hint chargeMode** subiu de `0.72rem` → `0.8125rem` (acima de `text-xs`).
+5. **Card Frequência avulsa** refeito — antes era empty state convidando configurar; agora renderiza com `.aed-pay-summary` (mesma estrutura do estado configurado: "Tipo: Avulsa · Sessão única, sem repetição" + botão Editar).
+6. Doc HTML Cenário 2 atualizado.
+
+### Cenário 3 (Avulsa cobrar ao salvar) ✅
+
+7. **Refactor payment: `paymentSettlement` → `paymentMethod` + `markPaidNow`**
+   - UI antiga misturava método e status num único Select ("Já recebi — PIX").
+   - Agora 2 controles: Select forma (Enviar link / PIX / Dinheiro / Depósito / Cartão maquininha — SEM prefixo "Já recebi —") + SelectButton status (Cobrança pendente / Já recebi (dar baixa)).
+   - SelectButton só aparece quando método ≠ link (Asaas só liquida via webhook).
+   - Watcher força `markPaidNow=false` se voltar pra 'link'.
+   - Wire: AgendaEventDialog → useAgendaEventActions → useMelissaAgenda (handler avulsa + `_createPackageContract`).
+8. **Indicadores visuais de pagamento** (novidade da sessão):
+   - Bulk-load de `financial_records` em `_reloadRange` etapa 4 (1 query única, mapa eventId → 'paid' | 'pending' | 'none').
+   - `normalizeForMelissa` agora injeta `paymentState` + `price` no evento.
+   - **Badge $ no canto** dos eventos da agenda — círculo amber 16px no canto superior direito. Só pra sessão + paciente + não-virtual + paymentState !== 'paid'.
+   - **Linha "A receber"** no popover (`MelissaEventoPanel`) — texto adaptativo: "A receber R$ X (cobrança pendente)" se pending, "A cobrar R$ X" se none, "Cobrança ainda não gerada" se sem valor.
+9. **🐛 Bug fix `pickDbFields` faltando `modalidade`** — sessões avulsas eram salvas sem modalidade, DB caía no default 'presencial' independente da escolha. Adicionado ao whitelist em `useMelissaAgenda.js:74`. **TODAS as sessões avulsas criadas no Melissa antes desse fix estão como 'presencial' no DB** — pode precisar rodar UPDATE manual no banco se quiser corrigir histórico. Gotcha salvo em `memory/project_pickdbfields_whitelist.md`.
+10. **Doc HTML atualizada amplamente**:
+    - Nova seção topo `★ Indicadores visuais de pagamento` com mocks (badge $ + linha popover) e link em violeta no TOC.
+    - Caixa violeta "Indicadores visuais" em cada cenário relevante (C2-C9).
+    - C4 ganhou caixa verde "estado-alvo" (sem badge, sem linha — pago).
+    - Receita do C3 e C4 atualizadas com os 3 controles (Cobrança ao salvar / Forma de pagamento / Status do pagamento) e opções limpas (sem prefixo "Já recebi —").
 
 ---
 
-## ▶️ Próxima sessão — onde retomar
+## 🧭 Onde estamos no plano de 9 fases
 
-1. **Ler primeiro**: este HANDOFF.md (você já está nele)
-2. **Aguardar feedback do user** sobre ajustes específicos no dialog Nova Sessão (mencionou que tem mais alguma coisa)
-3. **Possíveis frentes**:
-   - Polish do dialog Nova Sessão pós-feedback
-   - Port do TherapistDashboard pra remover dependência do PatientProntuario legacy
-   - Schema clínico (anamnese/evolução) pra Tab Prontuário sair do MVP
-4. **Antes de mexer em `AgendaEventDialog`**: rodar `npx vitest run src/features/agenda/composables/__tests__` (301 specs) pra confirmar baseline limpo
+| Fase | Status |
+|---|---|
+| **1** Compromisso SEM paciente | ✅ |
+| **2** Compromisso COM paciente | ✅ testado (C1-C3 done) |
+| **3** Recorrência + replicar occurrenceMode Rail/Clínica | ⏳ |
+| **4** Modo disparo cobrança híbrido | ⚠️ parcial |
+| **5** Status change → confirm dialog | 🔄 Melissa codado + indicadores visuais done; falta testar (C10-C12) + replicar Rail/Clínica |
+| **6** Edit cobrada | ✅ |
+| **7** Pagamento separado | ⏳ |
+| **8** Refund/credit note | ⏳ |
+| **9** Plano Inicial | 📋 |
 
-Boa sessão!
+---
+
+## 📋 Roteiro de testes restantes (`src/docs/agenda-compromisso-financeiro-cenarios.html`)
+
+| # | Cenário | Status |
+|---|---|---|
+| 1 | Bloqueio (criar + agendar sobre) | ✅ |
+| 2 | Avulsa sem cobrança | ✅ |
+| 3 | Avulsa cobrar ao salvar | ✅ |
+| 4 | Avulsa "já recebi" no salvar | ✅ |
+| 5 | Avulsa convênio (Sándor + Unimed) | ✅ |
+| 6 | Recorrente sem pacote (Maria Magali / Anna Freud) | ✅ |
+| 7 | Pacote upfront (Ana Souza Ferreira 4 × R$ 200) | ✅ |
+| 8 | Pacote saldo (Otávio 12 × R$ 50) | ✅ |
+| 9 | 1 por sessão (Michael Balint 12 × R$ 150) | ✅ |
+| **10** | **Status change avulsa (realizado/faltou/cancelado)** | 🔴 **PRÓXIMO** |
+| 10 | Status change avulsa (realizado/faltou/cancelado) | ⏳ |
+| 11 | Status change pacote saldo | ⏳ |
+| 12 | Antecipar pagamento (Carl Jung) | ⏳ |
+| 13 | Edit cobrada | ⏳ (parcialmente — lock ativo em Melissa pós-19/05 noite) |
+
+---
+
+## 📋 Como retomar amanhã (cego)
+
+1. `git status` — confirmar working tree intacto
+2. **Ler HANDOFF até o fim**
+3. Abrir `src/docs/agenda-compromisso-financeiro-cenarios.html` no browser pra ver o estado atual do doc viva
+4. **Começar pelo Cenário 4** (Joyce, "Já recebi (dar baixa)")
+5. Cada cenário que passar:
+   - Atualizar status pra ✅ aqui no HANDOFF
+   - Se descobrir bug ou texto divergente, corrigir código + doc na hora
+6. Quando todos os 13 passarem: replicar em **Rail** e **Clínica**
+7. Adicionar `professional_cancellation` no `STATUS_TO_EXCEPTION`
+8. Marcar Fase 5 como ✅
+9. Decidir Fase 4 (modo disparo cobrança híbrido) OU Fase 3 (replicar occurrenceMode)
+
+---
+
+## 🚨 Pendência IMPORTANTE — não esquecer
+
+**Pós-Fase 9** (quando concluirmos TODAS as fases 1-9):
+- User vai passar prompt específico pra criar **documentação completa da parte de ajuda** do sistema
+- Está em `memory/project_pendencia_doc_ajuda.md`
+- O doc `agenda-compromisso-financeiro-cenarios.html` já está sendo escrito de forma que vira a doc final pra usuário (cada teste validado vira parte da doc)
+
+**Histórico modalidade='presencial' no DB:**
+- Bug do `pickDbFields` afetou TODAS as sessões avulsas criadas no Melissa até 16/05/2026
+- Se quiser corrigir histórico, rodar UPDATE manual identificando sessões cuja modalidade visual era online (não há como saber retroativamente — perdido)
+- Going forward o fix já cobre
+
+---
+
+## ⚠️ Gotchas duráveis (atualizados)
+
+- **`MelissaBloqueios.vue` admin ≠ `BloqueioDialog` (4 modos)** — casos distintos
+- **`agenda_excecoes` foi dropada** em 13/05
+- **`financial_records.type` undefined sem `type` no BASE_SELECT** — fix 14/05 cedo
+- **`financial_records.description` undefined sem `description` no BASE_SELECT** — fix 14/05 noite
+- **`handleStatusChange` em `useAgendaFinanceiro.js` está ÓRFÃO** — não reativar
+- **`_openStatusDialog` + `bloqueioCobrindo` + `dialogBlockOverlap`** declarados no `useMelissaAgenda` mas usados em `_buildHandlers` — passados via `deps`. **NÃO ESQUECER ao replicar em Rail/Clínica**
+- **`billing_contracts.charging_style`** distingue upfront/saldo/per_session
+- **Ocorrência virtual tem `id="rec::<rule>::<date>"`** — detectar via `typeof === 'string' && startsWith('rec::')` antes de query Supabase
+- **`chargeMode` default dinâmico:** `'session'` em avulsa, `'none'` em recorrente
+- **Toast atrás do overlay do dialog** — usar Message no topo do dialog em vez de toast quando contexto for dentro de dialog modal
+- **Cuidado com `pickDbFields` whitelist** — `useMelissaAgenda.js:74` descarta campos não listados silenciosamente. Sintoma: campo escolhido na UI mas DB tem valor default. Memória: `memory/project_pickdbfields_whitelist.md`
+- **`paymentSettlement` foi renomeado** em 16/05 — agora `paymentMethod` (string) + `markPaidNow` (bool). Handler aplica `payment_method` sempre, `status='paid'` só quando markPaidNow=true && method!='link'
+- **Bulk-load de paymentState em `_reloadRange` etapa 4** — 1 query única em `financial_records` mapeada por `agenda_evento_id`. Anota `paymentState` no normalize. Badge na agenda + linha popover lêem daqui
+
+---
+
+## 🧠 Decisões persistidas (memory/)
+
+**Indicadores visuais (16/05):**
+- Badge $ no canto: só sessão + paciente + não-virtual + !paid
+- Linha popover: 3 textos (a receber pending / a cobrar none / cobrança não gerada)
+- Bulk-load 1x por _reloadRange, não query por evento
+- Ocorrências virtuais sempre paymentState='none' (cobertas por contrato)
+
+**Payment refactor (16/05):**
+- Separar método (forma) de status (já pago?) — controles independentes na UI
+- Método 'link' (Asaas) força markPaidNow=false (gateway externo)
+- Wire format: `arg.paymentMethod` + `arg.markPaidNow` (no lugar de `arg.paymentSettlement`)
+
+**Bugs evitar repetir:**
+- Sempre adicionar campo novo ao `pickDbFields.allowed` quando adicionar coluna em agenda_eventos
+- Sempre adicionar campo novo ao `BASE_SELECT` quando query custom
+- Detectar `is_occurrence` ou `rec::` antes de query por UUID
+- Refs/funções do composable principal NÃO ficam acessíveis em `_buildHandlers` — passar via `deps`
+- Toast dentro de dialog modal fica atrás do overlay — usar Message

Obsidian/Brain/wiki/agenda-billing-pesquisa-mercado.md

@@ -0,0 +1,228 @@
+---
+title: Pesquisa de mercado — fluxo de compromisso e cobrança
+date: 2026-05-13
+status: levantamento
+players: Cliniko, SimplePractice, TherapyNotes
+---
+
+## Contexto do produto
+
+SaaS BR pra clínicas de psicologia, multi-tenant. Agenda + paciente + recorrência já funcionando. Invariante "cobrança emitida é imutável pelo dialog da agenda" já implementada (padrão SimplePractice). Auditando fase-a-fase o fluxo antes de fechar gaps. Restrições fiscais BR: PIX, NFS-e, LGPD.
+
+Cross-links: [[recorrencia-agenda]], [[index]]
+
+---
+
+## 1. Criação de compromisso SEM paciente
+
+### Cliniko
+- **Default:** existe entidade dedicada chamada **Unavailable block**. Não é appointment — não interfere em relatórios clínicos. Funciona como bloqueio puro de calendário (almoço, reunião, férias, manutenção).
+- **Admin pode:** criar **Unavailable block types** customizados (nome, duração default, cor). Aceita arquivamento individual ("Archive" remove o bloco).
+- **Fonte:** [Scheduling time off](https://help.cliniko.com/en/articles/1023892-scheduling-time-off), [Changing Your Calendar to Time Blocks](https://help.cliniko.com/en/articles/1024048-changing-your-calendar-to-time-blocks).
+
+### SimplePractice
+- **Default:** duas entidades distintas — **Calendar event** (cinza escuro, para reunião, supervisão, tempo pessoal) e **Out of office (OOO) block** (cinza claro, para indisponibilidade que deve bloquear request de agendamento). Calendar events também podem ser recorrentes.
+- **Admin pode:** marcar evento como recorrente; OOO bloqueia automaticamente o widget de pedidos de horário online.
+- **Fonte:** [Creating a calendar event](https://support.simplepractice.com/hc/en-us/articles/41930878513933-Creating-a-calendar-event), [Managing out of office blocks](https://support.simplepractice.com/hc/en-us/articles/41931023345165-Managing-out-of-office-blocks).
+
+### TherapyNotes
+- **Default:** dois tipos — **Scheduled Event** (atividade não-clínica: reunião, supervisão, treinamento; aparece no calendário do clínico) e **Unavailable** (vetar agendamento de pacientes em horários específicos: férias, almoço, compromisso pessoal). Ambos suportam descrição, duração e recorrência sem vincular paciente.
+- **Admin pode:** decidir clínico-alvo, frequência (one-time ou recurring), texto livre.
+- **Fonte:** [Schedule Non-Clinical Events](https://support.therapynotes.com/hc/en-us/articles/30661451456667-Schedule-Non-Clinical-Events), [Quick Start: Scheduling](https://support.therapynotes.com/hc/en-us/articles/30661279632539-Quick-Start-Scheduling).
+
+**Convergência:** os 3 têm entidade não-clínica separada de "appointment" — nunca usam appointment-sem-paciente como hack.
+
+---
+
+## 2. Criação de compromisso COM paciente
+
+### Cliniko
+- **Default:** appointment exige paciente + appointment type + data/hora + practitioner. Paciente pode ser criado on-the-fly direto do dialog do appointment com apenas nome (descrição/categoria são opcionais).
+- **Admin pode:** definir custom patient fields opcionais; appointment type carrega billable items default associados.
+- **Fonte:** [Booking an appointment](https://help.cliniko.com/en/articles/1024061-booking-an-appointment), [Set up appointment types](https://help.cliniko.com/en/articles/1023911-set-up-appointment-types).
+
+### SimplePractice
+- **Default:** appointment exige cliente. Existe entidade intermediária chamada **Prospective client / Inquiry** — perfil parcial usado pra leads vindos de contact form ou pedido online. Pode-se enviar intake antes mesmo de aceitar o appointment (perfil definitivo só nasce ao aceitar).
+- **Admin pode:** mandar link de agendamento; criar task de follow-up; enviar intake; rodar prescreener; converter inquiry em client.
+- **Fonte:** [Managing prospective clients on the Inquiries page](https://support.simplepractice.com/hc/en-us/articles/33726366744589-Managing-prospective-clients-on-the-Inquiries-page), [Adding a new client](https://support.simplepractice.com/hc/en-us/articles/12416306860429-Adding-a-new-client-and-navigating-your-Clients-and-contacts-list).
+
+### TherapyNotes
+- **Default:** appointment clínico exige client + clinician + appointment type + date. Cliente novo precisa pelo menos de **last name**; demais campos (DOB, endereço, e-mail, sexo administrativo, HIPAA acknowledgment) só viram obrigatórios quando se vai submeter claim de plano ou ativar portal.
+- **Admin pode:** liberar last-name-only para um "stub client" que recebe billable items mas não é submetível a plano até completar cadastro.
+- **Fonte:** [Add a New Client](https://support.therapynotes.com/hc/en-us/articles/30661347776539-Add-a-New-Client), [Schedule a Clinical Appointment](https://support.therapynotes.com/hc/en-us/articles/30661407698203-Schedule-a-Clinical-Appointment).
+
+**Convergência:** todos aceitam appointment com cadastro de paciente mínimo. SimplePractice é o único com camada formal de "lead" pré-prontuário.
+
+---
+
+## 3. Cobrança / fatura — quando é gerada?
+
+### Cliniko
+- **Default:** invoice é **explicitamente criada** pelo usuário a partir do appointment (botão "Create invoice" no card do compromisso). Não há geração automática no agendamento.
+- **Admin pode:** vincular billable items / produtos a um appointment type, então o "Create invoice" já vem populado. Em fluxo de pagamento online, a invoice é gerada e marcada como paga automaticamente no momento do pagamento confirmando o appointment.
+- **Fonte:** [Create an invoice](https://help.cliniko.com/en/articles/1023907-create-an-invoice), [Relate billable items and products to an appointment type](https://help.cliniko.com/en/articles/1023847-relate-billable-items-and-products-to-an-appointment-type).
+
+### SimplePractice
+- **Default:** geração **automática**, configurável globalmente entre Daily (overnight, à meia-noite do timezone da prática), Monthly ou Manual. Status do appointment determina se vira invoice: apenas appointments com status **Show**, **Late canceled** ou **No show** geram invoice automaticamente.
+- **Admin pode:** escolher daily/monthly/manual em Settings → Client billing → Client billing documents. Recomendação oficial: Daily quando cobra na hora da sessão; Monthly quando fecha o mês.
+- **Fonte:** [Setting up your billing and automations](https://support.simplepractice.com/hc/en-us/articles/207925643-Setting-up-your-billing-and-automations), [Managing appointment statuses and billing](https://support.simplepractice.com/hc/en-us/articles/360018410872-Managing-appointment-statuses-and-billing), [Best practices for time-of-session billing](https://support.simplepractice.com/hc/en-us/articles/115000837406-Best-practices-for-time-of-session-billing).
+
+### TherapyNotes
+- **Default:** billing line item é gerado **quando a nota da sessão é completada e assinada** pelo clínico. Cada appointment tem aba Billing acessível direto do dialog, mas o disparo de claim/invoice depende de note signed.
+- **Admin pode:** configurar default billing method por payer; o To-Do list cria o lembrete pra submeter claim ou gerar CMS-1500 assim que a nota é assinada.
+- **Fonte:** [Billing Overview](https://support.therapynotes.com/hc/en-us/articles/30661437130139-Billing-Overview), [Submit Electronic Claims](https://support.therapynotes.com/hc/en-us/articles/30661415430811-Submit-Electronic-Claims), [Quick Start: Billing](https://support.therapynotes.com/hc/en-us/articles/30661397280155-Quick-Start-Billing).
+
+**Convergência:** ninguém cobra no momento de criar o appointment (futuro). Cliniko = manual sob demanda. SimplePractice = automático pós-sessão (status driven). TherapyNotes = automático pós-assinatura de nota (clinical-doc driven).
+
+---
+
+## 4. Recorrência (séries) — billing
+
+### Cliniko
+- **Default:** repeating appointment (daily/weekly/fortnightly/monthly). Cada ocorrência é **appointment independente**; invoice continua sendo manual por ocorrência. Pra pacotes, recomenda usar **patient cases + account credit**: cobra o pacote inteiro upfront, o crédito fica no perfil do paciente e é consumido por cada invoice subsequente.
+- **Admin pode:** decidir entre invoice-por-sessão (manual ou via pagamento online) ou pacote upfront via account credit.
+- **Fonte:** [Book repeating appointments](https://help.cliniko.com/en/articles/1777286-book-repeating-appointments), [Tracking packages with patient cases and account credit](https://help.cliniko.com/en/articles/6477363-tracking-packages-with-patient-cases-and-account-credit).
+
+### SimplePractice
+- **Default:** série de até 100 ocorrências, recorrência semanal/mensal/anual. Cada ocorrência é independente para billing — invoice é criada na ocorrência conforme regra global daily/monthly. Editar uma ocorrência pergunta "just this one" ou "all in series". Ao deletar série inteira incluindo passado, **passa por cima** de ocorrências sem nota ou invoice anexada; ocorrências com invoice/nota são preservadas.
+- **Admin pode:** ajustar fee de ocorrência já faturada via **fee adjustment invoice** (novo doc que ajusta o saldo, não toca a invoice original — esse é exatamente o padrão "cobrança emitida imutável" já adotado no projeto).
+- **Fonte:** [Managing recurring appointments](https://support.simplepractice.com/hc/en-us/articles/41930568779021-Managing-recurring-appointments), [Creating invoices](https://support.simplepractice.com/hc/en-us/articles/207925663-Creating-invoices).
+
+### TherapyNotes
+- **Default:** recurring appointments indefinidos ou com data-fim. Cada ocorrência tem nota e billing independentes — billing line item nasce com a assinatura de cada nota individualmente.
+- **Admin pode:** cancelar "só esta" ou "todas futuras" da série; alertas podem ser anexados à série inteira.
+- **Fonte:** [Quick Start: Scheduling](https://support.therapynotes.com/hc/en-us/articles/30661279632539-Quick-Start-Scheduling).
+
+**Convergência:** os 3 tratam ocorrência como unidade de billing. Pacote upfront é exceção (Cliniko via account credit). Nenhum gera "fatura única da série".
+
+---
+
+## 5. No-show / cancelamento tardio
+
+### Cliniko
+- **Default:** plataforma não impõe fee; fornece ferramenta — terms of use no online booking + janela mínima de cancelamento (lock). Se paciente pagou full upfront online, ele **não consegue** cancelar pelo link; deposit parcial libera cancelamento.
+- **Admin pode:** configurar minimum notice (várias opções entre "sem restrição" e "vários dias"); redigir política nos terms of use; aplicar fee manualmente via invoice.
+- **Fonte:** [Restrict when a patient can cancel an appointment](https://help.cliniko.com/en/articles/1150562-restrict-when-a-patient-can-cancel-an-appointment), [Let patients cancel their appointments](https://help.cliniko.com/en/articles/1023945-let-patients-cancel-their-appointments).
+
+### SimplePractice
+- **Default:** statuses formais — **No show** e **Late canceled** (ambos billable, ambos geram invoice como qualquer Show quando auto-billing está ativo). Cancelamento dentro da janela permitida vira status não-billable.
+- **Admin pode:** definir janela (24h ou 48h são presets) em Settings; statuses vão pra Client billing summary; appointments late-canceled aparecem em vermelho no calendário.
+- **Fonte:** [Setting up your practice's cancellation policy](https://support.simplepractice.com/hc/en-us/articles/360046771271-Setting-up-your-practice-s-cancellation-policy), [Managing appointment statuses and billing](https://support.simplepractice.com/hc/en-us/articles/360018410872-Managing-appointment-statuses-and-billing).
+
+### TherapyNotes
+- **Default:** **Missed Appointment Note** dedicada — registra ausência e tem checkbox que automaticamente cria billing line item para fee de cancelamento. TherapyPortal mostra warning ao paciente quando ele tenta cancelar fora da janela.
+- **Admin pode:** habilitar/desabilitar criação automática de fee; configurar valor; texto da política aparece no portal.
+- **Fonte:** [Complete a Missed Appointment Note](https://support.therapynotes.com/hc/en-us/articles/30661183276315-Complete-a-Missed-Appointment-Note), [TherapyNotes 4.15 release notes](https://blog.therapynotes.com/version-4-15).
+
+**Convergência:** todos têm conceito de "cobrar pelo no-show". SimplePractice é o mais automatizado (status billable triggera invoice junto com os outros). TherapyNotes é o mais explícito (note dedicada + checkbox). Cliniko é o mais manual.
+
+---
+
+## 6. Reembolso / cancelamento de cobrança emitida
+
+### Cliniko
+- **Default:** invoice criada por engano pode ser **arquivada** (Archive button). **Número fiscal não retorna** — invoice 000001 arquivada não pode ser reemitida com o mesmo número. Reembolso real usa botão **Reverse** que cria credit note com itens negativos; usuário escolhe **Create credit & refund** (devolve dinheiro) ou **Create credit** (vira account credit). Para desfazer um refund, arquiva-se a credit note.
+- **Fonte:** [Archive an invoice](https://help.cliniko.com/en/articles/1359931-archive-an-invoice), [Recording refunds: an overview](https://help.cliniko.com/en/articles/4372587-recording-refunds-an-overview), [Undo a refund](https://help.cliniko.com/en/articles/4521200-undo-a-refund).
+
+### SimplePractice
+- **Default:** invoice paga **não deve ser deletada** (deletar quebra alocação de pagamento). Refund full ou parcial é fluxo separado. Pagamentos cash/check/external podem ser deletados se foram erro; pagamento online com cartão não pode ser deletado, só refunded. Para mudar fee de invoice já emitida, usa **fee adjustment invoice** (novo doc com diff).
+- **Fonte:** [Navigating client payments](https://support.simplepractice.com/hc/en-us/articles/8497757602957-Navigating-client-payments), [Managing unallocated client payments](https://support.simplepractice.com/hc/en-us/articles/42078634883469-Managing-unallocated-client-payments).
+
+### TherapyNotes
+- **Default:** **deletar pagamento ≠ refund** — deletar só remove o registro, não devolve dinheiro. Refund usa botão **Enter Refund** no Patient Accounting do tab Billing. Refund de payer (plano) tem opção dedicada que marca valor negativo automaticamente.
+- **Fonte:** [Edit, Delete and Refund Client Payments](https://support.therapynotes.com/hc/en-us/articles/30661497068443-Edit-Delete-and-Refund-Client-Payments).
+
+**Convergência:** os 3 distinguem "anular registro" de "estornar dinheiro". Os 3 preservam histórico fiscal (Cliniko via número não-reaproveitável + credit note; SimplePractice via fee adjustment; TherapyNotes via refund line item). Padrão "cobrança imutável" do projeto está alinhado com o estado da arte.
+
+---
+
+## Tabela comparativa 3 × 6
+
+| Etapa | Cliniko | SimplePractice | TherapyNotes |
+|---|---|---|---|
+| 1. Compromisso sem paciente | Unavailable block (tipos customizáveis) | Calendar event + OOO block (2 entidades) | Scheduled Event + Unavailable (2 tipos) |
+| 2. Compromisso com paciente | Quick-create paciente (nome basta) | Lead (Inquiry) → cliente formal | Last name basta; demais campos só pra claim |
+| 3. Quando gera cobrança | Manual via botão no appointment | Automático overnight (Daily/Monthly/Manual) condicionado a status billable | Quando nota da sessão é assinada |
+| 4. Recorrência billing | Ocorrência individual ou pacote upfront (account credit) | Série até 100; ocorrência individual; fee adjustment para edit pós-fatura | Ocorrência individual; billing nasce na assinatura de cada nota |
+| 5. No-show / late cancel | Política em terms of use; lock manual | Statuses billable (No show / Late canceled); janela 24h/48h | Missed Appointment Note com checkbox auto-fee |
+| 6. Refund / cancel cobrança | Archive + Reverse → credit note | Não deletar invoice paga; fee adjustment + refund | Enter Refund (delete ≠ refund) |
+
+---
+
+## Consenso de mercado
+
+1. **Bloqueio de tempo é entidade própria**, separada de appointment. Nunca um appointment "sem paciente".
+2. **Cadastro mínimo de paciente** (1 campo) é aceito; campos pesados só ficam obrigatórios na hora de cobrar plano ou ativar portal.
+3. **Recorrência cria ocorrências independentes** para billing; nenhum gera "fatura única da série".
+4. **Edit de uma ocorrência pergunta "esta / todas / futuras"** — padrão consagrado.
+5. **Cobrança nunca é gerada na criação do appointment futuro** — sempre depois (sessão, status, nota, ou trigger manual).
+6. **Cobrança emitida é imutável**; ajustes vêm via documento novo (credit note, fee adjustment invoice, refund line item). Validação direta do invariante do projeto.
+7. **Deletar pagamento ≠ reembolsar dinheiro** — distinção explícita nos 3.
+8. **Janela de cancelamento configurável + política em texto livre** é o mínimo.
+
+## Divergência
+
+- **Quem aciona a cobrança:** Cliniko = humano clica. SimplePractice = job overnight via status. TherapyNotes = assinatura de nota clínica. Três paradigmas distintos.
+- **Lead / prospect:** SimplePractice tem entidade formal (Inquiry). Cliniko e TherapyNotes esperam o paciente já ter perfil mínimo.
+- **No-show fee:** SimplePractice = mais automatizado (status billable). TherapyNotes = mais auditável (note dedicada). Cliniko = mais manual.
+- **Pacote upfront:** Cliniko documenta explicitamente via account credit. SimplePractice/TherapyNotes não têm pacote nativo — cobram ocorrência a ocorrência.
+- **Reaproveitamento de número de invoice arquivada:** Cliniko proíbe (alinhado com fiscal BR via NFS-e). Outros não documentam regra equivalente.
+
+---
+
+## Perguntas-chave pro produto decidir
+
+1. **O que dispara a cobrança no fluxo padrão?**
+   a) Manual (humano clica) — máxima auditabilidade, exige disciplina (Cliniko).
+   b) Job automático com base em status do appointment (SimplePractice) — pouco atrito, dependente de status estar correto.
+   c) Assinatura de nota da sessão (TherapyNotes) — vincula clínica e financeira, atrasa cobrança se nota demora.
+   **Trade-off:** quanto mais automático, menos atrito mas mais risco de cobrança errada; quanto mais manual, mais fricção mas auditoria perfeita.
+
+2. **Devemos ter conceito formal de "lead/contato" antes de prontuário?**
+   a) Sim — entidade Inquiry separada com pipeline (modelo SimplePractice).
+   b) Não — paciente nasce na quick-create do agendamento com nome só (modelo Cliniko/TherapyNotes).
+   **Trade-off:** Inquiry casa com funil comercial mas duplica entidade; quick-create é simples mas dificulta funil de pré-vendas.
+
+3. **Recorrência cobra cada ocorrência ou suporta pacote upfront?**
+   a) Só ocorrência individual (SimplePractice/TherapyNotes).
+   b) Suporta também pacote upfront com saldo (Cliniko via patient case + account credit).
+   **Trade-off:** pacote upfront atende prática que vende "10 sessões antecipado"; ocorrência-a-ocorrência casa direto com NFS-e brasileira (1 nota por serviço).
+
+4. **No-show vira invoice automática ou exige ação manual?**
+   a) Automático — status "No show" / "Late canceled" entram no auto-billing como Show (SimplePractice).
+   b) Semi — note dedicada com checkbox que controla geração (TherapyNotes).
+   c) Manual — admin cria invoice de no-show à mão (Cliniko).
+   **Trade-off:** automático reduz perda mas pode constranger paciente sem revisão; manual exige rotina disciplinada.
+
+5. **Edição de uma ocorrência de série recorrente: o que faz com cobrança já emitida?**
+   a) Bloqueia edição (invariante atual — alinhado com SimplePractice "fee adjustment invoice" preservando original).
+   b) Permite edição com nova cobrança suplementar (delta).
+   c) Permite edição e refaz a cobrança (cancela + recria).
+   **Trade-off:** opção a é a mais defensável fiscalmente (NFS-e já transmitida não pode ser silenciosamente mutada); b atende UX; c é perigoso mas familiar.
+
+6. **Janela de cancelamento: presets ou livre?**
+   a) Presets (24h / 48h) com texto da política livre (SimplePractice).
+   b) Configuração granular por appointment type (Cliniko).
+   c) Cliente final só vê warning, sem lock (TherapyNotes).
+   **Trade-off:** presets cobrem 90% dos casos; granular casa com clínica que tem terapia de grupo + casal + individual com janelas diferentes.
+
+7. **Reembolso preserva o documento fiscal original?**
+   a) Sim, sempre — credit note nova, número fiscal original nunca volta (Cliniko + alinhado com NFS-e brasileira: cancelamento ≠ deletar).
+   b) Sim, mas via fee adjustment que não toca a invoice (SimplePractice).
+   c) Sim, refund é line item separado (TherapyNotes).
+   **Trade-off:** modelo brasileiro de NFS-e exige (a) ou (c); SimplePractice (b) só funciona em mercados sem NF transmitida por API.
+
+8. **Pagamento via PIX (e cartão online) confirma e marca invoice paga automaticamente?**
+   a) Sim — pagamento confirmado dispara appointment confirmado + invoice paga (Cliniko online payment).
+   b) Pagamento é entidade separada que pode ser alocada/desalocada (SimplePractice).
+   **Trade-off:** auto-confirm é UX premium mas exige tolerância a falhas de webhook do PSP; pagamento desalocado é seguro mas exige conciliação.
+
+---
+
+## Implicações imediatas pro projeto
+
+- O invariante "cobrança emitida é imutável" já implementado é consenso de mercado — manter.
+- "Compromisso sem paciente" precisa virar entidade própria (block/event), não um appointment com paciente null. Ver [[recorrencia-agenda]] para integração com expansão de série.
+- Recorrência por ocorrência individual é o caminho seguro (cabe em NFS-e). Pacote upfront fica para fase 2.
+- Disparo de cobrança: avaliar híbrido SimplePractice (status-driven) + TherapyNotes (note-signed), com fallback manual estilo Cliniko.
+- Perguntas 1, 4, 5, 7, 8 são pré-requisito pra fechar o gap atual de billing antes de F1 de fiscal.

Obsidian/Brain/wiki/agenda-compromisso-fluxo.md

@@ -0,0 +1,216 @@
+---
+title: Plano de auditoria fase-a-fase — fluxo de compromisso da agenda
+date: 2026-05-13
+status: em-andamento
+related: [[agenda-billing-pesquisa-mercado]], [[recorrencia-agenda]]
+---
+
+## Contexto
+
+Auditoria do ciclo completo de compromisso da agenda, fase-a-fase, validando cada etapa contra a [[agenda-billing-pesquisa-mercado|pesquisa de mercado]] (Cliniko / SimplePractice / TherapyNotes). Cada fase tem 3 entregas: **auditar o que existe**, **decidir o gap**, **codar**.
+
+## Decisões já tomadas (5 das 8 perguntas)
+
+| # | Decisão |
+|---|---|
+| 1 | Disparo de cobrança: **híbrido configurável** (manual / status-driven / note-signed) |
+| 4 | No-show: **semi-automático via dialog de confirmação** ao mudar status |
+| 5 | Edit de cobrada: **bloqueia** (já implementado) |
+| 7 | Refund: **credit note nova** (alinhado NFS-e) |
+| 8 | Pagamento: **entidade separada** de financial_records |
+
+Pendentes: #2 (lead/Inquiry), #3 (pacote upfront), #6 (janela de cancelamento — provavelmente já resolvido por `min_hours_notice` em `financial_exceptions`).
+
+---
+
+## Plano de 8 fases
+
+Ordem por dependência ("o que destrava o quê") e por estado atual.
+
+### ✅ Fase 1 — Compromisso SEM paciente (bloqueio/feriado/exceção) — **CONCLUÍDA 2026-05-13**
+
+**Auditoria fez:**
+- ✅ `agenda_excecoes` é tabela órfã (0 referências em src/) — apesar de schema, policies, trigger e enums existentes
+- ✅ `agenda_bloqueios` é a entidade canônica usada pelos 3 layouts
+- ✅ `BloqueioDialog` (4 modos: horário/período/dia/feriados) é compartilhado por Melissa Agenda (via `MelissaLayout.vue:2186`), Rail e Clínica
+- ✅ `MelissaBloqueios.vue` tem form inline próprio pra **admin/edit** (caso de uso legítimo distinto do dialog de 4 modos)
+- ✅ Bloqueios não eram renderizados no FullCalendar — apenas impediam criação. UX inconsistente vs pausas/feriados que aparecem como background events
+- ⚠️ Tipos customizáveis de bloqueio: descartado no MVP (sem cliente real)
+- ⚠️ Robustez de `marcarSessoesParaRemarcar`: adiado pra Fase 5 (status change)
+
+**Aplicado:**
+1. Migration `20260513000001_drop_agenda_excecoes.sql` — dropa tabela + 2 enums + trigger; policies caem com CASCADE
+2. `agendaMappers.js`: nova função `buildBloqueioBackgroundEvents(bloqueios, rangeStart, rangeEnd)` — renderiza bloqueios como background events cinza (`#6b728033`), suporta dia-inteiro, com hora, e recorrente semanal
+3. Novo composable `useAgendaBloqueios.js` — load por owner único OU array (multi-owner pra Clínica), `buildEventsForRange` reutilizável
+4. Wire em `useMelissaAgenda` + `MelissaAgenda.vue` — bloqueios concatenados ao `fcEvents`
+5. Wire em `AgendaTerapeutaPage` — bloqueios concatenados ao `calendarEvents`
+6. Wire em `AgendaClinicaPage` — bloqueios consolidados de todos os ownerIds
+7. Refs stale removidas de `database-novo/docs/schema_map.md` e `database-novo/db.config.json`
+
+**Verificação:**
+- ESLint nos arquivos modificados: 0 errors novos (11 pré-existentes em código não-tocado)
+- Vitest `agendaMappers.spec.js`: 40/40 tests passed
+- ⚠️ **Falta rodar a migration no banco local** (pendente de execução manual; arquivo SQL pronto)
+- ⚠️ **Falta validar visualmente** nos 3 layouts (Melissa/Rail/Clínica) — verificar que bloqueios aparecem em cinza após criar pelo BloqueioDialog
+
+---
+
+### 🟢 Fase 2 — Compromisso COM paciente
+**Estado:** dialog refatorado em 11/05 (cards 40px, picker DataTable, 50/50 layout, 3 estados Sessão/Honorários, conceito Pacote, resumo flutuante). Working tree.
+
+**Auditar:**
+- Fluxo de cadastro mínimo de paciente in-line (já existe via `PatientCadastroDialog` quick mode?)
+- Decidir #2 (Inquiry/lead separado ou só quick-create)
+- Modalidade presencial/online consistente
+
+**Gap potencial:**
+- Quick-create exige só nome ou mais campos? (Cliniko: só nome; TherapyNotes: só last name)
+- Decisão #2 (Inquiry/lead) — adiar pra v2 provável
+
+**Codar:** ajustes pequenos, principalmente UX. Provavelmente quase nada novo.
+
+---
+
+### 🟢 Fase 3 — Recorrência
+**Estado:** modelo "1 real + N-1 virtual" + `occurrenceMode` no 2º dialog estabilizado em 12/05. Ver [[recorrencia-agenda]].
+
+**Auditar:**
+- `occurrenceMode` já replicado em Melissa; falta Rail (`AgendaTerapeutaPage` L1630 + L3080) e Clínica (`AgendaClinicaPage` L1119 + L2398)
+- Decisão #3 (pacote upfront via account credit) — adiar provável
+
+**Codar:** replicar `occurrenceMode` em Rail/Clínica. Talvez add de pacote upfront (Cliniko model) numa fase futura.
+
+---
+
+### 🟠 Fase 4 — Cobrança: modo de disparo configurável (DECISÃO #1)
+**Estado:** Fase 1 atual ("Gerar cobrança ao salvar") existe como checkbox em criação avulsa+particular. Não tem setting de modo.
+
+**Auditar:**
+- Onde vive a config? Card novo em `/configuracoes/excecoes-financeiras` ou página irmã `/configuracoes/cobranca-defaults`?
+- Granularidade: por tenant (clínica), por owner (terapeuta), ou ambos com herança?
+
+**Gap:**
+- Tabela/coluna nova pra `charge_trigger_mode` enum (`manual` / `status_driven` / `note_signed`)
+- UI de config
+- Job overnight pra modo `status_driven` (Supabase edge function + cron)
+- Trigger no signature de nota pra `note_signed` (depende de modulo de notas; nao temos)
+- Checkbox atual da agenda passa a fazer sentido **só em modo manual** (ou vira override universal?)
+
+**Codar:**
+1. Migration: setting de modo (tenant_billing_settings ou colunas em agenda_configuracoes)
+2. UI de config
+3. Job pra modo status_driven (avaliar se entra na v1 ou v2)
+4. Refator do checkbox atual pra respeitar o modo
+
+---
+
+### 🟠 Fase 5 — Status change → cobrança com confirm dialog (DECISÃO #4)
+**Estado:** lógica automática roda em `useAgendaFinanceiro.handleStatusChange`. Consulta regra em `financial_exceptions`, cria/ajusta/cancela `financial_record` SEM perguntar.
+
+**Auditar:**
+- Quais status disparam: hoje só `faltou` e `cancelado` (mapping `STATUS_TO_EXCEPTION`)
+- `professional_cancellation` na tabela mas não no mapping
+- Onde `handleStatusChange` é chamado (quais entradas de status change disparam)
+
+**Gap:**
+- Confirm dialog ao mudar status pra `faltou` / `cancelado`: *"Aplicar cobrança de R$X conforme regra? [Sim / Não / Editar valor]"*
+- Adicionar `professional_cancellation` ao mapping (status atual da agenda inclui? checar)
+- Decidir: dialog aparece **sempre** ou só quando `charge_mode !== 'none'`
+
+**Codar:**
+1. Dialog componente novo (`AgendaStatusChargeConfirmDialog.vue`)
+2. Interceptar `handleStatusChange` antes da aplicação automática
+3. Adicionar `professional_cancellation` no mapping
+4. Toast diferenciado pra "aplicado/recusado/editado"
+
+---
+
+### 🟢 Fase 6 — Edit de cobrada (DECISÃO #5 — JÁ IMPLEMENTADO)
+**Estado:** `propagateToSerie` filtra por `financial_records` em status imutável. UI lock em `AgendaEventDialog` via `occFinancialRecord`. Working tree.
+
+**Auditar:** validar contra cenários reais (testar série com 4 sessões, 2 cobradas, 2 abertas; editar template; verificar que cobranças não mudam).
+
+**Codar:** zero (talvez add de aviso UX se faltar clareza).
+
+---
+
+### 🔴 Fase 7 — Pagamento como entidade separada (DECISÃO #8)
+**Estado:** hoje `financial_records.paid_at` marca pagamento (acoplado). Não tem entidade `payments` independente.
+
+**Auditar:**
+- Como financial_records.paid_at é usado hoje (queries de receita, dashboards, conciliação)
+- Webhook PSP existente? (provável que PIX e cartão sejam manuais hoje)
+
+**Gap:**
+- Migration: tabela `payments` (id, amount, method, paid_at, source, allocated_to_record_id NULL-able)
+- Alocação manual de pagamento "solto" a um financial_record
+- Pagamento parcial (1 payment cobre N records ou 1 record recebe N payments?)
+- Repo + composable + UI
+
+**Codar:** fase pesada — provavelmente sub-dividir.
+
+---
+
+### 🔴 Fase 8 — Reembolso / credit note (DECISÃO #7)
+**Estado:** hoje só tem `financial_records.status='cancelled'`. Não preserva original como doc fiscal.
+
+**Auditar:** processo fiscal atual (já emite NFS-e? quando? como cancela?)
+
+**Gap:**
+- Migration: tabela `credit_notes` (id, original_record_id, amount, reason, issued_at)
+- Constraint: credit note tem valor ≤ |original|
+- UI no Financeiro pra "Reembolsar"
+- Integração com NFS-e (pode ser separada)
+
+**Codar:** fase pesada — provavelmente sub-dividir.
+
+---
+
+### 🟣 Fase 9 — Plano Inicial (entrevista + N sessões regulares)
+**Estado:** apenas conceito; nada codado.
+
+**Pedido do user (2026-05-14):** clínica cobra **1 entrevista inicial** (valor X) + **4 sessões regulares** (valor Y cada). É o "plano de entrada" pra novos pacientes. User faz isso manualmente hoje na clínica dele.
+
+**Conceito:**
+- Config nas settings da agenda do tenant:
+  - Toggle "Habilitar plano inicial"
+  - Valor entrevista (R$)
+  - Qtd de sessões regulares (default 4)
+  - Valor por sessão regular (R$)
+  - (Opcional) Texto/descrição que aparece no fluxo
+- Quando user cria 1ª sessão de **paciente novo** (sem histórico):
+  - Sistema oferece: "Aplicar plano inicial? Entrevista R$ X + 4× R$ Y = total R$ Z"
+  - Ao aceitar, materializa 5 sessões com `price` diferenciado: 1ª = X, demais = Y
+  - Pode ser tratado como 1 série recorrente "especial" com 1ª ocorrência destacada
+  - OU como 2 entidades distintas (1 avulsa entrevista + 1 série de 4)
+
+**Decisões pendentes:**
+- Estrutura: série única com 1ª diferenciada OU avulsa + série separada?
+- Onde fica a config: `agenda_configuracoes` (jsonb adicional?) ou tabela nova `intake_plans`?
+- "Paciente novo" = sem sessões anteriores? Ou marcador manual no cadastro?
+- Plano único do tenant ou múltiplos planos (avaliação clínica, avaliação neuropsi, etc)?
+
+**Cabe na Fase 4 (cobrança)?** Não — Fase 4 é só modo de disparo; aqui é estrutura de pacote pré-configurado. Fica como Fase 9 separada.
+
+---
+
+## Ordem sugerida de execução
+
+| Ordem | Fase | Razão |
+|---|---|---|
+| 1ª | **Fase 1** | Curta, validação, define se tem cleanup de tabelas necessário |
+| 2ª | **Fase 5** | Destrava UX urgente (confirm dialog evita cobrar errado) |
+| 3ª | **Fase 4** | Híbrido configurável — destrava racional do checkbox atual |
+| 4ª | **Fase 2** | Quase 100% pronta, validar e finalizar |
+| 5ª | **Fase 3** | Replicar `occurrenceMode` em Rail/Clínica |
+| 6ª | **Fase 6** | Já feito; só testar |
+| 7ª | **Fase 7** | Refator estrutural pesado — entra depois das fases UX |
+| 8ª | **Fase 8** | Depende fiscal NFS-e — pode ir pra v2 |
+| 9ª | **Fase 9** | Plano Inicial (entrevista + 4 sessões) — pedido do user, conceito pronto, codar pós-7 |
+
+## Como cada fase termina
+
+1. Página da fase na wiki é atualizada com o resultado
+2. Commit dedicado com prefixo `agenda(fase-N): ...`
+3. Update no [[index]] da wiki
+4. Entrada no `log.md`

Obsidian/Brain/wiki/index.md

@@ -14,6 +14,8 @@ _(people, places, organizations, products — pages that describe a thing)_
 
 _(ideas, frameworks, patterns, principles — pages that describe a concept)_
 
+- [[recorrencia-agenda]] — modelo "1 real + N-1 virtual", materialização ao mudar status, view `listAll`, visual de paciente inativo
+
 ## Sources
 
 _(summaries of specific sources you've ingested)_
@@ -22,6 +24,9 @@ _(summaries of specific sources you've ingested)_
 
 _(synthesized answers to questions you've asked, filed back as pages)_
 
+- [[agenda-billing-pesquisa-mercado]] — comparativo Cliniko / SimplePractice / TherapyNotes do ciclo compromisso→cobrança (6 etapas), consenso/divergência e 8 perguntas-chave pro produto
+- [[agenda-compromisso-fluxo]] — plano de auditoria fase-a-fase (8 fases) do ciclo de compromisso da agenda; ordem de execução + decisões já tomadas
+
 ---
 
 *This index is maintained by Claude via `/wiki-brain`. Do not edit by hand unless you know what you're doing.*

Obsidian/Brain/wiki/recorrencia-agenda.md

@@ -0,0 +1,146 @@
+# Recorrência na Agenda
+
+Como o sistema modela e exibe sessões recorrentes. Decisões arquiteturais importantes que não são óbvias só lendo o código.
+
+## Modelo de dados — "1 real + N-1 virtual"
+
+Quando o user cria "4 sessões semanais", o sistema escreve **só 2 rows** no banco:
+
+1. **1 row em `agenda_eventos`** — a primeira ocorrência, materializada. Tem `recurrence_id` apontando pra regra abaixo.
+2. **1 row em `recurrence_rules`** — a "semente": `start_date`, `type='weekly'`, `interval=1`, `max_occurrences=4` (ou `open_ended=true`).
+
+As **sessões 2, 3, 4 NÃO existem no banco**. São geradas em runtime por `useRecurrence.loadAndExpand` — chamado pelas páginas de agenda quando precisam exibir um range. ID virtual: `rec::ruleId::originalDateISO`.
+
+Trade-off da escolha:
+- ✅ Cria recorrência infinita (open-ended) sem inflar o DB
+- ✅ Mudança na regra (preço, modalidade, etc) reflete em todas as ocorrências automaticamente
+- ❌ Toda exibição precisa chamar `loadAndExpand` no range visível
+- ❌ Edição de uma ocorrência específica exige **materializar** primeiro (criar a row real com `recurrence_id` + `recurrence_date`)
+
+## Quem expande virtuais (e quem não)
+
+**Expande:**
+- `AgendaTerapeutaPage` (Rail) — `loadAndExpand` no range mensal + na busca
+- `AgendaClinicaPage` (Clínica) — mesma coisa, com tenant
+- `useMelissaAgenda._reloadRange` (Melissa FullCalendar) — expande no range visível
+- `usePatientSessions.load` — range -6mo a +12mo, filtra por `patient_id`
+- `useMelissaEventos._fetchRange` — expande no range pedido. Cobre widget "Hoje", mini-cal, fallback
+- `useMelissaTodasSessoesPaciente.fetch` — range -6mo a +12mo, filtra por `patient_id`
+
+**Antes de 2026-05-11** os 3 últimos NÃO expandiam — uma série semanal de 4 aparecia como 1. Comentário no código admitia "adicionar quando promover Melissa pra produção". Bug resolvido nesta data.
+
+## Cap do range — `MAX_RANGE_DAYS = 730`
+
+`useRecurrence.expandRules` loga warning quando o range visível ultrapassa 730 dias (2 anos). É só warning, não bloqueia. A `listAll` view custom do MelissaAgenda usa exatamente `duration: { years: 2 }` pra bater no cap.
+
+## Materialização — "ao mudar status numa virtual"
+
+UPDATE direto numa row com `id = "rec::..."` quebra com `invalid input syntax for type uuid`. Pra mudar status (cancelar, marcar realizada, etc) numa ocorrência virtual, é preciso:
+
+1. Buscar em `agenda_eventos` se já existe row materializada (`recurrence_id` + `recurrence_date`).
+2. Se sim, UPDATE status nela.
+3. Se não, **INSERT nova row** copiando campos da virtual + status novo.
+
+Pattern central: **`useMelissaAgenda.onUpdateSeriesEvent(...)`** (e gêmeas em `AgendaTerapeutaPage` / `AgendaClinicaPage`). Aceita opcional `row` do chamador — quando o user clica direto no evento sem abrir o dialog antes, `dialogEventRow` está vazio e a função precisaria buscar a regra de outro lugar.
+
+### Caminhos que mudam status (e como chegam à materialização)
+
+| Onde | Composable/Handler | Comportamento virtual |
+|---|---|---|
+| `MelissaEventoPanel` (painel lateral do calendário) | `MelissaLayout.updateEventoStatus` | Detecta `is_occurrence` → delega `M.onUpdateSeriesEvent({ row: ev, ... })` |
+| `AgendaEventDialog` SelectButton form.status (Cancelado/Remarcar) | `useAgendaEventActions` watcher | `emit('updateSeriesEvent', { row, ... })` em vez de UPDATE direto |
+| `AgendaEventDialog` pills da série | `useAgendaEventLifecycle.onPillStatusChange` | Já emitia desde sempre |
+| `MelissaPaciente` Tab Agenda botões diretos | `usePatientSessions.updateStatus(ev, status)` | Aceita row inteira; se virtual, materializa internamente |
+
+**Guard importante** em `onUpdateSeriesEvent`: se `recurrence_id` resolver pra `null` (callerRow + dialogEventRow ambos sem ele), aborta com toast. Antes criava row órfã com `patient_id: null` aparecendo "Faltou sem nome" no calendário.
+
+## View `listAll` no MelissaAgenda
+
+View custom (não built-in do FC) com `duration: { years: 2 }`. `setView('lista')` faz `gotoDate(hoje - 1 ano)` pra centrar passado + presente + futuro. Substituiu `listWeek` que mostrava só 7 dias.
+
+Banner `showRecurrenceHint` aparece nas outras views (dia/semana/mês) quando há virtuais visíveis — botão "Ver na lista" troca pra `listAll`. Sem o banner, user não percebe que tem ocorrências fora do range.
+
+## Visual de evento inativo
+
+`normalizeEvent` (`useMelissaEventos.js` + `useMelissaAgenda.normalizeForMelissa`) carrega `paciente_status` do JOIN. MelissaAgenda aplica `classNames: ['ma-evt--inactive-patient']` quando `'Arquivado'|'Inativo'` — CSS dá borda tracejada + opacidade 0.58 + itálico em list view. Mantém a cor do commitment pra não perder contexto.
+
+Picker do AgendaEventDialog / V2: mostra TODOS os pacientes (Ativo > Inativo > Arquivado), nao-Ativos com Tag + disabled + tooltip. `selectPaciente` bloqueia non-Ativo como defesa em camadas.
+
+## Quando algo der errado
+
+Se aparecer "sessão fantasma sem nome" no calendário, provavelmente é row órfã criada por materialização sem `patient_id`/`recurrence_id`. Query pra detectar:
+
+```sql
+SELECT id, inicio_em, status, patient_id, recurrence_id
+FROM agenda_eventos
+WHERE patient_id IS NULL
+  AND recurrence_id IS NULL
+  AND tipo = 'sessao'
+  AND created_at > NOW() - INTERVAL '1 day';
+```
+
+Causa raiz já corrigida em 2026-05-11 (guard contra `rid` null em `onUpdateSeriesEvent`), mas o pattern de query é útil pra catch futuros.
+
+## Invariante de cobrança em séries — "cobrança emitida é imutável"
+
+**Padrão adotado (SimplePractice / TherapyNotes / Cliniko):** `financial_records` em status `pending`/`paid`/`overdue` são **imutáveis pelo dialog da agenda**. Ajustes só via fluxo do Financeiro (cancelar + refaturar). Garante:
+- Trilha fiscal estável.
+- Paciente não vê valor "mágico" mudando.
+- Dashboards de MRR e projeção consistentes.
+
+### Como o sistema honra a invariante
+
+**1. Lock no `occurrenceMode`** (`AgendaEventDialog.vue`):
+- Card "Sessão / Honorários" detecta `occFinancialRecord` via query `financial_records` filtrada por `agenda_evento_id` + status `in ('pending','paid','overdue')`.
+- Se record existe → renderiza apenas `AgendaEventoFinanceiroPanel` + mensagem de lock + Tag de status. Select de billingType e botão "Editar itens" desaparecem.
+- Se record não existe (virtual ou materializado sem cobrança) → edição livre, marca `services_customized=true` ao salvar.
+- Card "Aplicar alterações em" também é ocultado quando há cobrança (mudanças estruturais não se aplicam — usuário só pode mexer em status/horário).
+
+**2. Filtro em `propagateToSerie`** (`useCommitmentServices.js`):
+- Após filtrar eventos elegíveis (recurrence_id + opcionalmente fromDate + opcionalmente services_customized=false), faz 1 query batch em `financial_records` pra coletar `agenda_evento_id` lockados.
+- Remove esses IDs da lista de elegíveis antes de fazer `delete + insert` de `commitment_services`.
+- Resultado: editar template da regra **nunca toca** ocorrências cobradas, mesmo em escopo `todos`.
+
+**3. Aviso fixo no dialog pai** (em `isEdit && hasSerie`):
+- Mensagem inline abaixo do `AgendaEventoFinanceiroPanel`: "Alterações de tipo ou serviços afetam apenas sessões futuras ainda não cobradas. Cobranças já emitidas permanecem inalteradas — para ajustá-las, acesse o Financeiro."
+
+### Opção `todos_sem_excecao` removida da UI
+
+- O nome confundia (sugeria "ignorar cobranças") quando na verdade era "ignorar customização operacional" (`services_customized=true`).
+- Backend mantém o caso pra compat, mas `editScopeOptions` agora só retorna 3 valores: `somente_este`, `este_e_seguintes`, `todos`.
+- Mercado consolidado (SimplePractice etc) não expõe override de customizações — admin que precisa reseta sessão-a-sessão.
+
+### Onde está cada peça
+- `src/features/agenda/composables/useAgendaEventLifecycle.js` — `loadOccFinancialRecord` + `occFinancialRecord` ref
+- `src/features/agenda/components/AgendaEventDialog.vue` — card lock/unlock + aviso pai
+- `src/features/agenda/composables/useCommitmentServices.js:162` — `propagateToSerie` com filtro financial_records
+- `src/features/agenda/composables/useAgendaEventComposer.js:91` — `editScopeOptions` com 3 valores
+- `src/components/agenda/AgendaEventoFinanceiroPanel.vue` — UI do fluxo Financeiro embarcado
+
+## 2º dialog empilhado — edição de ocorrência (occurrenceMode)
+
+Quando o user clica "Editar" em uma pill da lista "Recorrências Aplicadas", abre um **segundo `AgendaEventDialog` empilhado** por cima do principal. Ele compartilha o mesmo componente, mas com a prop `occurrenceMode=true` que muda comportamento:
+
+- **Título:** `Pacote · X de Y Sessões` (computa `occurrenceIndex` via `currentRecurrenceDate` + `serieEvents`) em vez do padrão `Sessão do Pacote · {nome}`.
+- **Layout enxuto:** renderiza apenas 4 cards na ordem: (1) Dados da Recorrência (read-only summary), (2) Status, (3) Horário, (4) Aplicar alterações em. Tudo o resto (paciente-hero, fields-grid, serie-panel, sessão/honorários, frequência, extras, resumo mobile) fica oculto via `v-if="!occurrenceMode"`.
+- **Escopo `Aplicar alterações em`:** migrou do `composer-right` do dialog pai pra dentro do dialog de ocorrência. O pai não mostra mais esse card — pra mudar escopo, o user obrigatoriamente vai pela pill.
+- **Horário editável:** botão "Ajustar horário" não fica `:disabled="isEdit"` no occurrenceMode (no pai sim — data/horário do pacote inteiro é imutável após criação).
+
+Stack relevante:
+- `MelissaLayout.vue:2160` monta o 2º dialog passando `:occurrenceMode="true"` + `eventRow={ ...row, recurrence_date, _is_virtual }` via refs `agendaOccDialog*` (destructurados de `useMelissaAgenda` no setup — refs aninhados não auto-unwrap no template).
+- `useMelissaAgenda.onEditSeriesOccurrence` popula `occDialogEventRow` + abre `occDialogOpen=true`. Substituiu o pattern antigo de mutar `dialogEventRow` in-place (que trocava silenciosamente os dados do dialog atual).
+- `useAgendaEventLifecycle.onPillEditClick` emite `editSeriesOccurrence({ id, recurrence_date, inicio_em, fim_em, is_virtual })`.
+
+**Pendente replicar:** Rail (`AgendaTerapeutaPage`) e Clínica (`AgendaClinicaPage`) ainda têm só o dialog principal — o 2º só existe no Melissa por enquanto.
+
+## Referências de código
+
+- `src/features/agenda/composables/useRecurrence.js` — `loadAndExpand`, `expandRules`, `mergeWithStoredSessions`, `buildOccurrence`
+- `src/layout/melissa/composables/useMelissaAgenda.js:817` — `onEditSeriesOccurrence`
+- `src/layout/melissa/composables/useMelissaAgenda.js:837` — `onUpdateSeriesEvent`
+- `src/features/agenda/composables/useAgendaEventActions.js:65` — watcher do form.status
+- `src/features/patients/composables/usePatientSessions.js:189` — `updateStatus` com materialização
+- `src/features/agenda/components/AgendaEventDialog.vue` — props `occurrenceMode`, computeds `occurrenceIndex` / `occurrenceTotalSessions` / `headerMainLabel`
+- `src/layout/melissa/MelissaLayout.vue:655` — `updateEventoStatus` do `MelissaEventoPanel`
+- `src/layout/melissa/MelissaLayout.vue:2160` — 2º AgendaEventDialog empilhado
+- `src/layout/melissa/MelissaAgenda.vue:244` — `VIEW_MAP.lista = 'listAll'`

blueprints/composable-blueprint.md

@@ -0,0 +1,514 @@
+# Composable Blueprint
+
+> **Stack:** Vue 3 Composition API + Pinia (para state global) + Supabase via repository
+> **Canônicos:** `src/features/agenda/composables/useAgendaEvents.js`, `useAgendaClinicEvents.js`, `useAgendaSettings.js`
+> **Aplicável:** todo composable que orquestra estado reativo sobre uma repository
+
+---
+
+## 1. Princípio
+
+Composable é **wrapper fino** sobre a repository. Responsabilidade:
+- Manter **estado reativo** (data + loading + error)
+- Chamar a repository (delegação 1:1)
+- (Opcional) Cachear com stale-while-revalidate
+- (Opcional) Compor outros composables
+
+**Não faz:**
+- Lógica de banco direta (vai no repository)
+- Lógica de UI (vai no componente)
+- Manipulação de DOM
+- I/O direto fora do repository
+
+> Regra de ouro: **se o composable tem `from('...')` do Supabase, ele virou repository disfarçado — refatorar.**
+
+---
+
+## 2. Estrutura de arquivos
+
+```
+src/features/<modulo>/composables/
+├── use<Entity>.js              # CRUD básico (thin wrapper)
+├── use<Entity>Clinic.js        # variant clinic-scoped (se aplicável)
+├── use<Entity>Settings.js      # config/preferences (com cache opt-in)
+├── use<Entity>Lifecycle.js     # orquestrador de estados (se domain complexo)
+└── <entity>Helpers.js          # funções puras auxiliares (não-composable)
+```
+
+**Convenção de nome:** sempre `use<Entity>...`. Funções helpers de domínio NÃO usam prefixo `use` — não são composables.
+
+---
+
+## 3. State shape canônico
+
+Todo composable expõe **no mínimo** este shape:
+
+```js
+const rows = ref([]);       // ou single ref dependendo do domínio
+const loading = ref(false); // boolean
+const error = ref('');      // string vazia, não null — facilita v-if
+```
+
+**Decisões importantes:**
+
+| Refs | Tipo | Inicial | Por quê |
+|---|---|---|---|
+| `loading` | `boolean` | `false` | Padrão V3 — UI binda `:disabled="loading"` direto |
+| `error` | `string` | `''` (vazio) | `v-if="error"` é falsy-friendly; sem null check |
+| `rows`/data | `Array` ou objeto | `[]` ou `null` | Reset pra `[]` em erro de load — UI fica previsível |
+
+**Anti-pattern:** misturar `error = ref(null)` num composable e `error = ref('')` em outro. Canonize `''` no projeto inteiro.
+
+---
+
+## 4. Tipos de composable (3 patterns)
+
+### Tipo A — Thin wrapper (default) · referência: `useAgendaClinicEvents.js`
+
+CRUD direto, sem cache, com loading/error em TODA operação:
+
+```js
+import { ref } from 'vue';
+import { listX, createX, updateX, deleteX } from '@/features/<modulo>/services/<feature>Repository';
+
+export function useX() {
+    const rows = ref([]);
+    const loading = ref(false);
+    const error = ref('');
+
+    async function loadRange({ startISO, endISO, ...scope } = {}) {
+        loading.value = true;
+        error.value = '';
+        try {
+            rows.value = await listX({ startISO, endISO, ...scope });
+        } catch (e) {
+            error.value = e?.message || 'Falha ao carregar.';
+            rows.value = [];
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    async function create(payload, opts = {}) {
+        loading.value = true;
+        error.value = '';
+        try {
+            return await createX(payload, opts);
+        } catch (e) {
+            error.value = e?.message || 'Falha ao criar.';
+            throw e;  // ← re-throw: composable repassa o erro pro componente decidir
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    async function update(id, patch, opts = {}) { /* idem */ }
+    async function remove(id, opts = {}) { /* idem */ }
+
+    return { rows, loading, error, loadRange, create, update, remove };
+}
+```
+
+**Por que re-throw nas mutações?** Componente precisa saber se o `await` falhou pra:
+- Mostrar toast
+- Não fechar modal
+- Não navegar
+- Manter form com dados
+
+`error.value` é só pra estado reativo persistente. Mutação síncrona precisa de throw também.
+
+### Tipo B — Thin wrapper "extra-leve" · referência: `useAgendaEvents.js`
+
+Variant aceitável quando mutações **não precisam de loading**:
+
+```js
+async function create(payload) {
+    return createX(payload);  // ← repassa erro nativamente; componente try/catch
+}
+```
+
+**Quando usar:** UIs onde criar/editar tem feedback próprio (skeleton no item criado, optimistic UI, etc.). Default é o Tipo A.
+
+### Tipo C — Cache com stale-while-revalidate · referência: `useAgendaSettings.js`
+
+Para dados raros/pesados (settings, preferences, listas estáveis):
+
+```js
+import { ref } from 'vue';
+import { getX } from '../services/<feature>Repository';
+import { useMelissaCacheStore, MELISSA_CACHE_TTL } from '@/stores/melissaCacheStore';
+
+export function useX(opts = {}) {
+    const useCache = !!opts.cache;
+    const cache = useCache ? useMelissaCacheStore() : null;
+
+    const data = ref(null);
+    const loading = ref(false);
+    const error = ref('');
+
+    async function _doFetch() {
+        const result = await getX();
+        data.value = result;
+        if (cache) {
+            const key = result?.owner_id || 'anon';
+            cache.set('xKey', result, key);
+        }
+        return result;
+    }
+
+    async function load() {
+        if (cache) {
+            const cached = cache.get('xKey', undefined, MELISSA_CACHE_TTL.xKey);
+            if (cached) {
+                data.value = cached;
+                _doFetch().catch((e) => console.warn('[useX] revalidate', e));
+                return;
+            }
+        }
+
+        loading.value = true;
+        error.value = '';
+        try {
+            await _doFetch();
+        } catch (e) {
+            error.value = e?.message || 'Falha ao carregar.';
+            data.value = null;
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    return { data, loading, error, load };
+}
+```
+
+**Decisões do Tipo C:**
+
+- **`opts.cache` default `false`** — páginas de configuração que editam settings esperam mudança imediata após salvar, então cache opt-in.
+- **Cache key inclui scope** (`owner_id`/`tenant_id`) — invalida automaticamente em troca de usuário/tenant.
+- **TTL constants no store** — `MELISSA_CACHE_TTL.<feature>` (não hardcoded no composable).
+- **Stale-while-revalidate:** retorna cached SE existe + dispara fetch em background (sem await).
+- **Revalidate fail é warn**, não error — UI já tem dados válidos do cache.
+
+---
+
+## 5. Convenções de nomenclatura
+
+### Funções
+
+| Operação | Nome canônico | Variantes aceitas |
+|---|---|---|
+| Listar com filtro | `loadRange` / `loadMy<X>` | `load<Scope><Range>` |
+| Criar | `create` | `create<Scope>` (se houver ambiguidade) |
+| Atualizar | `update` | `update<Scope>` |
+| Remover | `remove` | `remove<Scope>` (nunca `delete` — palavra reservada) |
+| Recarregar | `refresh` | `reload` |
+| Limpar estado | `reset` / `clear` | — |
+
+**Scope sufixo** quando o composable serve múltiplos contextos: `loadMyRange` (terapeuta) vs `loadClinicRange` (admin).
+
+### State refs
+
+- `rows` — coleção principal (array)
+- `record` — single (quando faz sentido)
+- `data` — genérico (settings, config)
+- `loading` — boolean único; se há múltiplos `loading` (load vs save), nomear: `loadingList`, `saving`
+- `error` — string única; mesmo princípio: `loadError`, `saveError` se precisar
+
+---
+
+## 6. Anatomia padrão de uma operação `load*`
+
+```js
+async function loadXxx(args) {
+    // 1. Validação leve (early return, não throw)
+    if (!args?.required) return;
+
+    // 2. State flag
+    loading.value = true;
+    error.value = '';
+
+    try {
+        // 3. Delegate pra repository (UMA chamada — se múltiplas, Promise.all)
+        const result = await listX(args);
+
+        // 4. Mutate state
+        rows.value = result;
+    } catch (e) {
+        // 5. Erro humano + reset de data (UI fica previsível)
+        error.value = e?.message || 'Mensagem PT-BR genérica.';
+        rows.value = [];
+    } finally {
+        // 6. Sempre limpar loading
+        loading.value = false;
+    }
+}
+```
+
+**Por que early-return em vez de throw na validação?** Composable é wrapper — chamadas inválidas (ex: `ownerId` ainda não chegou no mount) não devem quebrar UI. Throw fica pra repository.
+
+---
+
+## 7. Múltiplos fetches paralelos
+
+Quando uma operação precisa de N queries:
+
+```js
+async function _doFetch() {
+    const [cfg, rules, profile] = await Promise.all([
+        getMyAgendaSettings(),
+        getMyWorkSchedule(),
+        getMyProfile()
+    ]);
+    settings.value = cfg;
+    workRules.value = rules;
+    profile.value = profile;
+}
+```
+
+**Regras:**
+- `Promise.all` (não `Promise.allSettled`) — falha de qualquer query falha a operação inteira
+- Exception: quando uma query é opcional/best-effort → `Promise.allSettled` + processa por result
+- **Nunca** sequenciar fetches independentes (await + await + await)
+
+---
+
+## 8. Composição de composables
+
+Composable pode usar outros composables, mas:
+
+```js
+// ✅ certo — composição estrutural
+export function useAgendaEventLifecycle() {
+    const events = useAgendaEvents();
+    const billing = useAgendaFinanceiro();
+    const settings = useAgendaSettings({ cache: true });
+
+    async function realizar(eventId) {
+        // orquestra os 3
+    }
+
+    return { ...events, realizar, ... };
+}
+
+// ❌ errado — não compor pra economizar 1 linha
+export function useOnlyToWrapList() {
+    const { rows, loadMyRange } = useAgendaEvents();
+    return { rows, loadMyRange };  // ← isso é um re-export inútil
+}
+```
+
+**Regra:** compõe quando há **orquestração**. Se é só forward, importa direto.
+
+---
+
+## 9. Anti-patterns (NÃO fazer)
+
+### ❌ Composable que tem `supabase.from('...')` direto
+
+```js
+// ❌ — violação de camadas
+export function useFoo() {
+    async function load() {
+        const { data } = await supabase.from('foo').select('*');
+    }
+}
+```
+
+✅ Move pra repository, composable só delega.
+
+### ❌ `error` ora `null`, ora `''`, ora `Error`
+
+Canonize `string` (default `''`). Errors do JS dão `e?.message || 'fallback PT-BR'`.
+
+### ❌ Não resetar `rows` em erro de load
+
+```js
+// ❌
+async function loadRange() {
+    try { rows.value = await listX(); } catch (e) { error.value = e.message; }
+    // rows.value mantém dados antigos = UI mostra coisa stale + alerta de erro
+}
+```
+
+✅ Reset `rows.value = []` no catch — UI fica determinística.
+
+### ❌ Não re-throw mutações
+
+```js
+// ❌
+async function create(payload) {
+    try { return await createX(payload); }
+    catch (e) { error.value = e.message; }
+    // componente faz `await create()` e nunca sabe que falhou
+}
+```
+
+✅ Re-throw após setar `error.value`.
+
+### ❌ `Promise.all` quando uma falha é aceitável
+
+Quando uma das queries pode falhar sem invalidar as outras, usar `Promise.allSettled`. Comum em listings que enriquece com lookups opcionais.
+
+### ❌ State global em variável módulo
+
+```js
+// ❌ — vaza entre componentes que compartilham o composable
+const rows = ref([]);
+export function useFoo() {
+    return { rows };
+}
+```
+
+✅ State sempre DENTRO da `function useFoo()`. Se precisar global, use Pinia store.
+
+### ❌ Composable que faz `watch` no próprio state pra "side effect"
+
+```js
+// ❌
+const rows = ref([]);
+watch(rows, () => { /* save algo */ });
+```
+
+✅ Mover `watch` pro componente — composable não decide quando salvar.
+
+**Exceção:** watch pra sincronizar com prop externa do composable (`watchEffect(() => loadRange(props.range))`) é OK.
+
+### ❌ Composable retornando objeto enorme
+
+Se o `return` tem 20+ chaves, o composable está fazendo coisa demais. Quebrar em N composables menores ou extrair Pinia store.
+
+---
+
+## 10. Cache store (Tipo C complementar)
+
+Quando criar um composable Tipo C, garantir que existe entry em:
+
+- `src/stores/melissaCacheStore.js` — `MELISSA_CACHE_TTL.<feature>` constante (TTL em ms)
+- `.get(key, scope, ttl)` retorna valor ou null
+- `.set(key, value, scope)` salva com timestamp
+- Invalidação manual: `.invalidate('<feature>')`
+
+**TTL guidelines:**
+
+| Tipo de dado | TTL sugerido |
+|---|---|
+| Settings/preferences | 5 min |
+| Listas estáveis (specialties, plans) | 30 min |
+| Catálogo (services, pricing) | 10 min |
+| Multi-tenant lookups | 5 min |
+| Anything user-edited | NÃO cachear (Tipo A) |
+
+---
+
+## 11. Checklist de auditoria por módulo
+
+Quando rodar `/audit-module <nome>`, validar cada composable:
+
+- [ ] Não tem `supabase.from(...)` direto — só importa da repository
+- [ ] State shape: `rows`/`data`, `loading: boolean`, `error: string`
+- [ ] `error` é string, default `''`
+- [ ] Reset de data em erro de load (`rows.value = []`)
+- [ ] Mutações re-throw após setar error.value
+- [ ] Nomenclatura: `loadRange`/`load<Scope>`, `create`, `update`, `remove`
+- [ ] `remove` não `delete` (palavra reservada)
+- [ ] Validação leve usa early-return (não throw)
+- [ ] Múltiplos fetches em `Promise.all` (não sequencial)
+- [ ] State DENTRO da `function use*()` (não em variável de módulo)
+- [ ] Sem `watch` em própria state pra side effect (mover pro componente)
+- [ ] Helpers de domínio em arquivo separado sem prefixo `use`
+- [ ] Se cacheia (Tipo C): `opts.cache` opt-in, default `false`; TTL em `MELISSA_CACHE_TTL`; cache key inclui scope
+- [ ] Return statement com chaves explícitas (não `return { ...state, ...actions }` opaco)
+- [ ] Return ≤ 15 chaves (>15 = composable fazendo coisa demais)
+
+Divergências viram items em `dev_auditoria_items` com:
+- `categoria`: `padronizacao`
+- `tag`: `padronizacao:<modulo>`
+- `severidade`: alta se camada quebrada (composable com `from()`); média se viola convenção (error null vs ''); baixa se cosmético (nome de função)
+
+---
+
+## 12. Exemplo completo (template)
+
+```js
+/*
+| Arquivo: src/features/patients/composables/usePatients.js
+*/
+import { ref } from 'vue';
+import {
+    listPatients,
+    createPatient,
+    updatePatient,
+    deletePatient
+} from '@/features/patients/services/patientsRepository';
+
+export function usePatients() {
+    const rows = ref([]);
+    const loading = ref(false);
+    const error = ref('');
+
+    async function loadRange({ search, status, tenantId } = {}) {
+        loading.value = true;
+        error.value = '';
+        try {
+            rows.value = await listPatients({ search, status, tenantId });
+        } catch (e) {
+            error.value = e?.message || 'Falha ao carregar pacientes.';
+            rows.value = [];
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    async function create(payload) {
+        loading.value = true;
+        error.value = '';
+        try {
+            return await createPatient(payload);
+        } catch (e) {
+            error.value = e?.message || 'Falha ao criar paciente.';
+            throw e;
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    async function update(id, patch) {
+        loading.value = true;
+        error.value = '';
+        try {
+            return await updatePatient(id, patch);
+        } catch (e) {
+            error.value = e?.message || 'Falha ao atualizar paciente.';
+            throw e;
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    async function remove(id) {
+        loading.value = true;
+        error.value = '';
+        try {
+            await deletePatient(id);
+        } catch (e) {
+            error.value = e?.message || 'Falha ao remover paciente.';
+            throw e;
+        } finally {
+            loading.value = false;
+        }
+    }
+
+    return { rows, loading, error, loadRange, create, update, remove };
+}
+```
+
+---
+
+## 13. Referências
+
+- Canônicos: `src/features/agenda/composables/useAgendaEvents.js`, `useAgendaClinicEvents.js`, `useAgendaSettings.js`
+- Repository pareado: `blueprints/repository-blueprint.md`
+- Cache store: `src/stores/melissaCacheStore.js`
+- Tracker: `dev_auditoria_items` com tag `padronizacao:<modulo>`
+- Estratégia: `development/02-auditoria/PADRONIZACAO.md`

blueprints/quick-create-overlay-blueprint.md

@@ -0,0 +1,431 @@
+# Quick-Create Overlay Blueprint
+
+> **Status:** Pattern **universal**. Promovido de agenda-only em 2026-05-20 após audit baseline (`development/02-auditoria/AUDIT_BASELINE.md`) identificar 3 candidates já em produção fora da agenda.
+> **Stack:** Vue 3 + PrimeVue Dialog
+> **Canônicos:**
+> - `src/features/agenda/components/ServiceQuickCreateDialog.vue` (referência completa)
+> - `src/features/agenda/components/InsurancePlanQuickCreateDialog.vue`
+> - `src/features/agenda/components/InsurancePlanServiceQuickCreateDialog.vue`
+> **Legacy a refatorar (supabase direto, sem repository):**
+> - `src/components/CadastroRapidoMedico.vue` → migrar pra `features/medicos/components/` (módulo 1 da Fase 1)
+> - `src/components/CadastroRapidoConvenio.vue` → migrar pra `features/insurance/components/`
+> - `src/components/ComponentCadastroRapido.vue` → migrar pra path apropriado conforme dono da entidade
+
+---
+
+## 1. Princípio
+
+**Problema:** usuário está num fluxo (ex: agendar uma sessão) e precisa de uma entidade dependente que ainda não existe (serviço, convênio, plano). Navegar pra outra página significa **perder o contexto** do form em progresso.
+
+**Solução:** mini-dialog **por cima** do dialog/fluxo atual, com **campos mínimos** pra criar a entidade, e ao salvar **pré-seleciona** ela no select que disparou o quick-create.
+
+**Regra absoluta:** criar dependência faltante em **qualquer fluxo** deve **abrir overlay POR CIMA, nunca navegar pra fora**. Aplicável em todo o sistema desde a promoção do blueprint (2026-05-20). Origem do pattern: agenda (memória `feedback_agenda_inline_quick_create`, agora generalizada).
+
+---
+
+## 2. Quando aplicar (vs alternativas)
+
+| Situação | Solução |
+|---|---|
+| Fluxo crítico travado por dependência faltante (form em progresso) | **Quick-create overlay** ✅ |
+| Cadastro completo, com todos os campos | Página dedicada `/entity/new` ou Dialog full |
+| Apenas selecionar item existente | Select com busca; sem botão "+" |
+| Onboarding ou setup wizard | Não — fluxo é a página inteira, não um overlay |
+
+**Anti-uso:** quick-create NÃO é "shortcut pra criar do menu lateral". É **fallback contextual** quando o form atual depende de algo que falta. O parent **precisa estar pronto pra receber o evento `created`** e usar o ID.
+
+---
+
+## 3. Estrutura do componente `<Entity>QuickCreateDialog.vue`
+
+```vue
+<script setup>
+import { ref, watch } from 'vue';
+import { useToast } from 'primevue/usetoast';
+// CANÔNICO: importar da repository do feature dono da entidade.
+// LEGACY: 3 componentes em src/components/ usam supabase direto — refatorar quando módulo dono for tocado na Fase 1.
+import { createX } from '@/features/<feature>/services/<feature>Repository';
+
+const props = defineProps({
+    modelValue: { type: Boolean, default: false },
+    ownerId: { type: String, default: '' },
+    initialName: { type: String, default: '' }  // pré-preenche do search atual do select
+});
+const emit = defineEmits(['update:modelValue', 'created']);
+
+const toast = useToast();
+const tenantStore = useTenantStore();
+
+const visible = ref(props.modelValue);
+watch(() => props.modelValue, (v) => { visible.value = v; });
+watch(visible, (v) => emit('update:modelValue', v));
+
+const form = ref({ /* só campos MÍNIMOS obrigatórios + 1-2 opcionais úteis */ });
+const saving = ref(false);
+
+// Resetar form toda vez que abre
+watch(() => props.modelValue, (v) => {
+    if (v) form.value = { /* defaults + initialName */ };
+});
+
+const canSave = () => /* validação leve */;
+
+async function onSave() {
+    if (!canSave()) return;
+
+    saving.value = true;
+    try {
+        // Sanitize (trim + maxlength slice + nullif vazio) ANTES de chamar repository
+        const payload = {
+            name: form.value.name.trim().slice(0, 120),
+            // ...resto sanitizado
+        };
+
+        // Repository injeta owner_id (uid logado) + tenant_id (store) + faz uniqueness check
+        // e throw em erro. Quick-create só decide o que mostrar ao usuário.
+        const data = await createX(payload);
+
+        toast.add({ severity: 'success', summary: '<Entity> criado', life: 2200 });
+        emit('created', data);  // ← parent usa data.id pra pré-selecionar
+        visible.value = false;
+    } catch (e) {
+        // Repository pode throw com message conhecido (ex: "Nome em uso") — mostra como warn ou error
+        const isDup = /em uso|já existe|duplicate/i.test(e?.message || '');
+        toast.add({
+            severity: isDup ? 'warn' : 'error',
+            summary: isDup ? 'Nome em uso' : 'Falha ao criar',
+            detail: e?.message || 'Erro inesperado',
+            life: 4000
+        });
+    } finally {
+        saving.value = false;
+    }
+}
+</script>
+
+<!--
+LEGACY-NOTE (2026-05-20): os 3 quick-creates em src/components/ (CadastroRapidoMedico,
+CadastroRapidoConvenio, ComponentCadastroRapido) ainda usam supabase direto. Padrão acima
+é o CANÔNICO pós-promoção. Refator vai acontecer no módulo correspondente da Fase 1.
+-->
+
+<template>
+    <Dialog
+        v-model:visible="visible"
+        modal
+        :draggable="false"
+        :closable="!saving"
+        header="Novo <entity>"
+        class="w-[94vw] max-w-md"
+    >
+        <!-- Campos mínimos: 3-5 inputs, nada mais -->
+        <div class="flex flex-col gap-3 pt-1"> ... </div>
+
+        <template #footer>
+            <Button label="Cancelar" text :disabled="saving" @click="visible = false" />
+            <Button label="Salvar" :loading="saving" :disabled="!canSave()" @click="onSave" />
+        </template>
+    </Dialog>
+</template>
+```
+
+---
+
+## 4. Contrato canônico de props/emits
+
+### Props (sempre)
+
+| Prop | Tipo | Default | Função |
+|---|---|---|---|
+| `modelValue` | `Boolean` | `false` | Visibilidade do dialog. Two-way via `v-model`. |
+| `ownerId` | `String` | `''` | Owner_id (terapeuta). Default: usuário logado. |
+| `initialName` | `String` | `''` | Pré-preenche o campo nome com o search atual do select (UX win). |
+
+### Props (opcionais por entidade)
+
+- `parentId` (`String`) — quando a entidade tem hierarquia (ex: `plan_id` em `plan_service`)
+- `defaultDurationMin` (`Number`) — quando faz sentido herdar valor do contexto
+- Outras herdadas do contexto, **nunca** mais que 3 props extras (senão vira form pesado, não quick-create)
+
+### Emits
+
+| Evento | Payload | Quando |
+|---|---|---|
+| `update:modelValue` | `Boolean` | `v-model` two-way |
+| `created` | `Object` (row inserida completa) | Após insert bem-sucedido |
+
+**Nunca emitir** `cancelled`, `closed`, `error` — parent não precisa saber dessas distinções; `update:modelValue=false` cobre.
+
+---
+
+## 5. Integração no parent
+
+### Slot do botão `+` ao lado do select
+
+```vue
+<div class="flex gap-2 items-center">
+    <Select v-model="selectedServiceId" :options="services" optionLabel="name" optionValue="id" class="flex-1" />
+    <Button
+        icon="pi pi-plus"
+        v-tooltip.top="'Cadastrar novo serviço'"
+        severity="secondary"
+        size="small"
+        @click="openServiceQuickCreate"
+    />
+</div>
+```
+
+### Lock do dialog parent
+
+Parent **precisa** travar seu próprio `dismissableMask` e `closeOnEscape` enquanto qualquer quick-create child está aberto, senão clicar fora fecha tudo:
+
+```vue
+<Dialog
+    v-model:visible="parentVisible"
+    :dismissableMask="!anyChildDialogOpen"
+    :closeOnEscape="!anyChildDialogOpen"
+    ...
+>
+```
+
+```js
+const serviceQuickCreateOpen = ref(false);
+const insuranceQuickCreateOpen = ref(false);
+const anyChildDialogOpen = computed(() =>
+    serviceQuickCreateOpen.value || insuranceQuickCreateOpen.value
+);
+```
+
+### Renderização dos quick-creates DENTRO do parent
+
+```vue
+<!-- DENTRO do template do parent dialog, antes do </Dialog> -->
+<ServiceQuickCreateDialog
+    v-model="serviceQuickCreateOpen"
+    :owner-id="ownerId"
+    :initial-name="serviceSearchText"
+    @created="onServiceCreated"
+/>
+```
+
+### Handler `on<Entity>Created`
+
+```js
+function onServiceCreated(row) {
+    // 1. Inserir na lista local (sem re-fetch)
+    services.value = [row, ...services.value];
+    // 2. Pré-selecionar no select
+    selectedServiceId.value = row.id;
+    // 3. (Opcional) Focar o próximo campo
+    nextTick(() => priceInputRef.value?.focus());
+}
+```
+
+### Handler `openXQuickCreate`
+
+```js
+function openServiceQuickCreate() {
+    serviceSearchText.value = currentSearchInSelect.value;  // capture pra initialName
+    serviceQuickCreateOpen.value = true;
+}
+```
+
+---
+
+## 6. Convenções de UX
+
+### Campos mínimos absolutos
+
+Quick-create **não é cadastro completo**. Inclui só:
+- 1 campo obrigatório principal (nome)
+- 1-2 campos obrigatórios secundários (preço, duração)
+- 1 campo opcional (descrição)
+
+Resto (categorias, tags, configurações avançadas) edita depois em `/entity/:id`.
+
+### Maxlength visível
+
+```vue
+<InputText v-model="form.name" maxlength="120" />
+```
+
+Slice no save: `.trim().slice(0, 120)` — defesa em profundidade.
+
+### Botão "+" sempre `size="small"` `severity="secondary"`
+
+Discrição visual — não compete com CTA do dialog parent.
+
+### Toast em vez de inline error
+
+Mini-dialog não tem espaço pra banner de erro. Toast no canto superior direito (padrão PrimeVue) basta.
+
+### `autofocus` no primeiro input
+
+```vue
+<InputText autofocus v-model="form.name" />
+```
+
+Usuário já está em modo "digitar" — pular o clique no input.
+
+### `:loading="saving"` no botão Salvar
+
+Spinner + disabled simultâneo. PrimeVue já dá o efeito visual.
+
+---
+
+## 7. Anti-patterns (NÃO fazer)
+
+### ❌ Navegar pra rota nova no botão "+"
+
+```js
+// ❌ — destrói o form em progresso
+function openServiceQuickCreate() {
+    router.push('/saas/services/new');
+}
+```
+
+✅ Abre o overlay.
+
+### ❌ Quick-create que pede 10 campos
+
+Se a entidade exige cadastro complexo (campos condicionais, validações cruzadas, upload de arquivo), **não cabe num quick-create**. Use página dedicada e aceite que o usuário perde contexto. Ou crie um wizard.
+
+### ❌ Sem `dups check` antes do insert
+
+```js
+// ❌ — usuário clica 2x, cria duplicata silenciosa
+await supabase.from('services').insert(payload).select().single();
+```
+
+✅ `ilike` por `name` antes; aborta com warn toast.
+
+### ❌ Não emitir o objeto completo no `created`
+
+```js
+// ❌
+emit('created', { id: data.id });  // parent precisa de mais que id
+
+// ❌ pior ainda
+emit('created');  // parent não sabe o que foi criado
+```
+
+✅ `emit('created', data)` — row completa do banco.
+
+### ❌ Não capturar `initialName` do search atual
+
+Quando usuário digita "Sessão 50min" no select e clica "+", o `initialName=` deve já vir preenchido. Senão usuário re-digita.
+
+### ❌ Parent sem `anyChildDialogOpen` no lock
+
+Sem o lock, clicar fora do quick-create child fecha o parent inteiro. Bug clássico.
+
+### ❌ Re-fetch da lista após `created`
+
+```js
+// ❌ — round-trip desnecessário; o evento já trouxe o row
+async function onServiceCreated() {
+    await loadServices();
+}
+```
+
+✅ Inserir o `row` recebido direto na lista local; só re-fetch se houver lógica de ordenação complexa.
+
+### ❌ Múltiplos quick-creates abertos ao mesmo tempo
+
+Permitir abrir um quick-create de plano de saúde enquanto outro de serviço está aberto = stack visual confuso. Force fechar o atual antes de abrir o próximo, OU mantenha o lock no `anyChildDialogOpen` que cobre.
+
+---
+
+## 8. Sanitização (memória `feedback_sanitizacao`)
+
+Toda entrada de quick-create:
+
+```js
+const name = form.value.name?.trim().slice(0, 120) || null;
+const description = form.value.description?.trim().slice(0, 500) || null;
+const price = form.value.price != null ? Number(form.value.price) : null;
+```
+
+Padrão: `trim()` → `slice(maxlength)` → `nullif vazio` → cast tipo.
+
+Pro upload (não comum em quick-create, mas se houver): mime allowlist + size check antes de submitter.
+
+---
+
+## 9. Promotion History & Path Convention
+
+### Histórico
+
+- **2026-05-04** — Pattern nasceu em `features/agenda/` com 3 quick-creates (Service, InsurancePlan, InsurancePlanService). Documentado como **agenda-only** com promotion criteria explícito.
+- **2026-05-20** — Audit baseline identificou 3 candidates já em produção fora da agenda: `CadastroRapidoMedico.vue`, `CadastroRapidoConvenio.vue`, `ComponentCadastroRapido.vue` (todos `supabase` direto, em `src/components/`). Promotion criteria atingida 3×. **Blueprint promovido pra universal.**
+
+### Path convention pós-promoção
+
+| Caso | Path | Exemplo |
+|---|---|---|
+| Entidade pertence a 1 feature claro | `src/features/<feature>/components/<Entity>QuickCreateDialog.vue` | `features/medicos/components/MedicoQuickCreateDialog.vue` |
+| Entidade é cross-feature (raro) | `src/components/quick-create/<Entity>QuickCreateDialog.vue` | (nenhum hoje) |
+
+**Anti-pattern:** quick-create morando em `src/components/` raiz sem subpasta — perde discoverability e mistura com componentes utilitários.
+
+### Plano de migração dos 3 legacy
+
+Cada refator acontece **quando o módulo dono for tocado na Fase 1**:
+
+| Componente atual | Path destino | Quando | Fix obrigatório |
+|---|---|---|---|
+| `src/components/CadastroRapidoMedico.vue` | `src/features/medicos/components/MedicoQuickCreateDialog.vue` | Módulo 1 (Home/Components) — pode criar `features/medicos/` se ainda não existe | Migrar pra repository; usar `_tenantGuards` |
+| `src/components/CadastroRapidoConvenio.vue` | `src/features/insurance/components/InsurancePlanQuickCreateDialog.vue` (consolidar com o existente na agenda?) | Módulo 1 | Idem; **verificar se duplica `features/agenda/components/InsurancePlanQuickCreateDialog.vue`** |
+| `src/components/ComponentCadastroRapido.vue` | depende do que cria | Módulo 1 | Idem |
+
+### Boilerplate DRY (futuro, não-prioritário)
+
+Quando houver 5+ quick-creates seguindo o pattern, considerar:
+
+- `useQuickCreateLock()` composable que encapsula `anyChildDialogOpen` (DRY entre parent dialogs com 2+ children)
+- `<BaseQuickCreateDialog>` wrapper component com slots `#fields`, `#footer-extra` e props padrão
+
+**Não fazer agora** — 6 instâncias ainda é pouco pra inflar abstração. Pattern atual (cada quick-create standalone) é fácil de entender e copiar.
+
+---
+
+## 10. Checklist de auditoria
+
+Aplica-se a **todo quick-create do sistema** pós-promoção (2026-05-20):
+
+- [ ] Path correto (feature folder se entidade pertence a 1 feature; `src/components/quick-create/` se cross-feature)
+- [ ] Nome do arquivo: `<Entity>QuickCreateDialog.vue` (PascalCase)
+- [ ] Props canônicas: `modelValue`, `ownerId`, `initialName`
+- [ ] Emits canônicos: `update:modelValue`, `created`
+- [ ] `Dialog` com `modal`, `:draggable="false"`, `:closable="!saving"`
+- [ ] Form reset quando abre (`watch modelValue`)
+- [ ] Sanitização: `trim() + slice(maxlength) + nullif` ANTES de chamar repository
+- [ ] **Insert via repository** (não supabase direto) — repository injeta `owner_id`+`tenant_id` e faz uniqueness check
+- [ ] Toast feedback em success/warn/error (warn quando erro for "nome em uso", error caso contrário)
+- [ ] Emit `created` com row completo (não só id)
+- [ ] Parent: `anyChildDialogOpen` computed lock
+- [ ] Parent: `dismissableMask` e `closeOnEscape` bindados ao lock
+- [ ] Parent: handler `on<Entity>Created` insere row na lista local e pré-seleciona
+- [ ] Parent: `initialName` capturado do search atual do select
+- [ ] Botão "+": `size="small"` `severity="secondary"` `v-tooltip`
+- [ ] `autofocus` no primeiro input
+- [ ] `:loading="saving"` + `:disabled="!canSave()"` no Salvar
+- [ ] Máximo 3-5 inputs no form (senão não é quick-create — vira página dedicada)
+
+Divergências viram items em `dev_auditoria_items` com:
+- `categoria`: `padronizacao`
+- `tag`: `padronizacao:<modulo>` (módulo dono da entidade)
+- `severidade`: **alta** se usa supabase direto em vez de repository, ou viola lock (vaza dismiss); **média** se viola contrato (emits/props); **baixa** se cosmético
+
+---
+
+## 11. Referências
+
+- Canônicos: `src/features/agenda/components/ServiceQuickCreateDialog.vue`, `InsurancePlanQuickCreateDialog.vue`, `InsurancePlanServiceQuickCreateDialog.vue`
+- Parent integrador: `src/features/agenda/components/AgendaEventDialog.vue` (linhas ~3081-3107, ~3170, ~3274, ~3307)
+- Legacy a refatorar: `src/components/CadastroRapidoMedico.vue`, `CadastroRapidoConvenio.vue`, `ComponentCadastroRapido.vue`
+- Dialog base: `blueprints/dialog-blueprint.md`
+- Repository pareado: `blueprints/repository-blueprint.md`
+- Audit baseline: `development/02-auditoria/AUDIT_BASELINE.md` (3 candidates descobertos em 2026-05-20)
+- Memória: `feedback_agenda_inline_quick_create.md` (superseded — pattern agora universal), `feedback_sanitizacao.md`
+- Estratégia: `development/02-auditoria/PADRONIZACAO.md`

blueprints/repository-blueprint.md

@@ -0,0 +1,379 @@
+# Repository Blueprint
+
+> **Stack:** Supabase JS client + Vue 3 (Pinia stores)
+> **Canônico:** `src/features/agenda/services/` (validado em C1-C13 + análise sênior 2026-05-20)
+> **Aplicável:** todo módulo com acesso a tabela `*` com `tenant_id`
+
+---
+
+## 1. Princípio
+
+Camada **thin** entre Supabase e composables. **Funções puras** + **tenant guards** + **SELECT canônico**. Sem classes, sem state, sem singletons. Idempotente, testável, descartável.
+
+Composable orquestra estado e cache. **Repository só fala com o banco.**
+
+---
+
+## 2. Estrutura de arquivos
+
+```
+src/features/<modulo>/services/
+├── _tenantGuards.js              # SHARED entre repositories do feature
+├── <feature>Selects.js           # SELECT canônico + helpers de flatten
+├── <feature>Repository.js        # CRUD escopo terapeuta (owner_id = uid)
+└── <feature>ClinicRepository.js  # CRUD escopo clínica (se aplicável)
+```
+
+**Regra do `_tenantGuards.js`:** se o feature tem 2+ repositories (terapeuta + clínica), os guards saem pra arquivo compartilhado. Se só tem 1, pode ficar no topo do próprio repo.
+
+---
+
+## 3. Tenant guards canônicos
+
+Copiar **literal** de `src/features/agenda/services/_tenantGuards.js`:
+
+```js
+import { supabase } from '@/lib/supabase/client';
+
+export function assertTenantId(tenantId) {
+    if (!tenantId || tenantId === 'null' || tenantId === 'undefined') {
+        throw new Error('Tenant ativo inválido. Selecione a clínica/tenant antes de operar.');
+    }
+}
+
+export async function getUid() {
+    const { data, error } = await supabase.auth.getUser();
+    if (error) throw error;
+    const uid = data?.user?.id;
+    if (!uid) throw new Error('Usuário não autenticado.');
+    return uid;
+}
+
+export function assertIsoRange(startISO, endISO) {
+    if (!startISO || !endISO) throw new Error('Intervalo inválido (startISO/endISO).');
+}
+
+export function sanitizeOwnerIds(ownerIds) {
+    return (ownerIds || []).filter((id) => typeof id === 'string' && id && id !== 'null' && id !== 'undefined');
+}
+```
+
+**Por quê string `'null'`/`'undefined'`?** Vindo de URL params/localStorage stringificado, esses casos aparecem como string literal. Defesa em profundidade.
+
+---
+
+## 4. SELECT canônico
+
+**Extrair pra constante exportada.** Inline SELECT em 3 lugares = divergência sutil (FKs explícitas em uns, não em outros) = bug.
+
+```js
+/**
+ * Select canônico de <tabela> com joins.
+ *
+ * FKs explícitas (obrigatórias quando há múltiplas colunas apontando pra mesma tabela):
+ *   - <tabela>_<col>_fkey
+ */
+export const <FEATURE>_SELECT = `
+  id, owner_id, tenant_id, ...,
+  patients!<tabela>_<col>_fkey (
+    id, nome_completo, avatar_url, status
+  )
+`.trim();
+```
+
+E o **flatten helper** ao lado:
+
+```js
+/**
+ * Achata o aninhamento de patients dentro da row.
+ * Mantém ambas formas (flat + nested) pra compat com call sites variados.
+ */
+export function flatten<Feature>Row(r) {
+    if (!r) return r;
+    const patient = r.patients || null;
+    return {
+        ...r,
+        paciente_nome: patient?.nome_completo || r.paciente_nome || '',
+        paciente_avatar: patient?.avatar_url || r.paciente_avatar || '',
+        paciente_status: patient?.status || r.paciente_status || ''
+    };
+}
+```
+
+---
+
+## 5. Convenções de assinatura
+
+### Funções puras exportadas
+
+```js
+// ✅ certo
+export async function listMyEvents({ startISO, endISO, ownerId, tenantId } = {}) { ... }
+
+// ❌ errado — classe com state
+class AgendaRepository {
+  async list() { ... }
+}
+```
+
+### Args nomeados (destructure)
+
+Posicionais quebram com refator. Default `= {}` evita TypeError se chamarem sem args.
+
+### `tenantId` opcional → resolve via store
+
+Helper local no repository:
+
+```js
+import { useTenantStore } from '@/stores/tenantStore';
+import { assertTenantId } from './_tenantGuards';
+
+function resolveTenantId(tenantIdArg) {
+    const tenantStore = useTenantStore();
+    const tenantId = tenantIdArg || tenantStore.activeTenantId;
+    assertTenantId(tenantId);
+    return tenantId;
+}
+```
+
+Por que opcional? Composable pode passar `tenantId` explícito (testes, multi-tenant ops). Default chega via store.
+
+### Errors throw, nunca silent
+
+```js
+const { data, error } = await supabase.from('...').select(...);
+if (error) throw error;  // ✅
+// ❌ if (error) return null;
+// ❌ if (error) console.error(error);
+```
+
+Composable decide se faz `try/catch` + toast.
+
+### Ranges half-open
+
+```js
+// ✅ certo — half-open
+.gte('inicio_em', startISO).lt('inicio_em', endISO)
+
+// ❌ errado — fechado, gera off-by-one no último ms
+.gte('inicio_em', startISO).lte('inicio_em', endISO)
+```
+
+### Strip campos legados antes de insert/update
+
+```js
+// eslint-disable-next-line no-unused-vars
+const { paciente_id: _dropped, ...safePayload } = payload;
+```
+
+Quando há migração de coluna em andamento ou campo virtual no UI.
+
+---
+
+## 6. Operações CRUD — pattern
+
+### Create (owner-scoped)
+
+```js
+export async function create<Feature>(payload) {
+    if (!payload) throw new Error('Payload vazio.');
+    const uid = await getUid();
+    const tid = resolveTenantId();
+
+    const { paciente_id: _dropped, ...rest } = payload;
+    const insertPayload = { ...rest, tenant_id: tid, owner_id: uid };
+
+    const { data, error } = await supabase
+        .from('<tabela>')
+        .insert([insertPayload])
+        .select(<FEATURE>_SELECT)
+        .single();
+
+    if (error) throw error;
+    return flatten<Feature>Row(data);
+}
+```
+
+**Sempre:**
+- `tenant_id` injetado do store (não aceita do payload)
+- `owner_id` injetado do uid logado (ignora do payload — clinic-scoped variant pode aceitar explícito)
+- `.select(...)` + `.single()` retorna o registro completo
+
+### Update
+
+```js
+export async function update<Feature>(id, patch, { tenantId } = {}) {
+    if (!id) throw new Error('ID inválido.');
+    if (!patch) throw new Error('Patch vazio.');
+    const tid = resolveTenantId(tenantId);
+
+    const { paciente_id: _dropped, ...safePatch } = patch;
+
+    const { data, error } = await supabase
+        .from('<tabela>')
+        .update(safePatch)
+        .eq('id', id)
+        .eq('tenant_id', tid)  // ← defesa em profundidade — RLS reforça no banco
+        .select(<FEATURE>_SELECT)
+        .single();
+
+    if (error) throw error;
+    return flatten<Feature>Row(data);
+}
+```
+
+### Delete
+
+```js
+export async function delete<Feature>(id, { tenantId } = {}) {
+    if (!id) throw new Error('ID inválido.');
+    const tid = resolveTenantId(tenantId);
+
+    const { error } = await supabase
+        .from('<tabela>')
+        .delete()
+        .eq('id', id)
+        .eq('tenant_id', tid);
+
+    if (error) throw error;
+    return true;
+}
+```
+
+### List (range query)
+
+```js
+export async function list<Feature>({ startISO, endISO, ownerId, tenantId } = {}) {
+    assertIsoRange(startISO, endISO);
+    const uid = ownerId || (await getUid());
+    const tid = resolveTenantId(tenantId);
+
+    const { data, error } = await supabase
+        .from('<tabela>')
+        .select(<FEATURE>_SELECT)
+        .eq('tenant_id', tid)
+        .eq('owner_id', uid)
+        .gte('inicio_em', startISO)
+        .lt('inicio_em', endISO)
+        .order('inicio_em', { ascending: true });
+
+    if (error) throw error;
+    return (data || []).map(flatten<Feature>Row);
+}
+```
+
+### Clinic-scoped variant (admin/secretaria)
+
+Diferenças em relação ao owner-scoped:
+- `tenantId` **obrigatório explícito** (sem default via store — admin pode operar em qualquer tenant onde tem permissão)
+- `ownerIds` é array (multi-terapeuta no mosaico) → `sanitizeOwnerIds` antes do `.in(...)`
+- Permite definir `owner_id` no create (admin cria pra qualquer terapeuta do tenant)
+- Sem `excludeMirror` automático — depende do uso
+
+Referência: `src/features/agenda/services/agendaClinicRepository.js`
+
+---
+
+## 7. Anti-patterns (NÃO fazer)
+
+### ❌ Inline SELECT espalhado
+
+```js
+// ❌ em useFoo.js
+const { data } = await supabase.from('events').select('id, owner_id, patient_id, ...');
+
+// ❌ em fooRepository.js
+const { data } = await supabase.from('events').select('id, owner_id, ...');  // ← divergente
+```
+
+✅ Extrair pra `<feature>Selects.js`.
+
+### ❌ `useTenantStore()` em vários arquivos
+
+```js
+// ❌ em 5 arquivos diferentes
+const tenantStore = useTenantStore();
+const tid = tenantStore.activeTenantId;
+if (!tid) throw new Error('...');
+```
+
+✅ `resolveTenantId(tenantIdArg)` no topo do repo.
+
+### ❌ Aceitar `owner_id` do payload em create owner-scoped
+
+```js
+// ❌ permite usuário criar evento "de outro terapeuta"
+await supabase.from('events').insert({ ...payload, tenant_id: tid });
+```
+
+✅ Sempre injetar `owner_id` do uid logado (sobrescreve qualquer valor do payload).
+
+### ❌ `delete()` sem `.eq('tenant_id', tid)`
+
+```js
+// ❌ RLS deveria pegar, mas defesa em profundidade
+await supabase.from('events').delete().eq('id', id);
+```
+
+✅ Sempre filtra `.eq('tenant_id', tid)` mesmo com RLS ativo.
+
+### ❌ Return null em erro
+
+```js
+// ❌
+if (error) {
+    console.error(error);
+    return null;
+}
+```
+
+✅ `throw error`. Composable decide o que fazer.
+
+### ❌ Range fechado
+
+```js
+// ❌ — `2026-05-20` no `endISO` faz aparecer o dia inteiro do 20
+.gte('inicio_em', startISO).lte('inicio_em', endISO)
+```
+
+✅ Half-open: `.gte(...).lt(...)`. Caller passa `endISO` como o início do próximo bucket.
+
+### ❌ `paciente_id` (ou outro campo legado) chegando ao banco
+
+A migração já dropou colunas legadas. Strip no `safePayload` evita 400 silencioso.
+
+---
+
+## 8. Checklist de auditoria por módulo
+
+Quando rodar `/audit-module <nome>`, validar:
+
+- [ ] `services/_tenantGuards.js` existe (ou inline se 1 repo só)
+- [ ] `services/<feature>Selects.js` existe e exporta `<FEATURE>_SELECT`
+- [ ] `services/<feature>Repository.js` é pure functions (sem classe/state)
+- [ ] `resolveTenantId(tenantIdArg)` local — não `useTenantStore()` espalhado
+- [ ] Toda operação injeta `tenant_id` no insert/update
+- [ ] Create owner-scoped injeta `owner_id` do uid logado (ignora do payload)
+- [ ] Update/delete filtram `.eq('id').eq('tenant_id', tid)` — defesa em profundidade
+- [ ] FKs explícitas nos joins (`<tabela>!<fk_name>`)
+- [ ] Errors `throw`, nunca silent
+- [ ] Ranges half-open (`gte + lt`)
+- [ ] Strip de campos legados em insert/update
+- [ ] Clinic-scoped variant (se existe) sem default via store, tenantId obrigatório
+- [ ] `flatten<Feature>Row` definido se há joins aninhados
+
+Divergências viram items em `dev_auditoria_items` com:
+- `categoria`: `padronizacao`
+- `tag`: `padronizacao:<modulo>`
+- `severidade`: alta se viola segurança (tenant leak), média se viola convenção, baixa se cosmético
+- `arquivo`: path do arquivo
+- `solucao`: referência ao item do checklist
+
+---
+
+## 9. Referências
+
+- Canônico: `src/features/agenda/services/`
+- Variant clinic: `src/features/agenda/services/agendaClinicRepository.js`
+- Tracker: `dev_auditoria_items` com tag `padronizacao:<modulo>`
+- Decisões macro: `development/02-auditoria/PADRONIZACAO.md`

database-novo/agenciapsi-db-dashboard.html

@@ -3,7 +3,7 @@
 <head>
 <meta charset="UTF-8">
 <meta name="viewport" content="width=device-width, initial-scale=1.0">
-<title>AgenciaPsi DB · 2026-05-04</title>
+<title>AgenciaPsi DB · 2026-05-11</title>
 <style>
   @import url('https://fonts.googleapis.com/css2?family=IBM+Plex+Mono:wght@400;600&family=Space+Grotesk:wght@300;400;500;600;700&display=swap');
   :root{--bg:#0b0d12;--bg2:#111520;--bg3:#181e2d;--border:#1e2740;--border2:#263050;--text:#e2e8f8;--text2:#7d8fb3;--text3:#4a5a80;--accent:#6366f1;--accent2:#6ee7b7;--pk:#fbbf24;--fk:#f472b6;--ok:#34d399;--warn:#fbbf24;--pend:#f87171;--leg:#94a3b8}
@@ -101,7 +101,7 @@
 <body>
 <div class="topbar">
   <div class="brand">Agência<span>Psi</span> DB</div>
-  <span class="gen">2026-05-04 · 04/05/2026, 14:09:20</span>
+  <span class="gen">2026-05-11 · 11/05/2026, 10:51:25</span>
   <input class="search" id="si" placeholder="Buscar tabela ou coluna..." oninput="search(this.value)">
   <div class="pills">
     <div class="pill"><strong>138</strong> tabelas</div>

database-novo/db.config.json

@@ -22,7 +22,10 @@
       "seed_015_document_templates.sql",
       "seed_030_dev_phases_items.sql",
       "seed_031_dev_auditoria.sql",
-      "seed_032_dev_competitors.sql"
+      "seed_032_dev_competitors.sql",
+      "seed_040_clinical_note_templates.sql",
+      "seed_050_specialties.sql",
+      "seed_060_consent_forms_extra.sql"
     ],
     "test_data": [
       "seed_020_test_data.sql"
@@ -106,7 +109,7 @@
       "contact_email_types", "contact_emails"
     ],
     "Agenda / Agendamento": [
-      "agenda_eventos", "agenda_bloqueios", "agenda_configuracoes", "agenda_excecoes",
+      "agenda_eventos", "agenda_bloqueios", "agenda_configuracoes",
       "agenda_online_slots", "agenda_regras_semanais",
       "agenda_slots_bloqueados_semanais", "agenda_slots_regras",
       "agendador_configuracoes", "agendador_solicitacoes"

database-novo/docs/schema_map.md

@@ -43,13 +43,12 @@ Mapa completo do banco de dados PostgreSQL 17, extraído de `schema.sql` (2026-0
 | `module_features` | Features por módulo |
 | `tenant_modules` | Módulos ativos por tenant |
 
-### Agenda (11 tabelas)
+### Agenda (10 tabelas)
 | Tabela | Descrição |
 |--------|-----------|
 | `agenda_bloqueios` | Bloqueios de horário |
 | `agenda_configuracoes` | Configurações da agenda por tenant_member |
 | `agenda_eventos` | Eventos da agenda (sessões, bloqueios) |
-| `agenda_excecoes` | Exceções na agenda (horários extras, bloqueios pontuais) |
 | `agenda_online_slots` | Slots de agendamento online |
 | `agenda_regras_semanais` | Regras semanais de disponibilidade |
 | `agenda_slots_bloqueados_semanais` | Slots bloqueados na semana |

database-novo/migrations/20260511000001_session_default_notes_field.sql

@@ -0,0 +1,209 @@
+-- ==========================================================================
+-- Agencia PSI — Migracao: campo "Observacao" nativo no commitment Sessao
+-- ==========================================================================
+-- Antes: o commitment determinado 'Sessao' (is_native=true, native_key='session')
+-- nao tinha campos extras default. Os outros nativos (Leitura, Supervisao, Aula,
+-- Analise Pessoal) ja vinham com 'notes' (Observacao, textarea) — Sessao era
+-- a unica excecao.
+--
+-- O AgendaEventDialog tinha uma textarea hard-coded "Observacao" no form, fora
+-- do mecanismo de extra_fields. Pra padronizar (e pra que a Observacao da
+-- sessao siga o mesmo storage que os outros commitments: agenda_eventos.extra_fields),
+-- a textarea hardcoded foi removida do .vue e Sessao agora ganha 'notes' como
+-- campo extra default.
+--
+-- Esta migracao:
+-- 1. Adiciona 'notes' (Observacao, textarea) em TODOS os commitments Sessao
+--    existentes (idempotente — so insere se ainda nao houver).
+-- 2. Atualiza a funcao seed_determined_commitments pra que novos tenants criados
+--    daqui pra frente ja venham com 'notes' no Sessao por padrao.
+-- ==========================================================================
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. Backfill — adiciona 'notes' nos commitments Sessao ja existentes
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+SELECT dc.tenant_id, dc.id, 'notes', 'Observação', 'textarea', false, 30
+FROM public.determined_commitments dc
+WHERE dc.is_native = true
+  AND dc.native_key = 'session'
+  AND NOT EXISTS (
+      SELECT 1 FROM public.determined_commitment_fields f
+      WHERE f.commitment_id = dc.id AND f.key = 'notes'
+  );
+
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. Forward-fix — funcao seed_determined_commitments inclui 'notes' em Sessao
+-- ──────────────────────────────────────────────────────────────────────────
+CREATE OR REPLACE FUNCTION public.seed_determined_commitments(p_tenant_id uuid) RETURNS void
+    LANGUAGE plpgsql SECURITY DEFINER
+    AS $$
+declare
+  v_id uuid;
+begin
+  -- Sessão (locked + sempre ativa)
+  if not exists (
+    select 1 from public.determined_commitments
+    where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
+  ) then
+    insert into public.determined_commitments
+      (tenant_id, is_native, native_key, is_locked, active, name, description)
+    values
+      (p_tenant_id, true, 'session', true, true, 'Sessão', 'Sessão com paciente');
+  end if;
+
+  -- Leitura
+  if not exists (
+    select 1 from public.determined_commitments
+    where tenant_id = p_tenant_id and is_native = true and native_key = 'reading'
+  ) then
+    insert into public.determined_commitments
+      (tenant_id, is_native, native_key, is_locked, active, name, description)
+    values
+      (p_tenant_id, true, 'reading', false, true, 'Leitura', 'Praticar leitura');
+  end if;
+
+  -- Supervisão
+  if not exists (
+    select 1 from public.determined_commitments
+    where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
+  ) then
+    insert into public.determined_commitments
+      (tenant_id, is_native, native_key, is_locked, active, name, description)
+    values
+      (p_tenant_id, true, 'supervision', false, true, 'Supervisão', 'Supervisão');
+  end if;
+
+  -- Aula
+  if not exists (
+    select 1 from public.determined_commitments
+    where tenant_id = p_tenant_id and is_native = true and native_key = 'class'
+  ) then
+    insert into public.determined_commitments
+      (tenant_id, is_native, native_key, is_locked, active, name, description)
+    values
+      (p_tenant_id, true, 'class', false, false, 'Aula', 'Dar aula');
+  end if;
+
+  -- Análise pessoal
+  if not exists (
+    select 1 from public.determined_commitments
+    where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
+  ) then
+    insert into public.determined_commitments
+      (tenant_id, is_native, native_key, is_locked, active, name, description)
+    values
+      (p_tenant_id, true, 'analysis', false, true, 'Análise Pessoal', 'Minha análise pessoal');
+  end if;
+
+  -- -------------------------------------------------------
+  -- Campos padrão (idempotentes por (commitment_id, key))
+  -- -------------------------------------------------------
+
+  -- Sessão (NOVO em 2026-05-11: 'notes' como Observação default)
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
+  -- Leitura
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'reading'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'book') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'book', 'Livro', 'text', false, 10);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'author') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'author', 'Autor', 'text', false, 20);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
+  -- Supervisão
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'supervisor') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'supervisor', 'Supervisor', 'text', false, 10);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'topic') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'topic', 'Assunto', 'text', false, 20);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
+  -- Aula
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'class'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'theme') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'theme', 'Tema', 'text', false, 10);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'group') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'group', 'Turma', 'text', false, 20);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
+  -- Análise
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'analyst') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'analyst', 'Analista', 'text', false, 10);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'focus') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'focus', 'Foco', 'text', false, 20);
+    end if;
+
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+end;
+$$;

database-novo/migrations/20260513000001_drop_agenda_excecoes.sql

@@ -0,0 +1,32 @@
+-- ============================================================================
+-- Drop agenda_excecoes (tabela órfã) + tipos relacionados
+-- ----------------------------------------------------------------------------
+-- A tabela `public.agenda_excecoes` foi criada num design anterior pra
+-- representar "exceções no horário de trabalho" (almoço extra, atendimento
+-- fora do padrão, etc) mas nunca foi integrada à UI. Auditoria em
+-- 2026-05-13 confirmou 0 referências em src/. As funcionalidades equivalentes
+-- vivem em:
+--   - public.agenda_bloqueios            — bloqueios (período, dia, horário, feriado)
+--   - public.agenda_configuracoes.pausas_semanais (jsonb) — pausas semanais
+--   - public.feriados                    — feriados nacionais/municipais
+--
+-- Esta migration:
+--   1) Dropa o trigger tg_agenda_excecoes_updated_at
+--   2) Dropa a tabela public.agenda_excecoes (CASCADE pra cair policies)
+--   3) Dropa os enums tipo_excecao_agenda e status_excecao_agenda
+--      (verificados: usados APENAS por agenda_excecoes)
+-- ============================================================================
+
+BEGIN;
+
+-- 1. Trigger (idempotente)
+DROP TRIGGER IF EXISTS tg_agenda_excecoes_updated_at ON public.agenda_excecoes;
+
+-- 2. Tabela (CASCADE leva policies junto)
+DROP TABLE IF EXISTS public.agenda_excecoes CASCADE;
+
+-- 3. Enums órfãos
+DROP TYPE IF EXISTS public.tipo_excecao_agenda;
+DROP TYPE IF EXISTS public.status_excecao_agenda;
+
+COMMIT;

database-novo/migrations/20260514000001_financial_records_payment_link.sql

@@ -0,0 +1,24 @@
+-- ============================================================================
+-- Adiciona coluna payment_link em financial_records
+-- ----------------------------------------------------------------------------
+-- Quando a cobrança for paga via gateway externo (Asaas, Stripe, Mercado Pago)
+-- e o terapeuta escolher "Enviar link de pagamento" no AgendaEventDialog, o
+-- link de cobrança gerado pelo gateway é salvo aqui. UI da lista do Financeiro
+-- usa esse campo pra exibir ícone clicável (external-link).
+--
+-- Campo nullable: registros sem integração de gateway (PIX manual, dinheiro,
+-- depósito, cartão maquininha) ficam com payment_link = NULL.
+--
+-- Preparação pra Fase 7 (Pagamento como entidade separada) — quando a
+-- integração Asaas estiver completa, o webhook vai preencher esse campo.
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.financial_records
+    ADD COLUMN IF NOT EXISTS payment_link text;
+
+COMMENT ON COLUMN public.financial_records.payment_link IS
+    'URL externa de cobrança (Asaas/Stripe/etc) quando payment_method indica gateway. Null em pagamentos manuais.';
+
+COMMIT;

database-novo/migrations/20260514000002_financial_exceptions_consume_on_miss.sql

@@ -0,0 +1,22 @@
+-- ============================================================================
+-- Adiciona coluna default_consume_on_miss em financial_exceptions
+-- ----------------------------------------------------------------------------
+-- Define o comportamento padrão pro saldo de pacote quando o status muda
+-- pra "faltou" ou "cancelado":
+--   true  → desconta 1 sessão do pacote (sessions_used += 1) por padrão
+--   false → não consome saldo (sessão fica disponível pra remarcar)
+--
+-- O dialog de confirmação que aparece ao mudar status sugere essa decisão
+-- mas o terapeuta pode override caso a caso. Padrão começa false (mais
+-- benevolente ao paciente).
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.financial_exceptions
+    ADD COLUMN IF NOT EXISTS default_consume_on_miss boolean DEFAULT false NOT NULL;
+
+COMMENT ON COLUMN public.financial_exceptions.default_consume_on_miss IS
+    'Default pro toggle "Descontar do saldo" no dialog de status change. false = não consome (paciente pode remarcar); true = consome (sessão perdida).';
+
+COMMIT;

database-novo/migrations/20260514000003_billing_contracts_charging_style.sql

@@ -0,0 +1,31 @@
+-- ============================================================================
+-- Adiciona coluna charging_style em billing_contracts
+-- ----------------------------------------------------------------------------
+-- Identifica como o pacote foi cobrado na criação:
+--   'upfront'    → 1 financial_record total criado na hora; sessões só
+--                  consomem saldo, não geram nova cobrança
+--   'saldo'      → sem financial_record na criação; cada sessão realizada
+--                  gera 1 cobrança individual e incrementa sessions_used
+--   'per_session'→ N financial_records já criados na materialização da série
+--                  (chargeMode='per_session' do AgendaEventDialog)
+--
+-- Sem esse campo, o handler de status change não saberia distinguir entre
+-- "já tudo pago, só atualizar status" vs "criar cobrança nova".
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.billing_contracts
+    ADD COLUMN IF NOT EXISTS charging_style text DEFAULT 'saldo';
+
+-- Constraint pra restringir aos 3 valores válidos
+ALTER TABLE public.billing_contracts
+    DROP CONSTRAINT IF EXISTS billing_contracts_charging_style_chk;
+ALTER TABLE public.billing_contracts
+    ADD CONSTRAINT billing_contracts_charging_style_chk
+        CHECK (charging_style = ANY (ARRAY['upfront'::text, 'saldo'::text, 'per_session'::text]));
+
+COMMENT ON COLUMN public.billing_contracts.charging_style IS
+    'Estilo de cobrança: upfront (1 record total no início), saldo (cobra por sessão realizada), per_session (N records já criados).';
+
+COMMIT;

database-novo/migrations/20260519000001_create_financial_record_ignore_cancelled.sql

@@ -0,0 +1,86 @@
+-- ============================================================================
+-- create_financial_record_for_session: idempotência ignora cancelled
+-- ----------------------------------------------------------------------------
+-- Bug: a função recusava criar um novo financial_record quando já existia
+-- um record cancelled pro mesmo agenda_evento_id, porque a checagem de
+-- idempotência só filtrava `deleted_at IS NULL` (e cancel preserva
+-- deleted_at = NULL pra manter auditoria).
+--
+-- Consequência: user cancelava cobrança sem querer e ficava preso — todo
+-- "Gerar cobrança" subsequente retornava o registro cancelado sem inserir
+-- nova linha (frontend recebia data, achava sucesso, mas DB ficava como
+-- estava).
+--
+-- Fix: adiciona `AND status != 'cancelled'` na checagem. Cancelled passa a
+-- ser tratado como "sem cobrança ativa" pra idempotência. Audit history
+-- continua preservado (rows cancelled permanecem na tabela).
+--
+-- Idempotente: CREATE OR REPLACE substitui a função existente.
+-- ============================================================================
+
+BEGIN;
+
+CREATE OR REPLACE FUNCTION public.create_financial_record_for_session(
+    p_tenant_id uuid,
+    p_owner_id uuid,
+    p_patient_id uuid,
+    p_agenda_evento_id uuid,
+    p_amount numeric,
+    p_due_date date
+) RETURNS SETOF public.financial_records
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+  v_existing public.financial_records%ROWTYPE;
+  v_new      public.financial_records%ROWTYPE;
+BEGIN
+  -- Idempotência: retorna o registro existente se já foi criado.
+  -- Ignora cancelled (treat as "no active record") pra permitir regenerar
+  -- cobrança após cancelamento.
+  SELECT * INTO v_existing
+  FROM public.financial_records
+  WHERE agenda_evento_id = p_agenda_evento_id
+    AND deleted_at IS NULL
+    AND status != 'cancelled'
+  LIMIT 1;
+
+  IF FOUND THEN
+    RETURN NEXT v_existing;
+    RETURN;
+  END IF;
+
+  -- Cria o novo registro
+  INSERT INTO public.financial_records (
+    tenant_id,
+    owner_id,
+    patient_id,
+    agenda_evento_id,
+    amount,
+    discount_amount,
+    final_amount,
+    status,
+    due_date
+  ) VALUES (
+    p_tenant_id,
+    p_owner_id,
+    p_patient_id,
+    p_agenda_evento_id,
+    p_amount,
+    0,
+    p_amount,
+    'pending',
+    p_due_date
+  )
+  RETURNING * INTO v_new;
+
+  -- Marca o evento da agenda como billed = true
+  UPDATE public.agenda_eventos
+    SET billed = TRUE
+  WHERE id = p_agenda_evento_id;
+
+  RETURN NEXT v_new;
+END;
+$$;
+
+COMMIT;

database-novo/migrations/20260520000001_clinical_notes_tables.sql

@@ -0,0 +1,165 @@
+-- ============================================================================
+-- Cria tabelas do prontuário clínico
+-- ----------------------------------------------------------------------------
+-- Núcleo do prontuário: notas clínicas (anamnese, evolução, plano), com
+-- versionamento (audit trail) e templates (SOAP/DAP/BIRP/livre).
+--
+-- Decisões (sessão de modelagem 2026-05-20):
+--   • Tabela única `clinical_notes` discriminada por `note_type` (não 1 tabela
+--     por tipo). Templates customizáveis exigem flexibilidade.
+--   • `content_text` (livre) + `content_structured` (jsonb) coexistem na mesma
+--     row — UI prioriza conforme template; busca/edit rápido sempre tem text.
+--   • Versionamento via snapshot completo (não diff) em `clinical_note_versions`
+--     — restore trivial e audit visualization friendly. Trigger de versionamento
+--     criado em migration separada.
+--   • Instrumentos de avaliação (GAD-7, PHQ-9, etc) ficam pra Fase 2.
+--   • RLS: owner-only (terapeuta responsável). Sem clinic-wide read — CFP exige
+--     sigilo entre profissionais. Policies em migration separada.
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. clinical_notes — núcleo do prontuário
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.clinical_notes (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid NOT NULL,
+    owner_id uuid NOT NULL,                              -- terapeuta responsável
+    patient_id uuid NOT NULL REFERENCES public.patients(id) ON DELETE RESTRICT,
+    session_event_id uuid REFERENCES public.agenda_eventos(id) ON DELETE SET NULL,
+    note_type text NOT NULL,
+    template_id uuid,                                    -- FK adicionada após criar templates
+    title text,
+    content_text text,
+    content_structured jsonb,
+    pinned boolean DEFAULT false NOT NULL,
+    is_draft boolean DEFAULT false NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    created_by uuid NOT NULL,
+    updated_by uuid,
+    deleted_at timestamp with time zone,
+    deleted_by uuid,
+    CONSTRAINT clinical_notes_note_type_check CHECK (note_type IN (
+        'anamnese',
+        'evolucao_sessao',
+        'plano_terapeutico',
+        'observacao_livre',
+        'resumo_caso'
+    )),
+    CONSTRAINT clinical_notes_content_present_check CHECK (
+        content_text IS NOT NULL OR content_structured IS NOT NULL
+    )
+);
+
+COMMENT ON TABLE public.clinical_notes IS
+    'Notas clínicas do prontuário (anamnese, evolução de sessão, plano, observações). Owner-only via RLS — CFP exige sigilo.';
+COMMENT ON COLUMN public.clinical_notes.session_event_id IS
+    'Sessão associada (quando aplicável). Anamnese/plano/resumo podem ter NULL.';
+COMMENT ON COLUMN public.clinical_notes.content_text IS
+    'Conteúdo em texto livre (sempre disponível pra busca/edit rápido).';
+COMMENT ON COLUMN public.clinical_notes.content_structured IS
+    'Conteúdo em formato estruturado quando há template ativo (jsonb dos campos preenchidos).';
+
+CREATE INDEX IF NOT EXISTS idx_clinical_notes_patient_recent
+    ON public.clinical_notes (tenant_id, patient_id, created_at DESC)
+    WHERE deleted_at IS NULL;
+CREATE INDEX IF NOT EXISTS idx_clinical_notes_owner
+    ON public.clinical_notes (owner_id)
+    WHERE deleted_at IS NULL;
+CREATE INDEX IF NOT EXISTS idx_clinical_notes_session
+    ON public.clinical_notes (session_event_id)
+    WHERE session_event_id IS NOT NULL AND deleted_at IS NULL;
+CREATE INDEX IF NOT EXISTS idx_clinical_notes_type
+    ON public.clinical_notes (tenant_id, patient_id, note_type)
+    WHERE deleted_at IS NULL;
+CREATE INDEX IF NOT EXISTS idx_clinical_notes_pinned
+    ON public.clinical_notes (tenant_id, patient_id)
+    WHERE pinned = true AND deleted_at IS NULL;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. clinical_note_versions — audit trail (snapshot completo)
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.clinical_note_versions (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    note_id uuid NOT NULL REFERENCES public.clinical_notes(id) ON DELETE CASCADE,
+    tenant_id uuid NOT NULL,
+    version_number integer NOT NULL,
+    title text,
+    content_text text,
+    content_structured jsonb,
+    change_reason text,                                  -- 'criacao' | 'edicao' | livre
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    created_by uuid NOT NULL,
+    CONSTRAINT clinical_note_versions_unique UNIQUE (note_id, version_number)
+);
+
+COMMENT ON TABLE public.clinical_note_versions IS
+    'Snapshot completo de cada versão de clinical_notes. Criado via trigger AFTER INSERT OR UPDATE.';
+
+CREATE INDEX IF NOT EXISTS idx_clinical_note_versions_recent
+    ON public.clinical_note_versions (note_id, version_number DESC);
+CREATE INDEX IF NOT EXISTS idx_clinical_note_versions_audit
+    ON public.clinical_note_versions (created_by, created_at DESC);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 3. clinical_note_templates — templates SOAP/DAP/BIRP/anamnese padrão
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.clinical_note_templates (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid,                                      -- NULL = template global do sistema
+    owner_id uuid,                                       -- NULL = template do tenant inteiro
+    key text NOT NULL,                                   -- 'soap', 'dap', 'birp', 'anamnese_padrao', ...
+    name text NOT NULL,
+    note_type text NOT NULL,
+    description text,
+    structure jsonb NOT NULL,                            -- [{key, label, type, required, hint}]
+    is_system boolean DEFAULT false NOT NULL,
+    is_global boolean DEFAULT false NOT NULL,
+    active boolean DEFAULT true NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT clinical_note_templates_note_type_check CHECK (note_type IN (
+        'anamnese',
+        'evolucao_sessao',
+        'plano_terapeutico',
+        'observacao_livre',
+        'resumo_caso'
+    )),
+    CONSTRAINT clinical_note_templates_scope_check CHECK (
+        -- Sistema: ambos NULL e is_system=true
+        -- Tenant-wide: tenant_id presente, owner_id NULL
+        -- Owner: ambos presentes
+        (is_system = true AND tenant_id IS NULL AND owner_id IS NULL)
+        OR (is_system = false AND tenant_id IS NOT NULL)
+    )
+);
+
+COMMENT ON TABLE public.clinical_note_templates IS
+    'Templates de notas clínicas. Escopo: sistema (is_system, sem tenant), tenant-wide (tenant_id sem owner), owner (ambos).';
+
+CREATE INDEX IF NOT EXISTS idx_clinical_note_templates_active
+    ON public.clinical_note_templates (note_type)
+    WHERE active = true;
+CREATE INDEX IF NOT EXISTS idx_clinical_note_templates_tenant
+    ON public.clinical_note_templates (tenant_id, note_type)
+    WHERE tenant_id IS NOT NULL AND active = true;
+CREATE INDEX IF NOT EXISTS idx_clinical_note_templates_owner
+    ON public.clinical_note_templates (owner_id, note_type)
+    WHERE owner_id IS NOT NULL AND active = true;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 4. FK de clinical_notes.template_id (criada agora que templates existe)
+-- ──────────────────────────────────────────────────────────────────────────
+
+ALTER TABLE public.clinical_notes
+    ADD CONSTRAINT clinical_notes_template_fkey
+    FOREIGN KEY (template_id)
+    REFERENCES public.clinical_note_templates(id)
+    ON DELETE SET NULL;
+
+COMMIT;

database-novo/migrations/20260520000002_clinical_notes_rls.sql

@@ -0,0 +1,111 @@
+-- ============================================================================
+-- RLS policies do prontuário clínico
+-- ----------------------------------------------------------------------------
+-- Padrão MAIS RESTRITIVO que agenda — CFP exige sigilo profissional entre
+-- terapeutas do mesmo tenant. Default: APENAS o owner (terapeuta responsável)
+-- lê e escreve. Sem clinic-wide read.
+--
+-- Compartilhamento com supervisor / outro terapeuta vai requerer policy
+-- específica baseada em tabela `clinical_note_shares` (Fase 2).
+--
+-- Templates seguem regra mais aberta:
+--   • Sistema (is_system): todos authenticated leem
+--   • Tenant-wide (tenant_id): membros do tenant leem; tenant_admin edita
+--   • Owner: só o owner lê/edita
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- clinical_notes — owner only
+-- ──────────────────────────────────────────────────────────────────────────
+
+ALTER TABLE public.clinical_notes ENABLE ROW LEVEL SECURITY;
+
+CREATE POLICY clinical_notes_owner_select
+    ON public.clinical_notes FOR SELECT TO authenticated
+    USING (owner_id = auth.uid() AND deleted_at IS NULL);
+
+CREATE POLICY clinical_notes_owner_insert
+    ON public.clinical_notes FOR INSERT TO authenticated
+    WITH CHECK (
+        owner_id = auth.uid()
+        AND public.is_tenant_member(tenant_id)
+    );
+
+CREATE POLICY clinical_notes_owner_update
+    ON public.clinical_notes FOR UPDATE TO authenticated
+    USING (owner_id = auth.uid())
+    WITH CHECK (owner_id = auth.uid());
+
+-- DELETE só por soft-delete (UPDATE deleted_at). Hard delete bloqueado em RLS.
+-- Backup/admin pode dropar via psql -U supabase_admin se preciso.
+CREATE POLICY clinical_notes_no_hard_delete
+    ON public.clinical_notes FOR DELETE TO authenticated
+    USING (false);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- clinical_note_versions — read-only pelo owner da nota
+-- ──────────────────────────────────────────────────────────────────────────
+
+ALTER TABLE public.clinical_note_versions ENABLE ROW LEVEL SECURITY;
+
+CREATE POLICY clinical_note_versions_owner_select
+    ON public.clinical_note_versions FOR SELECT TO authenticated
+    USING (
+        EXISTS (
+            SELECT 1 FROM public.clinical_notes cn
+            WHERE cn.id = clinical_note_versions.note_id
+              AND cn.owner_id = auth.uid()
+        )
+    );
+
+-- INSERT só via trigger (SECURITY DEFINER). Sem policy de UPDATE/DELETE —
+-- versões são imutáveis. Trigger usa role bypass.
+CREATE POLICY clinical_note_versions_no_write
+    ON public.clinical_note_versions FOR INSERT TO authenticated
+    WITH CHECK (false);
+CREATE POLICY clinical_note_versions_no_update
+    ON public.clinical_note_versions FOR UPDATE TO authenticated
+    USING (false);
+CREATE POLICY clinical_note_versions_no_delete
+    ON public.clinical_note_versions FOR DELETE TO authenticated
+    USING (false);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- clinical_note_templates — escopo escalonado
+-- ──────────────────────────────────────────────────────────────────────────
+
+ALTER TABLE public.clinical_note_templates ENABLE ROW LEVEL SECURITY;
+
+-- SELECT: sistema (qualquer authenticated) + tenant-wide (membros) + owner (próprio)
+CREATE POLICY clinical_note_templates_select
+    ON public.clinical_note_templates FOR SELECT TO authenticated
+    USING (
+        active = true
+        AND (
+            is_system = true
+            OR (tenant_id IS NOT NULL AND public.is_tenant_member(tenant_id))
+        )
+    );
+
+-- INSERT/UPDATE/DELETE: só owner ou tenant_admin do tenant
+-- Templates do sistema (is_system) nunca alteráveis via UI — só via seed/migration.
+CREATE POLICY clinical_note_templates_owner_write
+    ON public.clinical_note_templates TO authenticated
+    USING (
+        is_system = false
+        AND (
+            owner_id = auth.uid()
+            OR (owner_id IS NULL AND public.is_tenant_admin(tenant_id))
+        )
+    )
+    WITH CHECK (
+        is_system = false
+        AND (
+            owner_id = auth.uid()
+            OR (owner_id IS NULL AND public.is_tenant_admin(tenant_id))
+        )
+    );
+
+COMMIT;

database-novo/migrations/20260520000003_clinical_notes_versioning.sql

@@ -0,0 +1,117 @@
+-- ============================================================================
+-- Trigger de versionamento automático de clinical_notes
+-- ----------------------------------------------------------------------------
+-- A cada INSERT ou UPDATE relevante em clinical_notes, cria snapshot completo
+-- em clinical_note_versions. Função é SECURITY DEFINER pra bypassar a RLS
+-- (que bloqueia INSERT direto em clinical_note_versions).
+--
+-- Versionamento dispara em:
+--   • INSERT — registra criação (version_number = 1)
+--   • UPDATE em content_text, content_structured ou title — registra edição
+--
+-- Mudanças em pinned/is_draft NÃO disparam versionamento (mudança de UI/state,
+-- não de conteúdo).
+-- ============================================================================
+
+BEGIN;
+
+CREATE OR REPLACE FUNCTION public.fn_clinical_note_version()
+RETURNS trigger
+LANGUAGE plpgsql
+SECURITY DEFINER
+SET search_path = public
+AS $$
+DECLARE
+    next_version integer;
+    reason text;
+BEGIN
+    SELECT COALESCE(MAX(version_number), 0) + 1
+      INTO next_version
+      FROM public.clinical_note_versions
+     WHERE note_id = NEW.id;
+
+    IF TG_OP = 'INSERT' THEN
+        reason := 'criacao';
+    ELSIF TG_OP = 'UPDATE' THEN
+        IF NEW.deleted_at IS NOT NULL AND OLD.deleted_at IS NULL THEN
+            reason := 'soft_delete';
+        ELSIF NEW.deleted_at IS NULL AND OLD.deleted_at IS NOT NULL THEN
+            reason := 'restore';
+        ELSE
+            reason := 'edicao';
+        END IF;
+    ELSE
+        reason := 'desconhecido';
+    END IF;
+
+    INSERT INTO public.clinical_note_versions (
+        note_id,
+        tenant_id,
+        version_number,
+        title,
+        content_text,
+        content_structured,
+        change_reason,
+        created_at,
+        created_by
+    ) VALUES (
+        NEW.id,
+        NEW.tenant_id,
+        next_version,
+        NEW.title,
+        NEW.content_text,
+        NEW.content_structured,
+        reason,
+        now(),
+        COALESCE(NEW.updated_by, NEW.created_by)
+    );
+
+    RETURN NEW;
+END;
+$$;
+
+COMMENT ON FUNCTION public.fn_clinical_note_version() IS
+    'Snapshot completo de clinical_notes a cada INSERT/UPDATE relevante. SECURITY DEFINER bypassa RLS pra escrever em clinical_note_versions (que bloqueia INSERT direto).';
+
+CREATE TRIGGER trg_clinical_notes_version_insert
+    AFTER INSERT ON public.clinical_notes
+    FOR EACH ROW
+    EXECUTE FUNCTION public.fn_clinical_note_version();
+
+CREATE TRIGGER trg_clinical_notes_version_update
+    AFTER UPDATE OF content_text, content_structured, title, deleted_at
+    ON public.clinical_notes
+    FOR EACH ROW
+    WHEN (
+        OLD.content_text IS DISTINCT FROM NEW.content_text
+        OR OLD.content_structured IS DISTINCT FROM NEW.content_structured
+        OR OLD.title IS DISTINCT FROM NEW.title
+        OR OLD.deleted_at IS DISTINCT FROM NEW.deleted_at
+    )
+    EXECUTE FUNCTION public.fn_clinical_note_version();
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- Trigger para updated_at automático
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE OR REPLACE FUNCTION public.fn_clinical_notes_updated_at()
+RETURNS trigger
+LANGUAGE plpgsql
+AS $$
+BEGIN
+    NEW.updated_at := now();
+    RETURN NEW;
+END;
+$$;
+
+CREATE TRIGGER trg_clinical_notes_updated_at
+    BEFORE UPDATE ON public.clinical_notes
+    FOR EACH ROW
+    EXECUTE FUNCTION public.fn_clinical_notes_updated_at();
+
+CREATE TRIGGER trg_clinical_note_templates_updated_at
+    BEFORE UPDATE ON public.clinical_note_templates
+    FOR EACH ROW
+    EXECUTE FUNCTION public.fn_clinical_notes_updated_at();
+
+COMMIT;

database-novo/migrations/20260520000004_documents_clinical_note_link.sql

@@ -0,0 +1,46 @@
+-- ============================================================================
+-- Liga documents a clinical_notes (preenche FK órfã)
+-- ----------------------------------------------------------------------------
+-- A coluna `documents.session_note_id` existia desde antes apontando pra uma
+-- tabela `session_notes` que nunca foi criada. Agora que `clinical_notes`
+-- existe e abrange anamnese/evolução/plano (não só sessão), renomeia pra
+-- `clinical_note_id` e adiciona FK constraint.
+--
+-- PRÉ-CHECK: a query abaixo deve retornar 0 antes de rodar esta migration.
+--   SELECT count(*) FROM public.documents WHERE session_note_id IS NOT NULL;
+-- Se houver dados, eles são órfãos (referenciam tabela inexistente) — limpar
+-- antes de adicionar a FK constraint, ou ela falha.
+-- ============================================================================
+
+BEGIN;
+
+-- 1. Limpa eventuais órfãos (FK nunca foi enforced, mas valor pode ter sido
+--    setado por código no front antes da migration). Defesa em profundidade.
+UPDATE public.documents
+   SET session_note_id = NULL
+ WHERE session_note_id IS NOT NULL
+   AND NOT EXISTS (
+       SELECT 1 FROM public.clinical_notes cn
+        WHERE cn.id = documents.session_note_id
+   );
+
+-- 2. Rename
+ALTER TABLE public.documents
+    RENAME COLUMN session_note_id TO clinical_note_id;
+
+-- 3. FK constraint
+ALTER TABLE public.documents
+    ADD CONSTRAINT documents_clinical_note_fkey
+    FOREIGN KEY (clinical_note_id)
+    REFERENCES public.clinical_notes(id)
+    ON DELETE SET NULL;
+
+-- 4. Index pra reverse lookup (documentos de uma nota)
+CREATE INDEX IF NOT EXISTS idx_documents_clinical_note
+    ON public.documents (clinical_note_id)
+    WHERE clinical_note_id IS NOT NULL AND deleted_at IS NULL;
+
+COMMENT ON COLUMN public.documents.clinical_note_id IS
+    'Vínculo opcional a uma nota clínica (anexar PDF a anamnese/evolução). Renomeado de session_note_id em 2026-05-20.';
+
+COMMIT;

database-novo/migrations/20260520000005_accept_tenant_invite_rpc.sql

@@ -0,0 +1,95 @@
+-- ============================================================================
+-- RPC accept_tenant_invite — destrava o fluxo de aceitar convite
+-- ----------------------------------------------------------------------------
+-- Recebe o token UUID do invite. Em uma transação (SECURITY DEFINER):
+--   1. Lê invite ATIVO (não accepted, não revoked, não expired)
+--   2. INSERT em tenant_members com role do invite + user_id = auth.uid()
+--   3. UPDATE invite com accepted_at + accepted_by
+--
+-- Retorna jsonb { ok, tenant_id, role } em sucesso ou throw com mensagem PT-BR.
+--
+-- Chamada pelo features/tenantship/services/tenantInvitesRepository.acceptInvite().
+-- Stub anterior tava jogando erro PT-BR explicando isso. Agora funciona.
+-- ============================================================================
+
+BEGIN;
+
+CREATE OR REPLACE FUNCTION public.accept_tenant_invite(p_token uuid)
+RETURNS jsonb
+LANGUAGE plpgsql
+SECURITY DEFINER
+SET search_path = public
+AS $$
+DECLARE
+    v_uid uuid;
+    v_invite record;
+    v_existing_member record;
+BEGIN
+    -- Quem está aceitando — auth.uid() pega do JWT
+    v_uid := auth.uid();
+    IF v_uid IS NULL THEN
+        RAISE EXCEPTION 'Sessão inválida (sem user autenticado).';
+    END IF;
+
+    -- 1. Lê invite ativo. Lock via FOR UPDATE pra evitar race.
+    SELECT id, tenant_id, email, role, accepted_at, revoked_at, expires_at
+      INTO v_invite
+      FROM public.tenant_invites
+     WHERE token = p_token
+     FOR UPDATE;
+
+    IF NOT FOUND THEN
+        RAISE EXCEPTION 'Convite não encontrado. Verifique o link.';
+    END IF;
+
+    IF v_invite.revoked_at IS NOT NULL THEN
+        RAISE EXCEPTION 'Convite revogado pelo administrador.';
+    END IF;
+
+    IF v_invite.accepted_at IS NOT NULL THEN
+        RAISE EXCEPTION 'Convite já foi aceito anteriormente.';
+    END IF;
+
+    IF v_invite.expires_at IS NOT NULL AND v_invite.expires_at < now() THEN
+        RAISE EXCEPTION 'Convite expirado. Peça um novo ao administrador.';
+    END IF;
+
+    -- 2. Idempotência: se já é membro do tenant, só marca invite aceito.
+    SELECT id, role, status
+      INTO v_existing_member
+      FROM public.tenant_members
+     WHERE tenant_id = v_invite.tenant_id
+       AND user_id = v_uid
+     LIMIT 1;
+
+    IF v_existing_member.id IS NULL THEN
+        INSERT INTO public.tenant_members (tenant_id, user_id, role, status)
+        VALUES (v_invite.tenant_id, v_uid, v_invite.role, 'active');
+    ELSIF v_existing_member.status <> 'active' THEN
+        UPDATE public.tenant_members
+           SET status = 'active', role = v_invite.role
+         WHERE id = v_existing_member.id;
+    END IF;
+    -- (se já está ativo, deixa como tá — convite aceito não rebaixa)
+
+    -- 3. Marca invite como aceito
+    UPDATE public.tenant_invites
+       SET accepted_at = now(), accepted_by = v_uid
+     WHERE id = v_invite.id;
+
+    RETURN jsonb_build_object(
+        'ok', true,
+        'tenant_id', v_invite.tenant_id,
+        'role', v_invite.role
+    );
+END;
+$$;
+
+COMMENT ON FUNCTION public.accept_tenant_invite(uuid) IS
+    'Aceita convite de membership. SECURITY DEFINER pra criar tenant_members em nome do user logado. Lock FOR UPDATE no invite previne race condition.';
+
+-- Permite que qualquer authenticated chame (precisa do token UUID válido pra entrar).
+REVOKE ALL ON FUNCTION public.accept_tenant_invite(uuid) FROM PUBLIC;
+GRANT EXECUTE ON FUNCTION public.accept_tenant_invite(uuid) TO authenticated;
+
+COMMIT;

database-novo/migrations/20260521000001_asaas_gateway_tables.sql

@@ -0,0 +1,138 @@
+-- ============================================================================
+-- Asaas Gateway — Tier 1 (cobrança de paciente) — schema foundation
+-- ----------------------------------------------------------------------------
+-- Cria 3 tabelas novas + adiciona 4 colunas em payment_settings.
+-- Schema preparado pra Fase 3 do ROADMAP (gateway de pagamento).
+--
+-- ⚠️ Não habilita o gateway sozinho. Requer:
+--   - Edge Functions deployadas
+--   - API keys configuradas em payment_settings
+--   - Webhook setado no dashboard Asaas
+--
+-- Ver: development/02-auditoria/DESIGN_ASAAS_GATEWAY.md
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. asaas_customers — mapping patient ↔ Asaas customer
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.asaas_customers (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid NOT NULL,
+    patient_id uuid NOT NULL REFERENCES public.patients(id) ON DELETE CASCADE,
+    asaas_customer_id text NOT NULL,
+    environment text NOT NULL DEFAULT 'sandbox' CHECK (environment IN ('sandbox', 'prod')),
+    -- dados cacheados (sincronizados quando atualizar patient)
+    name text NOT NULL,
+    email text,
+    cpf_cnpj text,
+    phone text,
+    address jsonb,
+    created_at timestamptz DEFAULT now() NOT NULL,
+    updated_at timestamptz DEFAULT now() NOT NULL,
+    deleted_at timestamptz,
+    CONSTRAINT asaas_customers_unique_per_env UNIQUE (tenant_id, patient_id, environment)
+);
+
+COMMENT ON TABLE public.asaas_customers IS
+    'Mapping de pacientes para Asaas customers (1:1 por environment). Cacheado pra evitar re-criação a cada cobrança.';
+
+CREATE INDEX IF NOT EXISTS idx_asaas_customers_lookup
+    ON public.asaas_customers (tenant_id, patient_id)
+    WHERE deleted_at IS NULL;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. asaas_payments — 1 row por cobrança gerada
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.asaas_payments (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid NOT NULL,
+    financial_record_id uuid NOT NULL REFERENCES public.financial_records(id) ON DELETE CASCADE,
+    asaas_customer_id uuid REFERENCES public.asaas_customers(id),
+    asaas_payment_id text NOT NULL,
+    asaas_invoice_id text,
+    environment text NOT NULL DEFAULT 'sandbox' CHECK (environment IN ('sandbox', 'prod')),
+    billing_type text NOT NULL CHECK (billing_type IN ('PIX', 'BOLETO', 'CREDIT_CARD', 'UNDEFINED')),
+    status text NOT NULL,
+    value numeric(10, 2) NOT NULL,
+    net_value numeric(10, 2),
+    due_date date NOT NULL,
+    payment_date timestamptz,
+    invoice_url text,
+    payment_url text,
+    bank_slip_url text,
+    pix_qr_code text,
+    pix_copy_paste text,
+    created_at timestamptz DEFAULT now() NOT NULL,
+    updated_at timestamptz DEFAULT now() NOT NULL,
+    cancelled_at timestamptz,
+    CONSTRAINT asaas_payments_unique_per_env UNIQUE (asaas_payment_id, environment)
+);
+
+COMMENT ON TABLE public.asaas_payments IS
+    'Cobranças geradas no Asaas. Status raw do Asaas; mapeamento pra financial_records.status acontece no JS.';
+
+CREATE INDEX IF NOT EXISTS idx_asaas_payments_record
+    ON public.asaas_payments (financial_record_id);
+CREATE INDEX IF NOT EXISTS idx_asaas_payments_lookup
+    ON public.asaas_payments (tenant_id, status, due_date)
+    WHERE cancelled_at IS NULL;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 3. asaas_webhook_events — idempotência + audit
+-- ──────────────────────────────────────────────────────────────────────────
+
+CREATE TABLE IF NOT EXISTS public.asaas_webhook_events (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    event_id text,
+    event_type text NOT NULL,
+    asaas_payment_id text,
+    payload jsonb NOT NULL,
+    processed_at timestamptz,
+    processing_error text,
+    received_at timestamptz DEFAULT now() NOT NULL
+);
+
+COMMENT ON TABLE public.asaas_webhook_events IS
+    'Audit + idempotência de webhooks Asaas. event_id usado pra dedupe (Asaas faz retry).';
+
+-- event_id UNIQUE quando preenchido (Asaas nem sempre manda)
+CREATE UNIQUE INDEX IF NOT EXISTS idx_asaas_webhook_events_event_id
+    ON public.asaas_webhook_events (event_id)
+    WHERE event_id IS NOT NULL;
+
+CREATE INDEX IF NOT EXISTS idx_asaas_webhook_events_payment
+    ON public.asaas_webhook_events (asaas_payment_id);
+
+CREATE INDEX IF NOT EXISTS idx_asaas_webhook_events_unprocessed
+    ON public.asaas_webhook_events (received_at)
+    WHERE processed_at IS NULL;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 4. payment_settings — colunas pra config Asaas por tenant
+-- ──────────────────────────────────────────────────────────────────────────
+-- API keys plaintext nesta migration. Em produção, mover pra pgsodium/Vault.
+
+ALTER TABLE public.payment_settings
+    ADD COLUMN IF NOT EXISTS asaas_api_key_sandbox text,
+    ADD COLUMN IF NOT EXISTS asaas_api_key_prod text,
+    ADD COLUMN IF NOT EXISTS asaas_environment text DEFAULT 'sandbox'
+        CHECK (asaas_environment IN ('sandbox', 'prod')),
+    ADD COLUMN IF NOT EXISTS asaas_webhook_token text,
+    ADD COLUMN IF NOT EXISTS asaas_enabled boolean DEFAULT false NOT NULL;
+
+COMMENT ON COLUMN public.payment_settings.asaas_api_key_sandbox IS
+    'API key Asaas SANDBOX. PLAINTEXT por enquanto — migrar pra Vault em prod.';
+COMMENT ON COLUMN public.payment_settings.asaas_api_key_prod IS
+    'API key Asaas PRODUÇÃO. PLAINTEXT por enquanto — migrar pra Vault em prod.';
+COMMENT ON COLUMN public.payment_settings.asaas_environment IS
+    'Qual key usar: sandbox (testes) ou prod (real). Default sandbox por segurança.';
+COMMENT ON COLUMN public.payment_settings.asaas_webhook_token IS
+    'Token customizado pra webhook receiver validar. Setar mesmo valor no dashboard Asaas.';
+COMMENT ON COLUMN public.payment_settings.asaas_enabled IS
+    'Flag que controla se gateway Asaas está habilitado pro tenant. Default false (opt-in).';
+
+COMMIT;

database-novo/migrations/20260521000002_asaas_gateway_rls.sql

@@ -0,0 +1,72 @@
+-- ============================================================================
+-- Asaas Gateway — RLS policies
+-- ----------------------------------------------------------------------------
+-- Owner-scoped: cada terapeuta vê só os customers/payments do seu tenant.
+-- INSERT/UPDATE bloqueado client-side — só Edge Functions (service role)
+-- podem escrever. Browser só lê (pra exibir QR code, status, etc).
+--
+-- API keys em payment_settings: já tem RLS (não duplica).
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- asaas_customers
+-- ──────────────────────────────────────────────────────────────────────────
+ALTER TABLE public.asaas_customers ENABLE ROW LEVEL SECURITY;
+
+CREATE POLICY asaas_customers_member_select
+    ON public.asaas_customers FOR SELECT TO authenticated
+    USING (public.is_tenant_member(tenant_id));
+
+-- INSERT/UPDATE/DELETE bloqueados — Edge Functions usam service_role que bypassa RLS
+CREATE POLICY asaas_customers_no_client_write
+    ON public.asaas_customers FOR INSERT TO authenticated
+    WITH CHECK (false);
+CREATE POLICY asaas_customers_no_client_update
+    ON public.asaas_customers FOR UPDATE TO authenticated
+    USING (false);
+CREATE POLICY asaas_customers_no_client_delete
+    ON public.asaas_customers FOR DELETE TO authenticated
+    USING (false);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- asaas_payments
+-- ──────────────────────────────────────────────────────────────────────────
+ALTER TABLE public.asaas_payments ENABLE ROW LEVEL SECURITY;
+
+CREATE POLICY asaas_payments_member_select
+    ON public.asaas_payments FOR SELECT TO authenticated
+    USING (public.is_tenant_member(tenant_id));
+
+CREATE POLICY asaas_payments_no_client_write
+    ON public.asaas_payments FOR INSERT TO authenticated
+    WITH CHECK (false);
+CREATE POLICY asaas_payments_no_client_update
+    ON public.asaas_payments FOR UPDATE TO authenticated
+    USING (false);
+CREATE POLICY asaas_payments_no_client_delete
+    ON public.asaas_payments FOR DELETE TO authenticated
+    USING (false);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- asaas_webhook_events
+-- ──────────────────────────────────────────────────────────────────────────
+-- Audit table — saas_admin lê pra debug. Members não veem.
+ALTER TABLE public.asaas_webhook_events ENABLE ROW LEVEL SECURITY;
+
+CREATE POLICY asaas_webhook_events_saas_admin_select
+    ON public.asaas_webhook_events FOR SELECT TO authenticated
+    USING (public.is_saas_admin());
+
+CREATE POLICY asaas_webhook_events_no_client_write
+    ON public.asaas_webhook_events FOR INSERT TO authenticated
+    WITH CHECK (false);
+CREATE POLICY asaas_webhook_events_no_update
+    ON public.asaas_webhook_events FOR UPDATE TO authenticated
+    USING (false);
+CREATE POLICY asaas_webhook_events_no_delete
+    ON public.asaas_webhook_events FOR DELETE TO authenticated
+    USING (false);
+
+COMMIT;

database-novo/migrations/20260521000003_profiles_professional_registration.sql

@@ -0,0 +1,71 @@
+-- ============================================================================
+-- Compliance CFP — Tipo de registro profissional (ROADMAP item #5)
+-- ----------------------------------------------------------------------------
+-- Adiciona campos de registro profissional ao perfil. Necessário pra emissão
+-- de recibos/laudos válidos (CFP exige tipo, número e UF do conselho).
+--
+-- Conselhos comuns no Brasil:
+--   CRP     — Psicólogo
+--   CRM     — Médico
+--   CRFa    — Fonoaudiólogo
+--   CREFITO — Fisioterapeuta / Terapeuta Ocupacional
+--   CRESS   — Assistente Social
+--   CRN     — Nutricionista
+--   RMS     — Residência Multiprofissional (Saúde)
+--   outro   — Catch-all (campo livre na UI)
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.profiles
+    ADD COLUMN IF NOT EXISTS professional_registration_type text,
+    ADD COLUMN IF NOT EXISTS professional_registration_number text,
+    ADD COLUMN IF NOT EXISTS professional_registration_uf text;
+
+-- CHECK não pode ser ADD IF NOT EXISTS — guard com DO block
+DO $$
+BEGIN
+    IF NOT EXISTS (
+        SELECT 1 FROM pg_constraint
+        WHERE conname = 'profiles_registration_type_check'
+    ) THEN
+        ALTER TABLE public.profiles
+            ADD CONSTRAINT profiles_registration_type_check CHECK (
+                professional_registration_type IS NULL
+                OR professional_registration_type = ANY (ARRAY[
+                    'CRP',
+                    'CRM',
+                    'CRFa',
+                    'CREFITO',
+                    'CRESS',
+                    'CRN',
+                    'RMS',
+                    'outro'
+                ])
+            );
+    END IF;
+END $$;
+
+-- UF check (regex pra 2 chars uppercase ou NULL)
+DO $$
+BEGIN
+    IF NOT EXISTS (
+        SELECT 1 FROM pg_constraint
+        WHERE conname = 'profiles_registration_uf_check'
+    ) THEN
+        ALTER TABLE public.profiles
+            ADD CONSTRAINT profiles_registration_uf_check CHECK (
+                professional_registration_uf IS NULL
+                OR professional_registration_uf ~ '^[A-Z]{2}$'
+            );
+    END IF;
+END $$;
+
+COMMENT ON COLUMN public.profiles.professional_registration_type IS
+    'Tipo de registro profissional. Obrigatório pra emitir recibos/laudos. ROADMAP item #5.';
+COMMENT ON COLUMN public.profiles.professional_registration_number IS
+    'Número do registro (ex: 06/12345 ou 123456). Formato livre — UI ajuda com mask se relevante.';
+COMMENT ON COLUMN public.profiles.professional_registration_uf IS
+    'UF do conselho (2 chars uppercase). Alguns conselhos exigem regionalização (CRP 06/SP, CRP 03/BA).';
+
+COMMIT;

database-novo/migrations/20260521000004_specialties.sql

@@ -0,0 +1,79 @@
+-- ============================================================================
+-- Compliance CFP — Especialidades do profissional (ROADMAP item #9)
+-- ----------------------------------------------------------------------------
+-- Catálogo de especialidades/abordagens + join many-to-many com profiles.
+-- Profissional pode ter múltiplas especialidades (clínica + jurídica, etc).
+-- ============================================================================
+
+BEGIN;
+
+CREATE TABLE IF NOT EXISTS public.specialties (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    key text UNIQUE NOT NULL,
+    name text NOT NULL,
+    category text,
+    is_system boolean DEFAULT false NOT NULL,
+    active boolean DEFAULT true NOT NULL,
+    created_at timestamptz DEFAULT now() NOT NULL
+);
+
+COMMENT ON TABLE public.specialties IS
+    'Catálogo global de especialidades/abordagens psicológicas (ROADMAP item #9). is_system=true pra entries seedadas.';
+
+CREATE INDEX IF NOT EXISTS idx_specialties_active ON public.specialties (active, category, name);
+
+CREATE TABLE IF NOT EXISTS public.profile_specialties (
+    profile_id uuid NOT NULL REFERENCES public.profiles(id) ON DELETE CASCADE,
+    specialty_id uuid NOT NULL REFERENCES public.specialties(id) ON DELETE RESTRICT,
+    other_label text,
+    created_at timestamptz DEFAULT now() NOT NULL,
+    PRIMARY KEY (profile_id, specialty_id)
+);
+
+COMMENT ON TABLE public.profile_specialties IS
+    'M:N entre profile e specialty. other_label preenchido só quando specialty.key=outra (custom user-defined).';
+
+CREATE INDEX IF NOT EXISTS idx_profile_specialties_profile ON public.profile_specialties (profile_id);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- RLS
+-- ──────────────────────────────────────────────────────────────────────────
+
+ALTER TABLE public.specialties ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.profile_specialties ENABLE ROW LEVEL SECURITY;
+
+-- specialties: read-only pra todos authenticated (catálogo público); só saas_admin escreve
+CREATE POLICY specialties_authenticated_read
+    ON public.specialties FOR SELECT TO authenticated
+    USING (active = true);
+
+CREATE POLICY specialties_saas_admin_write
+    ON public.specialties TO authenticated
+    USING (public.is_saas_admin())
+    WITH CHECK (public.is_saas_admin());
+
+-- profile_specialties: cada user gerencia o próprio
+CREATE POLICY profile_specialties_owner_select
+    ON public.profile_specialties FOR SELECT TO authenticated
+    USING (profile_id = auth.uid());
+
+CREATE POLICY profile_specialties_owner_insert
+    ON public.profile_specialties FOR INSERT TO authenticated
+    WITH CHECK (profile_id = auth.uid());
+
+CREATE POLICY profile_specialties_owner_delete
+    ON public.profile_specialties FOR DELETE TO authenticated
+    USING (profile_id = auth.uid());
+
+-- Tenant_admin pode VER specialties dos membros (pra cards públicos / perfil clínica)
+CREATE POLICY profile_specialties_tenant_admin_read
+    ON public.profile_specialties FOR SELECT TO authenticated
+    USING (
+        EXISTS (
+            SELECT 1 FROM public.tenant_members tm
+            WHERE tm.user_id = profile_specialties.profile_id
+              AND public.is_tenant_admin(tm.tenant_id)
+        )
+    );
+
+COMMIT;

database-novo/migrations/20260521000005_document_templates_consent_types.sql

@@ -0,0 +1,44 @@
+-- ============================================================================
+-- Compliance CFP #6 — Tipos de consent form (LGPD + Gravação)
+-- ----------------------------------------------------------------------------
+-- Estende o CHECK constraint de document_templates.tipo para acomodar dois
+-- novos tipos de consent form exigidos pela LGPD e pela prática clínica:
+--   • termo_lgpd          — Consentimento de tratamento de dados pessoais
+--   • autorizacao_gravacao — Autorização de gravação de sessão (áudio/vídeo)
+--
+-- ROADMAP item #1.2 #6 (Biblioteca de consent forms editáveis).
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.document_templates
+    DROP CONSTRAINT IF EXISTS dt_tipo_check;
+
+ALTER TABLE public.document_templates
+    ADD CONSTRAINT dt_tipo_check CHECK (
+        tipo = ANY (ARRAY[
+            'declaracao_comparecimento',
+            'atestado_psicologico',
+            'relatorio_acompanhamento',
+            'recibo_pagamento',
+            'termo_consentimento',
+            'encaminhamento',
+            'contrato_servicos',
+            'tcle',
+            'autorizacao_menor',
+            'laudo_psicologico',
+            'parecer_psicologico',
+            'termo_sigilo',
+            'declaracao_inicio_tratamento',
+            'termo_alta',
+            'tcle_online',
+            'termo_lgpd',
+            'autorizacao_gravacao',
+            'outro'
+        ])
+    );
+
+COMMENT ON COLUMN public.document_templates.tipo IS
+    'Tipo do template. Inclui consent forms (tcle, tcle_online, autorizacao_menor, termo_sigilo, termo_lgpd, autorizacao_gravacao).';
+
+COMMIT;

database-novo/migrations/20260521000006_sign_document_rpcs.sql

@@ -0,0 +1,251 @@
+-- ============================================================================
+-- Compliance CFP #7 — RPCs de assinatura eletrônica
+-- ----------------------------------------------------------------------------
+-- Cria 2 RPCs que registram assinatura capturando IP server-side (anti-spoof)
+-- via inet_client_addr() e user-agent via request headers do Supabase.
+--
+--   • sign_document_by_signature_id — paciente logado assina via portal
+--   • sign_document_by_token        — terceiro assina via share link público
+--
+-- ROADMAP item #1.2 #7 (Assinatura eletrônica pelo paciente no portal,
+-- simples, com IP+timestamp). Não usa ICP-Brasil — é assinatura simples
+-- com audit trail (IP, UA, timestamp, hash SHA-256 do documento).
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. sign_document_by_signature_id
+-- ----------------------------------------------------------------------------
+-- Para signatários LOGADOS no portal/sistema. SECURITY INVOKER — a RLS de
+-- document_signatures continua aplicando (signatario_id = auth.uid() ou
+-- tenant_members). RPC só serve pra centralizar captura de IP + UA + hash.
+-- ──────────────────────────────────────────────────────────────────────────
+CREATE OR REPLACE FUNCTION public.sign_document_by_signature_id(
+    p_signature_id uuid,
+    p_hash_documento text DEFAULT NULL
+) RETURNS public.document_signatures
+LANGUAGE plpgsql
+SECURITY INVOKER
+AS $$
+DECLARE
+    v_row public.document_signatures;
+    v_ip  inet;
+    v_ua  text;
+BEGIN
+    IF p_signature_id IS NULL THEN
+        RAISE EXCEPTION 'p_signature_id obrigatório' USING ERRCODE = '22023';
+    END IF;
+
+    -- Captura IP e UA do request (best-effort — pode vir NULL em alguns ambientes)
+    v_ip := inet_client_addr();
+    BEGIN
+        v_ua := current_setting('request.headers', true)::json ->> 'user-agent';
+    EXCEPTION WHEN OTHERS THEN
+        v_ua := NULL;
+    END;
+
+    UPDATE public.document_signatures
+       SET status         = 'assinado',
+           ip             = v_ip,
+           user_agent     = v_ua,
+           assinado_em    = now(),
+           hash_documento = COALESCE(p_hash_documento, hash_documento),
+           atualizado_em  = now()
+     WHERE id = p_signature_id
+       AND status IN ('pendente', 'enviado')
+     RETURNING * INTO v_row;
+
+    IF v_row.id IS NULL THEN
+        RAISE EXCEPTION 'Assinatura não encontrada ou já processada' USING ERRCODE = 'P0002';
+    END IF;
+
+    RETURN v_row;
+END;
+$$;
+
+COMMENT ON FUNCTION public.sign_document_by_signature_id(uuid, text) IS
+    'Assinatura via portal logado. Captura IP/UA server-side. RLS aplica (SECURITY INVOKER).';
+
+GRANT EXECUTE ON FUNCTION public.sign_document_by_signature_id(uuid, text) TO authenticated;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. sign_document_by_token
+-- ----------------------------------------------------------------------------
+-- Para signatários NÃO LOGADOS via share link público. SECURITY DEFINER —
+-- bypassa RLS. Valida o share_link (token, ativo, expira_em, usos_max),
+-- localiza o signatário PENDENTE associado ao documento (signatario_email
+-- opcional p/ desambiguar quando há múltiplos), assina, incrementa usos.
+-- ──────────────────────────────────────────────────────────────────────────
+CREATE OR REPLACE FUNCTION public.sign_document_by_token(
+    p_token text,
+    p_signature_id uuid DEFAULT NULL,
+    p_hash_documento text DEFAULT NULL
+) RETURNS public.document_signatures
+LANGUAGE plpgsql
+SECURITY DEFINER
+SET search_path = public
+AS $$
+DECLARE
+    v_link    public.document_share_links;
+    v_sig     public.document_signatures;
+    v_ip      inet;
+    v_ua      text;
+BEGIN
+    IF p_token IS NULL OR length(p_token) < 32 THEN
+        RAISE EXCEPTION 'Token inválido' USING ERRCODE = '22023';
+    END IF;
+
+    -- Valida share_link
+    SELECT * INTO v_link
+      FROM public.document_share_links
+     WHERE token = p_token
+       AND ativo = true
+       AND expira_em > now()
+       AND usos < usos_max
+     LIMIT 1;
+
+    IF v_link.id IS NULL THEN
+        RAISE EXCEPTION 'Link expirado, inválido ou esgotado' USING ERRCODE = 'P0002';
+    END IF;
+
+    -- Localiza a signature pendente do documento. Se p_signature_id veio,
+    -- é desambiguação (multi-signatário); senão pega a primeira pendente
+    -- por ordem.
+    IF p_signature_id IS NOT NULL THEN
+        SELECT * INTO v_sig
+          FROM public.document_signatures
+         WHERE id = p_signature_id
+           AND documento_id = v_link.documento_id
+           AND status IN ('pendente', 'enviado')
+         LIMIT 1;
+    ELSE
+        SELECT * INTO v_sig
+          FROM public.document_signatures
+         WHERE documento_id = v_link.documento_id
+           AND status IN ('pendente', 'enviado')
+         ORDER BY ordem ASC, criado_em ASC
+         LIMIT 1;
+    END IF;
+
+    IF v_sig.id IS NULL THEN
+        RAISE EXCEPTION 'Nenhuma assinatura pendente para este documento' USING ERRCODE = 'P0002';
+    END IF;
+
+    -- Captura IP/UA
+    v_ip := inet_client_addr();
+    BEGIN
+        v_ua := current_setting('request.headers', true)::json ->> 'user-agent';
+    EXCEPTION WHEN OTHERS THEN
+        v_ua := NULL;
+    END;
+
+    -- Assina
+    UPDATE public.document_signatures
+       SET status         = 'assinado',
+           ip             = v_ip,
+           user_agent     = v_ua,
+           assinado_em    = now(),
+           hash_documento = COALESCE(p_hash_documento, hash_documento),
+           atualizado_em  = now()
+     WHERE id = v_sig.id
+     RETURNING * INTO v_sig;
+
+    -- Incrementa contador de usos do share_link
+    UPDATE public.document_share_links
+       SET usos = usos + 1
+     WHERE id = v_link.id;
+
+    RETURN v_sig;
+END;
+$$;
+
+COMMENT ON FUNCTION public.sign_document_by_token(text, uuid, text) IS
+    'Assinatura via share link público. SECURITY DEFINER — valida token, captura IP/UA, incrementa usos. p_signature_id é opcional pra desambiguar multi-signatário.';
+
+GRANT EXECUTE ON FUNCTION public.sign_document_by_token(text, uuid, text) TO anon, authenticated;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 3. get_signable_document_by_token
+-- ----------------------------------------------------------------------------
+-- View helper que retorna info do documento + signatários pendentes via token,
+-- sem assinar. Permite a página pública renderizar antes do click.
+-- SECURITY DEFINER porque share_link tem RLS pública mas documents+signatures
+-- têm RLS por owner/tenant.
+-- ──────────────────────────────────────────────────────────────────────────
+CREATE OR REPLACE FUNCTION public.get_signable_document_by_token(
+    p_token text
+) RETURNS jsonb
+LANGUAGE plpgsql
+SECURITY DEFINER
+SET search_path = public
+AS $$
+DECLARE
+    v_link public.document_share_links;
+    v_doc  public.documents;
+    v_sigs jsonb;
+BEGIN
+    IF p_token IS NULL OR length(p_token) < 32 THEN
+        RAISE EXCEPTION 'Token inválido' USING ERRCODE = '22023';
+    END IF;
+
+    SELECT * INTO v_link
+      FROM public.document_share_links
+     WHERE token = p_token
+       AND ativo = true
+       AND expira_em > now()
+       AND usos < usos_max
+     LIMIT 1;
+
+    IF v_link.id IS NULL THEN
+        RETURN jsonb_build_object('valid', false, 'error', 'expired_or_invalid');
+    END IF;
+
+    SELECT * INTO v_doc
+      FROM public.documents
+     WHERE id = v_link.documento_id
+       AND deleted_at IS NULL
+     LIMIT 1;
+
+    IF v_doc.id IS NULL THEN
+        RETURN jsonb_build_object('valid', false, 'error', 'document_not_found');
+    END IF;
+
+    SELECT jsonb_agg(
+        jsonb_build_object(
+            'id', s.id,
+            'signatario_tipo', s.signatario_tipo,
+            'signatario_nome', s.signatario_nome,
+            'signatario_email', s.signatario_email,
+            'ordem', s.ordem,
+            'status', s.status,
+            'assinado_em', s.assinado_em
+        ) ORDER BY s.ordem
+    ) INTO v_sigs
+      FROM public.document_signatures s
+     WHERE s.documento_id = v_doc.id;
+
+    RETURN jsonb_build_object(
+        'valid', true,
+        'document', jsonb_build_object(
+            'id', v_doc.id,
+            'nome_original', v_doc.nome_original,
+            'mime_type', v_doc.mime_type,
+            'tamanho_bytes', v_doc.tamanho_bytes,
+            'bucket_path', v_doc.bucket_path,
+            'storage_bucket', v_doc.storage_bucket,
+            'tipo_documento', v_doc.tipo_documento
+        ),
+        'signatures', COALESCE(v_sigs, '[]'::jsonb),
+        'expira_em', v_link.expira_em,
+        'usos_restantes', v_link.usos_max - v_link.usos
+    );
+END;
+$$;
+
+COMMENT ON FUNCTION public.get_signable_document_by_token(text) IS
+    'Retorna documento + signatários pendentes via token. Usado pela página pública antes de assinar.';
+
+GRANT EXECUTE ON FUNCTION public.get_signable_document_by_token(text) TO anon, authenticated;
+
+COMMIT;

database-novo/migrations/20260521000007_list_my_signatures_rpc.sql

@@ -0,0 +1,102 @@
+-- ============================================================================
+-- Compliance CFP #7 — RPC list_my_signatures (portal do paciente)
+-- ----------------------------------------------------------------------------
+-- Retorna as solicitações de assinatura do paciente logado (auth.uid()
+-- associado a patients.user_id). SECURITY DEFINER pra bypassar a RLS de
+-- document_signatures (que hoje só libera pra tenant_members).
+--
+-- Cada item já vem com o share_link.token associado, pra que o portal
+-- aponte direto pra /shared/document/:token onde o usuário vai assinar.
+-- O link público é gerado quando o terapeuta solicita a assinatura.
+-- ============================================================================
+
+BEGIN;
+
+CREATE OR REPLACE FUNCTION public.list_my_signatures(
+    p_status text[] DEFAULT NULL
+) RETURNS TABLE (
+    signature_id    uuid,
+    documento_id    uuid,
+    tenant_id       uuid,
+    signatario_tipo text,
+    status          text,
+    ordem           smallint,
+    assinado_em     timestamptz,
+    criado_em       timestamptz,
+    -- Documento
+    nome_original   text,
+    tipo_documento  text,
+    mime_type       text,
+    -- Share link (primeiro válido encontrado pro doc)
+    share_token     text,
+    share_expira_em timestamptz
+)
+LANGUAGE plpgsql
+SECURITY DEFINER
+SET search_path = public
+AS $$
+DECLARE
+    v_uid uuid;
+BEGIN
+    v_uid := auth.uid();
+    IF v_uid IS NULL THEN
+        RAISE EXCEPTION 'Sessão inválida' USING ERRCODE = '28000';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        s.id                      AS signature_id,
+        s.documento_id            AS documento_id,
+        s.tenant_id               AS tenant_id,
+        s.signatario_tipo         AS signatario_tipo,
+        s.status                  AS status,
+        s.ordem                   AS ordem,
+        s.assinado_em             AS assinado_em,
+        s.criado_em               AS criado_em,
+        d.nome_original           AS nome_original,
+        d.tipo_documento          AS tipo_documento,
+        d.mime_type               AS mime_type,
+        sl.token                  AS share_token,
+        sl.expira_em              AS share_expira_em
+    FROM public.document_signatures s
+    JOIN public.documents d ON d.id = s.documento_id AND d.deleted_at IS NULL
+    LEFT JOIN LATERAL (
+        SELECT token, expira_em
+        FROM public.document_share_links
+        WHERE documento_id = d.id
+          AND ativo = true
+          AND expira_em > now()
+          AND usos < usos_max
+        ORDER BY criado_em DESC
+        LIMIT 1
+    ) sl ON true
+    WHERE (
+        -- signatario_id direto (quando registrado)
+        s.signatario_id = v_uid
+        OR
+        -- Fallback: paciente pelo email (quando signatario_id veio NULL)
+        s.signatario_email = (SELECT email FROM auth.users WHERE id = v_uid)
+        OR
+        -- Fallback: paciente pelo patient_id (documents.patient_id -> patients.user_id)
+        d.patient_id IN (SELECT p.id FROM public.patients p WHERE p.user_id = v_uid)
+    )
+    AND (p_status IS NULL OR s.status = ANY (p_status))
+    ORDER BY
+        CASE s.status
+            WHEN 'pendente' THEN 0
+            WHEN 'enviado'  THEN 1
+            WHEN 'assinado' THEN 2
+            WHEN 'recusado' THEN 3
+            WHEN 'expirado' THEN 4
+            ELSE 99
+        END,
+        s.criado_em DESC;
+END;
+$$;
+
+COMMENT ON FUNCTION public.list_my_signatures(text[]) IS
+    'Lista signatures do paciente logado (auth.uid()) cruzando por signatario_id, email ou patient.user_id. Inclui share_token pra link de assinatura.';
+
+GRANT EXECUTE ON FUNCTION public.list_my_signatures(text[]) TO authenticated;
+
+COMMIT;

database-novo/migrations/20260521000008_recibo_uses_terapeuta_registro.sql

@@ -0,0 +1,35 @@
+-- ============================================================================
+-- ROADMAP #1.4 #14 — Recibo profissional usa terapeuta_registro genérico
+-- ----------------------------------------------------------------------------
+-- O template recibo_pagamento (seed_015) usa "Psicólogo(a) — CRP {{terapeuta_crp}}".
+-- Como agora suportamos múltiplos conselhos (CRP/CRM/CRFa/CREFITO/CRESS/CRN/RMS)
+-- via #5 (migration 20260521000003), o recibo precisa ser CFP-agnóstico.
+--
+-- Esta migration substitui no recibo_pagamento:
+--   "Psicólogo(a) — CRP {{terapeuta_crp}}"  →  "{{terapeuta_registro}}"
+-- e atualiza variaveis[] removendo terapeuta_crp + adicionando terapeuta_registro.
+--
+-- {{terapeuta_registro}} é auto-formatado server-side como "CRP 12345/SP",
+-- "CRM 12345/SP" etc, então não precisa de "Psicólogo(a) —" hardcoded.
+-- ============================================================================
+
+BEGIN;
+
+UPDATE public.document_templates
+SET corpo_html = REPLACE(
+    corpo_html,
+    'Psicólogo(a) — CRP {{terapeuta_crp}}',
+    '{{terapeuta_registro}}'
+),
+variaveis = ARRAY(
+    SELECT DISTINCT v FROM (
+        SELECT unnest(variaveis) v
+        UNION ALL
+        SELECT 'terapeuta_registro'
+    ) sub
+    WHERE v <> 'terapeuta_crp'
+),
+updated_at = now()
+WHERE tipo = 'recibo_pagamento' AND is_global = true;
+
+COMMIT;

database-novo/migrations/20260521000009_profiles_registration_type_other.sql

@@ -0,0 +1,21 @@
+-- ============================================================================
+-- Compliance CFP #5 — campo livre quando tipo de registro = 'outro'
+-- ----------------------------------------------------------------------------
+-- Migration 20260521000003 adicionou professional_registration_type com CHECK
+-- limitado a 8 valores (CRP/CRM/CRFa/CREFITO/CRESS/CRN/RMS/outro). Quando o
+-- profissional escolhe 'outro', precisa informar qual conselho/instituição
+-- (ex: associações privadas, conselhos não-listados).
+--
+-- Esta migration adiciona professional_registration_type_other (text livre),
+-- que só é preenchido quando type = 'outro'.
+-- ============================================================================
+
+BEGIN;
+
+ALTER TABLE public.profiles
+    ADD COLUMN IF NOT EXISTS professional_registration_type_other text;
+
+COMMENT ON COLUMN public.profiles.professional_registration_type_other IS
+    'Nome livre do conselho/instituição quando professional_registration_type = ''outro''. Aparece em recibos/laudos no lugar do tipo padrão.';
+
+COMMIT;

database-novo/schema/01_extensions/extensions.sql

@@ -1,5 +1,5 @@
 -- Extensions
--- Gerado automaticamente em 2026-04-21T23:16:33.041Z
+-- Gerado automaticamente em 2026-05-11T16:53:49.849Z
 -- Total: 10
 
 CREATE EXTENSION IF NOT EXISTS btree_gist WITH SCHEMA public;

database-novo/schema/03_functions/_all.sql

@@ -1,6 +1,6 @@
 -- All Functions
--- Gerado automaticamente em 2026-04-21T23:16:34.950Z
--- Total: 192
+-- Gerado automaticamente em 2026-05-11T16:53:50.921Z
+-- Total: 211
 
 CREATE FUNCTION auth.email() RETURNS text
     LANGUAGE sql STABLE
@@ -287,6 +287,68 @@ CREATE FUNCTION public.__rls_ping() RETURNS text
   select 'ok'::text;
 $$;
 
+CREATE FUNCTION public._first_response_runs(p_tenant_id uuid, p_from timestamp with time zone, p_to timestamp with time zone) RETURNS TABLE(thread_key text, inbound_started_at timestamp with time zone, responded_at timestamp with time zone, response_seconds integer, responder_id uuid)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    WITH msgs AS (
+        SELECT
+            m.id,
+            m.tenant_id,
+            m.direction,
+            m.created_at,
+            m.patient_id,
+            m.from_number,
+            m.to_number,
+            -- mesma logica da view conversation_threads
+            COALESCE(
+                m.patient_id::text,
+                'anon:' || COALESCE(
+                    CASE WHEN m.direction = 'inbound' THEN m.from_number ELSE m.to_number END,
+                    'unknown'
+                )
+            ) AS tk
+        FROM public.conversation_messages m
+        WHERE m.tenant_id = p_tenant_id
+          AND m.direction IN ('inbound', 'outbound')
+          AND m.created_at >= p_from
+          AND m.created_at <= p_to
+    ),
+    with_prev AS (
+        SELECT *,
+               LAG(direction) OVER (PARTITION BY tenant_id, tk ORDER BY created_at, id) AS prev_direction
+        FROM msgs
+    ),
+    run_starts AS (
+        -- Primeira mensagem de cada "run inbound"
+        SELECT tk, tenant_id, created_at AS inbound_started_at
+        FROM with_prev
+        WHERE direction = 'inbound'
+          AND (prev_direction IS NULL OR prev_direction = 'outbound')
+    )
+    SELECT
+        r.tk AS thread_key,
+        r.inbound_started_at,
+        o.created_at AS responded_at,
+        EXTRACT(EPOCH FROM (o.created_at - r.inbound_started_at))::INT AS response_seconds,
+        -- Quem respondeu: pega o assigned_to atual da thread (snapshot aproximado)
+        a.assigned_to AS responder_id
+    FROM run_starts r
+    LEFT JOIN LATERAL (
+        SELECT created_at
+        FROM public.conversation_messages m2
+        WHERE m2.tenant_id = r.tenant_id
+          AND COALESCE(m2.patient_id::text, 'anon:' || COALESCE(m2.to_number, m2.from_number, 'unknown')) = r.tk
+          AND m2.direction = 'outbound'
+          AND m2.created_at > r.inbound_started_at
+        ORDER BY m2.created_at
+        LIMIT 1
+    ) o ON true
+    LEFT JOIN public.conversation_assignments a
+        ON a.tenant_id = r.tenant_id AND a.thread_key = r.tk
+    WHERE o.created_at IS NOT NULL;   -- so runs que foram respondidos
+$$;
+
 CREATE FUNCTION public.activate_subscription_from_intent(p_intent_id uuid) RETURNS public.subscriptions
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -451,6 +513,95 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.admin_adjust_whatsapp_credits(p_tenant_id uuid, p_amount integer, p_admin_id uuid, p_note text DEFAULT NULL::text) RETURNS integer
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_new_balance INT;
+    v_current_balance INT;
+    v_topup_net INT;
+    v_usage_total INT;
+    v_removable INT;
+    v_clean_note TEXT;
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    IF p_tenant_id IS NULL THEN
+        RAISE EXCEPTION 'tenant_required';
+    END IF;
+
+    IF p_amount IS NULL OR p_amount = 0 THEN
+        RAISE EXCEPTION 'amount_required';
+    END IF;
+
+    IF ABS(p_amount) > 1000 THEN
+        RAISE EXCEPTION 'amount_exceeds_limit_1000';
+    END IF;
+
+    IF p_admin_id IS NULL THEN
+        RAISE EXCEPTION 'admin_id_required';
+    END IF;
+
+    v_clean_note := NULLIF(TRIM(COALESCE(p_note, '')), '');
+    IF v_clean_note IS NOT NULL THEN
+        v_clean_note := LEFT(v_clean_note, 500);
+    END IF;
+
+    IF p_amount > 0 THEN
+        -- ADICIONAR
+        INSERT INTO public.whatsapp_credits_balance (tenant_id, balance)
+        VALUES (p_tenant_id, p_amount)
+        ON CONFLICT (tenant_id) DO UPDATE SET
+            balance = whatsapp_credits_balance.balance + EXCLUDED.balance,
+            low_balance_alerted_at = NULL
+        RETURNING balance INTO v_new_balance;
+
+    ELSE
+        -- REMOVER (amount < 0)
+        SELECT balance INTO v_current_balance
+            FROM public.whatsapp_credits_balance
+            WHERE tenant_id = p_tenant_id
+            FOR UPDATE;
+
+        IF NOT FOUND THEN
+            RAISE EXCEPTION 'tenant_has_no_balance';
+        END IF;
+
+        SELECT COALESCE(SUM(amount), 0) INTO v_topup_net
+            FROM public.whatsapp_credits_transactions
+            WHERE tenant_id = p_tenant_id
+              AND kind IN ('topup_manual', 'adjustment', 'refund');
+
+        SELECT COALESCE(ABS(SUM(amount)), 0) INTO v_usage_total
+            FROM public.whatsapp_credits_transactions
+            WHERE tenant_id = p_tenant_id
+              AND kind = 'usage';
+
+        v_removable := GREATEST(0, v_topup_net - v_usage_total);
+        v_removable := LEAST(v_removable, v_current_balance);
+
+        IF ABS(p_amount) > v_removable THEN
+            RAISE EXCEPTION 'cannot_remove_beyond_removable: max=%', v_removable;
+        END IF;
+
+        UPDATE public.whatsapp_credits_balance
+            SET balance = balance + p_amount    -- p_amount ja e negativo
+            WHERE tenant_id = p_tenant_id
+            RETURNING balance INTO v_new_balance;
+    END IF;
+
+    INSERT INTO public.whatsapp_credits_transactions
+        (tenant_id, kind, amount, balance_after, admin_id, note)
+    VALUES
+        (p_tenant_id, 'adjustment', p_amount, v_new_balance, p_admin_id, v_clean_note);
+
+    RETURN v_new_balance;
+END;
+$$;
+
 CREATE FUNCTION public.admin_credit_addon(p_tenant_id uuid, p_addon_type text, p_amount integer, p_product_id uuid DEFAULT NULL::uuid, p_description text DEFAULT 'Cr??dito manual'::text, p_payment_method text DEFAULT 'manual'::text, p_price_cents integer DEFAULT 0) RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -1053,9 +1204,7 @@ CREATE FUNCTION public.cancel_notifications_on_session_cancel() RETURNS trigger
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
 BEGIN
-  IF NEW.status IN ('cancelado', 'excluido')
-     AND OLD.status NOT IN ('cancelado', 'excluido')
-  THEN
+  IF NEW.status = 'cancelado' AND OLD.status <> 'cancelado' THEN
     PERFORM public.cancel_patient_pending_notifications(
       NEW.patient_id, NULL, NEW.id
     );
@@ -1429,6 +1578,101 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.convert_abandoned_intake_to_lead(p_intake_id uuid) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_intake RECORD;
+    v_tenant_id UUID;
+    v_thread_key TEXT;
+    v_phone TEXT;
+    v_note_body TEXT;
+    v_admin_id UUID;
+    v_msg_id BIGINT;
+BEGIN
+    SELECT * INTO v_intake FROM public.patient_intake_requests WHERE id = p_intake_id;
+    IF NOT FOUND THEN RAISE EXCEPTION 'intake_not_found'; END IF;
+    IF v_intake.status = 'abandoned_lead' THEN RETURN v_intake.lead_thread_key::UUID; END IF;
+
+    -- Tenant_id vem via owner_id (tenant_members)
+    SELECT tenant_id INTO v_tenant_id
+        FROM public.tenant_members
+        WHERE user_id = v_intake.owner_id
+        ORDER BY CASE role WHEN 'tenant_admin' THEN 1 WHEN 'clinic_admin' THEN 2 ELSE 3 END
+        LIMIT 1;
+
+    IF v_tenant_id IS NULL THEN RAISE EXCEPTION 'tenant_not_resolved'; END IF;
+
+    -- Normaliza telefone pra thread_key
+    v_phone := regexp_replace(COALESCE(v_intake.telefone, ''), '\D', '', 'g');
+    IF length(v_phone) BETWEEN 10 AND 11 THEN v_phone := '55' || v_phone; END IF;
+    IF v_phone = '' THEN v_phone := 'unknown'; END IF;
+    v_thread_key := 'anon:' || v_phone;
+
+    -- Nota com dados coletados
+    v_note_body := format(
+        '📋 Lead abandonado (cadastro externo):%s%sNome: %s%sTelefone: %s%sE-mail: %s%sMotivo/Observacoes: %s%s%sIniciou em: %s · Ultima atualizacao: %s',
+        E'\n', E'\n',
+        COALESCE(v_intake.nome_completo, '—'),
+        E'\n',
+        COALESCE(v_intake.telefone, '—'),
+        E'\n',
+        COALESCE(v_intake.email_principal, '—'),
+        E'\n',
+        COALESCE(v_intake.onde_nos_conheceu, '—'),
+        E'\n', E'\n',
+        to_char(v_intake.created_at AT TIME ZONE 'America/Sao_Paulo', 'DD/MM HH24:MI'),
+        to_char(COALESCE(v_intake.last_progress_at, v_intake.updated_at) AT TIME ZONE 'America/Sao_Paulo', 'DD/MM HH24:MI')
+    );
+
+    -- Pega 1 admin do tenant pra preencher created_by da nota
+    SELECT user_id INTO v_admin_id
+        FROM public.tenant_members
+        WHERE tenant_id = v_tenant_id
+          AND role IN ('tenant_admin', 'clinic_admin')
+          AND status = 'active'
+        LIMIT 1;
+
+    IF v_admin_id IS NULL THEN
+        v_admin_id := v_intake.owner_id;
+    END IF;
+
+    -- Cria mensagem placeholder (outbound sistema — entra no thread do CRM)
+    INSERT INTO public.conversation_messages
+        (tenant_id, channel, direction, from_number, to_number, body, provider,
+         provider_raw, kanban_status)
+    VALUES (
+        v_tenant_id, 'whatsapp', 'inbound',
+        CASE WHEN v_phone = 'unknown' THEN NULL ELSE v_phone END,
+        NULL,
+        format('🧾 Cadastro externo iniciado e não finalizado. %s entrou em contato via link público mas abandonou o formulário — ver nota interna.',
+               COALESCE(v_intake.nome_completo, 'Visitante')),
+        'system',
+        jsonb_build_object('lead_from_abandoned_intake', true, 'intake_id', v_intake.id),
+        'awaiting_us'
+    ) RETURNING id INTO v_msg_id;
+
+    -- Cria nota interna
+    INSERT INTO public.conversation_notes
+        (tenant_id, thread_key, contact_number, body, created_by)
+    VALUES (
+        v_tenant_id, v_thread_key,
+        CASE WHEN v_phone = 'unknown' THEN NULL ELSE v_phone END,
+        v_note_body, v_admin_id
+    );
+
+    -- Atualiza intake
+    UPDATE public.patient_intake_requests
+        SET status = 'abandoned_lead',
+            lead_thread_key = v_thread_key,
+            updated_at = now()
+        WHERE id = p_intake_id;
+
+    RETURN p_intake_id;
+END;
+$$;
+
 CREATE FUNCTION public.create_clinic_tenant(p_name text) RETURNS uuid
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -3032,6 +3276,84 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.first_response_by_therapist(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(therapist_id uuid, runs_count integer, avg_seconds integer, median_seconds integer)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    SELECT
+        r.responder_id AS therapist_id,
+        COUNT(*)::INT AS runs_count,
+        AVG(r.response_seconds)::INT AS avg_seconds,
+        PERCENTILE_CONT(0.5) WITHIN GROUP (ORDER BY r.response_seconds)::INT AS median_seconds
+    FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+    WHERE r.responder_id IS NOT NULL
+    GROUP BY r.responder_id
+    ORDER BY avg_seconds ASC;
+$$;
+
+CREATE FUNCTION public.first_response_evolution(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_bucket_days integer DEFAULT 7, p_therapist_id uuid DEFAULT NULL::uuid) RETURNS TABLE(bucket_start timestamp with time zone, runs_count integer, avg_seconds integer)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    WITH runs AS (
+        SELECT r.inbound_started_at, r.response_seconds
+        FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+        WHERE (p_therapist_id IS NULL OR r.responder_id = p_therapist_id)
+    ),
+    bucketed AS (
+        SELECT
+            -- Janela alinhada a p_from: bucket_index * N dias + p_from
+            p_from + (
+                FLOOR(EXTRACT(EPOCH FROM (inbound_started_at - p_from)) / (p_bucket_days * 86400))::INT
+                * p_bucket_days * interval '1 day'
+            ) AS bucket_start,
+            response_seconds
+        FROM runs
+    )
+    SELECT
+        bucket_start,
+        COUNT(*)::INT AS runs_count,
+        AVG(response_seconds)::INT AS avg_seconds
+    FROM bucketed
+    GROUP BY bucket_start
+    ORDER BY bucket_start;
+$$;
+
+CREATE FUNCTION public.first_response_stats(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_therapist_id uuid DEFAULT NULL::uuid) RETURNS TABLE(runs_count integer, avg_seconds integer, median_seconds integer, min_seconds integer, max_seconds integer, sla_threshold_seconds integer, sla_compliant_count integer, sla_compliance_rate numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_threshold_seconds INT;
+BEGIN
+    -- Pega threshold do SLA (se habilitado)
+    SELECT CASE WHEN enabled THEN threshold_minutes * 60 ELSE NULL END
+        INTO v_threshold_seconds
+        FROM public.conversation_sla_rules
+        WHERE tenant_id = p_tenant_id;
+
+    RETURN QUERY
+    WITH runs AS (
+        SELECT r.response_seconds, r.responder_id
+        FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+        WHERE (p_therapist_id IS NULL OR r.responder_id = p_therapist_id)
+    )
+    SELECT
+        COUNT(*)::INT AS runs_count,
+        COALESCE(AVG(response_seconds)::INT, 0) AS avg_seconds,
+        COALESCE(PERCENTILE_CONT(0.5) WITHIN GROUP (ORDER BY response_seconds)::INT, 0) AS median_seconds,
+        COALESCE(MIN(response_seconds), 0) AS min_seconds,
+        COALESCE(MAX(response_seconds), 0) AS max_seconds,
+        v_threshold_seconds AS sla_threshold_seconds,
+        COUNT(*) FILTER (WHERE v_threshold_seconds IS NOT NULL AND response_seconds <= v_threshold_seconds)::INT AS sla_compliant_count,
+        CASE
+            WHEN v_threshold_seconds IS NULL OR COUNT(*) = 0 THEN NULL
+            ELSE ROUND(100.0 * COUNT(*) FILTER (WHERE response_seconds <= v_threshold_seconds) / COUNT(*), 1)
+        END AS sla_compliance_rate
+    FROM runs;
+END;
+$$;
+
 CREATE FUNCTION public.fix_all_subscription_mismatches() RETURNS void
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -3138,6 +3460,146 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.fn_notify_agenda_status_change() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_url TEXT;
+    v_key TEXT;
+BEGIN
+    -- So dispara se status realmente mudou
+    IF NEW.status IS NOT DISTINCT FROM OLD.status THEN
+        RETURN NEW;
+    END IF;
+
+    -- So dispara pra status "interessantes". Outros sao silenciosamente ignorados
+    -- (a edge tambem tem essa logica, mas economizamos chamada HTTP aqui)
+    IF NEW.status NOT IN ('cancelado', 'remarcado', 'confirmado') THEN
+        RETURN NEW;
+    END IF;
+
+    -- Precisa de paciente vinculado (senao nao tem telefone)
+    IF NEW.patient_id IS NULL THEN
+        RETURN NEW;
+    END IF;
+
+    -- Busca settings
+    BEGIN
+        v_url := current_setting('app.settings.supabase_url', true);
+        v_key := current_setting('app.settings.service_role_key', true);
+    EXCEPTION WHEN OTHERS THEN
+        -- Settings nao configuradas — silencioso
+        RETURN NEW;
+    END;
+
+    IF v_url IS NULL OR v_key IS NULL THEN
+        RETURN NEW;
+    END IF;
+
+    -- Fire and forget (pg_net)
+    PERFORM net.http_post(
+        url := v_url || '/functions/v1/send-session-status-notification',
+        headers := jsonb_build_object(
+            'Authorization', 'Bearer ' || v_key,
+            'Content-Type', 'application/json'
+        ),
+        body := jsonb_build_object(
+            'event_id', NEW.id,
+            'old_status', OLD.status,
+            'new_status', NEW.status
+        )
+    );
+
+    RETURN NEW;
+END;
+$$;
+
+CREATE FUNCTION public.fn_sla_resolve_on_outbound() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_thread_key TEXT;
+BEGIN
+    -- So processa outbound
+    IF NEW.direction <> 'outbound' THEN RETURN NEW; END IF;
+
+    -- Calcula thread_key no mesmo padrao da view conversation_threads
+    v_thread_key := COALESCE(
+        NEW.patient_id::text,
+        'anon:' || COALESCE(NEW.to_number, 'unknown')
+    );
+
+    UPDATE public.conversation_sla_breaches
+        SET resolved_at = now(),
+            resolved_by_message_id = NEW.id
+        WHERE tenant_id = NEW.tenant_id
+          AND thread_key = v_thread_key
+          AND resolved_at IS NULL;
+
+    RETURN NEW;
+END;
+$$;
+
+CREATE FUNCTION public.fn_whatsapp_low_balance_notify() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_detail TEXT;
+BEGIN
+    -- So alerta na transicao (alerted_at NULL) E se esta abaixo do threshold
+    IF NEW.balance < NEW.low_balance_threshold
+       AND NEW.low_balance_alerted_at IS NULL THEN
+
+        v_detail := format(
+            'Saldo atual: %s credito(s). Alerta configurado em %s. '
+            'Compre mais na loja para nao interromper envios via WhatsApp Oficial.',
+            NEW.balance,
+            NEW.low_balance_threshold
+        );
+
+        -- Stakeholders: owner do canal WhatsApp ativo + admins ativos do tenant
+        INSERT INTO public.notifications
+            (owner_id, tenant_id, type, ref_id, ref_table, payload)
+        SELECT
+            u.user_id,
+            NEW.tenant_id,
+            'system_alert',
+            NEW.tenant_id,
+            'whatsapp_credits_balance',
+            jsonb_build_object(
+                'title', 'Saldo de WhatsApp baixo',
+                'detail', v_detail,
+                'severity', 'warn',
+                'deeplink', '/configuracoes/creditos-whatsapp'
+            )
+        FROM (
+            SELECT owner_id AS user_id
+                FROM public.notification_channels
+                WHERE tenant_id = NEW.tenant_id
+                  AND channel = 'whatsapp'
+                  AND is_active = true
+                  AND deleted_at IS NULL
+            UNION
+            SELECT user_id
+                FROM public.tenant_members
+                WHERE tenant_id = NEW.tenant_id
+                  AND role IN ('clinic_admin', 'tenant_admin')
+                  AND status = 'active'
+        ) u
+        WHERE u.user_id IS NOT NULL;
+
+        -- Anti-spam: so alerta de novo depois que add_whatsapp_credits
+        -- reseta alerted_at pra NULL (acontece em purchase/topup)
+        NEW.low_balance_alerted_at := now();
+    END IF;
+
+    RETURN NEW;
+END;
+$$;
+
 CREATE FUNCTION public.generate_math_challenge() RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -3456,6 +3918,48 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.get_whatsapp_removable_balance(p_tenant_id uuid) RETURNS TABLE(balance integer, removable integer, protected_amount integer, topup_net integer, usage_total integer)
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_balance INT := 0;
+    v_topup_net INT := 0;
+    v_usage_total INT := 0;
+    v_removable INT := 0;
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    SELECT COALESCE(b.balance, 0) INTO v_balance
+        FROM public.whatsapp_credits_balance b
+        WHERE b.tenant_id = p_tenant_id;
+
+    v_balance := COALESCE(v_balance, 0);
+
+    SELECT COALESCE(SUM(amount), 0) INTO v_topup_net
+        FROM public.whatsapp_credits_transactions
+        WHERE tenant_id = p_tenant_id
+          AND kind IN ('topup_manual', 'adjustment', 'refund');
+
+    SELECT COALESCE(ABS(SUM(amount)), 0) INTO v_usage_total
+        FROM public.whatsapp_credits_transactions
+        WHERE tenant_id = p_tenant_id
+          AND kind = 'usage';
+
+    v_removable := GREATEST(0, v_topup_net - v_usage_total);
+    v_removable := LEAST(v_removable, v_balance);
+
+    RETURN QUERY SELECT
+        v_balance,
+        v_removable,
+        GREATEST(0, v_balance - v_removable),
+        v_topup_net,
+        v_usage_total;
+END;
+$$;
+
 CREATE FUNCTION public.guard_account_type_immutable() RETURNS trigger
     LANGUAGE plpgsql
     AS $$
@@ -4689,6 +5193,120 @@ begin
 end;
 $$;
 
+CREATE FUNCTION public.saas_wa_credits_revenue_evolution(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_bucket_days integer DEFAULT 7) RETURNS TABLE(bucket_start timestamp with time zone, purchases_count integer, revenue_brl numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    WITH purchases AS (
+        SELECT p.paid_at, p.amount_brl
+        FROM public.whatsapp_credit_purchases p
+        WHERE p.status = 'paid'
+          AND p.paid_at >= p_from
+          AND p.paid_at <= p_to
+    ),
+    bucketed AS (
+        SELECT
+            p_from + (
+                FLOOR(EXTRACT(EPOCH FROM (paid_at - p_from)) / (p_bucket_days * 86400))::INT
+                * p_bucket_days * interval '1 day'
+            ) AS bucket_start,
+            amount_brl
+        FROM purchases
+    )
+    SELECT
+        bucket_start,
+        COUNT(*)::INT AS purchases_count,
+        SUM(amount_brl)::NUMERIC AS revenue_brl
+    FROM bucketed
+    GROUP BY bucket_start
+    ORDER BY bucket_start;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_revenue_stats(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(revenue_brl numeric, purchases_count integer, tenants_count integer, credits_sold integer, avg_ticket_brl numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        COALESCE(SUM(p.amount_brl), 0)::NUMERIC AS revenue_brl,
+        COUNT(*)::INT AS purchases_count,
+        COUNT(DISTINCT p.tenant_id)::INT AS tenants_count,
+        COALESCE(SUM(p.credits), 0)::INT AS credits_sold,
+        CASE WHEN COUNT(*) = 0 THEN 0
+             ELSE ROUND(COALESCE(AVG(p.amount_brl), 0), 2)
+        END AS avg_ticket_brl
+    FROM public.whatsapp_credit_purchases p
+    WHERE p.status = 'paid'
+      AND p.paid_at >= p_from
+      AND p.paid_at <= p_to;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_top_packages(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(package_id uuid, package_name text, purchases_count integer, revenue_brl numeric, credits_sold integer)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        p.package_id,
+        -- Nome snapshot do momento da compra; se tem package_id, usa o nome
+        -- atual pra consolidar pacotes renomeados
+        COALESCE(
+            (SELECT pk.name FROM public.whatsapp_credit_packages pk WHERE pk.id = p.package_id),
+            p.package_name
+        ) AS package_name,
+        COUNT(*)::INT AS purchases_count,
+        SUM(p.amount_brl)::NUMERIC AS revenue_brl,
+        SUM(p.credits)::INT AS credits_sold
+    FROM public.whatsapp_credit_purchases p
+    WHERE p.status = 'paid'
+      AND p.paid_at >= p_from
+      AND p.paid_at <= p_to
+    GROUP BY p.package_id, p.package_name
+    ORDER BY revenue_brl DESC
+    LIMIT 10;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_usage_summary() RETURNS TABLE(lifetime_purchased integer, lifetime_used integer, current_balance integer, usage_rate numeric, tenants_with_balance integer)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        COALESCE(SUM(lifetime_purchased), 0)::INT AS lifetime_purchased,
+        COALESCE(SUM(lifetime_used), 0)::INT AS lifetime_used,
+        COALESCE(SUM(balance), 0)::INT AS current_balance,
+        CASE WHEN COALESCE(SUM(lifetime_purchased), 0) = 0 THEN 0
+             ELSE ROUND(100.0 * COALESCE(SUM(lifetime_used), 0) / SUM(lifetime_purchased), 1)
+        END AS usage_rate,
+        COUNT(*)::INT AS tenants_with_balance
+    FROM public.whatsapp_credits_balance;
+END;
+$$;
+
 CREATE FUNCTION public.safe_delete_patient(p_patient_id uuid) RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -5006,7 +5624,7 @@ CREATE FUNCTION public.seed_determined_commitments(p_tenant_id uuid) RETURNS voi
 declare
   v_id uuid;
 begin
-  -- Sess??o (locked + sempre ativa)
+  -- Sessão (locked + sempre ativa)
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
@@ -5014,7 +5632,7 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'session', true, true, 'Sess??o', 'Sess??o com paciente');
+      (p_tenant_id, true, 'session', true, true, 'Sessão', 'Sessão com paciente');
   end if;
 
   -- Leitura
@@ -5028,7 +5646,7 @@ begin
       (p_tenant_id, true, 'reading', false, true, 'Leitura', 'Praticar leitura');
   end if;
 
-  -- Supervis??o
+  -- Supervisão
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
@@ -5036,10 +5654,10 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'supervision', false, true, 'Supervis??o', 'Supervis??o');
+      (p_tenant_id, true, 'supervision', false, true, 'Supervisão', 'Supervisão');
   end if;
 
-  -- Aula ??? (corrigido)
+  -- Aula
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'class'
@@ -5050,7 +5668,7 @@ begin
       (p_tenant_id, true, 'class', false, false, 'Aula', 'Dar aula');
   end if;
 
-  -- An??lise pessoal
+  -- Análise pessoal
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
@@ -5058,13 +5676,26 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'analysis', false, true, 'An??lise Pessoal', 'Minha an??lise pessoal');
+      (p_tenant_id, true, 'analysis', false, true, 'Análise Pessoal', 'Minha análise pessoal');
   end if;
 
   -- -------------------------------------------------------
-  -- Campos padr??o (idempotentes por (commitment_id, key))
+  -- Campos padrão (idempotentes por (commitment_id, key))
   -- -------------------------------------------------------
 
+  -- Sessão (NOVO em 2026-05-11: 'notes' como Observação default)
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
   -- Leitura
   select id into v_id
   from public.determined_commitments
@@ -5084,11 +5715,11 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
-  -- Supervis??o
+  -- Supervisão
   select id into v_id
   from public.determined_commitments
   where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
@@ -5107,7 +5738,7 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
@@ -5130,11 +5761,11 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
-  -- An??lise
+  -- Análise
   select id into v_id
   from public.determined_commitments
   where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
@@ -5153,7 +5784,7 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 end;
@@ -5335,6 +5966,55 @@ CREATE FUNCTION public.set_updated_at_recurrence() RETURNS trigger
 BEGIN NEW.updated_at = now(); RETURN NEW; END;
 $$;
 
+CREATE FUNCTION public.sla_mark_notified(p_breach_id uuid) RETURNS void
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    UPDATE public.conversation_sla_breaches
+        SET notified_at = now(),
+            notification_count = notification_count + 1
+        WHERE id = p_breach_id;
+END;
+$$;
+
+CREATE FUNCTION public.sla_open_breach(p_tenant_id uuid, p_thread_key text, p_assigned_to uuid, p_last_inbound_at timestamp with time zone, p_threshold_minutes integer) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_existing_id UUID;
+    v_new_id UUID;
+BEGIN
+    IF p_tenant_id IS NULL OR p_thread_key IS NULL THEN
+        RAISE EXCEPTION 'tenant_and_thread_required';
+    END IF;
+
+    -- Ja tem aberto? Retorna o mesmo id (idempotente)
+    SELECT id INTO v_existing_id
+        FROM public.conversation_sla_breaches
+        WHERE tenant_id = p_tenant_id
+          AND thread_key = p_thread_key
+          AND resolved_at IS NULL;
+
+    IF FOUND THEN
+        UPDATE public.conversation_sla_breaches
+            SET assigned_to = COALESCE(p_assigned_to, assigned_to),
+                last_inbound_at = COALESCE(p_last_inbound_at, last_inbound_at)
+            WHERE id = v_existing_id;
+        RETURN v_existing_id;
+    END IF;
+
+    INSERT INTO public.conversation_sla_breaches
+        (tenant_id, thread_key, assigned_to, last_inbound_at, threshold_minutes_at_breach)
+    VALUES
+        (p_tenant_id, p_thread_key, p_assigned_to, p_last_inbound_at, p_threshold_minutes)
+    RETURNING id INTO v_new_id;
+
+    RETURN v_new_id;
+END;
+$$;
+
 CREATE FUNCTION public.split_recurrence_at(p_recurrence_id uuid, p_from_date date) RETURNS uuid
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -6698,6 +7378,87 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.whatsapp_heartbeat_mark_notified(p_incident_id uuid) RETURNS void
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    UPDATE public.whatsapp_connection_incidents
+        SET notified_at = now(),
+            notification_count = notification_count + 1
+        WHERE id = p_incident_id;
+END;
+$$;
+
+CREATE FUNCTION public.whatsapp_heartbeat_open_incident(p_channel_id uuid, p_kind text, p_last_state text DEFAULT NULL::text, p_details jsonb DEFAULT NULL::jsonb) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_tenant_id UUID;
+    v_provider TEXT;
+    v_existing_id UUID;
+    v_new_id UUID;
+BEGIN
+    -- Busca tenant/provider do channel
+    SELECT tenant_id, provider INTO v_tenant_id, v_provider
+        FROM public.notification_channels
+        WHERE id = p_channel_id
+          AND deleted_at IS NULL;
+
+    IF NOT FOUND THEN
+        RAISE EXCEPTION 'channel_not_found';
+    END IF;
+
+    IF p_kind NOT IN ('disconnected', 'error', 'qr_pending', 'connecting', 'unknown') THEN
+        RAISE EXCEPTION 'invalid_kind: %', p_kind;
+    END IF;
+
+    -- Ja tem aberto? Retorna o mesmo id (idempotente)
+    SELECT id INTO v_existing_id
+        FROM public.whatsapp_connection_incidents
+        WHERE channel_id = p_channel_id
+          AND resolved_at IS NULL;
+
+    IF FOUND THEN
+        -- Atualiza o incident existente com detalhes frescos
+        UPDATE public.whatsapp_connection_incidents
+            SET last_state = COALESCE(p_last_state, last_state),
+                details = COALESCE(p_details, details),
+                kind = p_kind  -- pode mudar de qr_pending → disconnected, por ex
+            WHERE id = v_existing_id;
+        RETURN v_existing_id;
+    END IF;
+
+    -- Abre novo
+    INSERT INTO public.whatsapp_connection_incidents
+        (tenant_id, channel_id, provider, kind, last_state, details)
+    VALUES
+        (v_tenant_id, p_channel_id, v_provider, p_kind, p_last_state, p_details)
+    RETURNING id INTO v_new_id;
+
+    RETURN v_new_id;
+END;
+$$;
+
+CREATE FUNCTION public.whatsapp_heartbeat_resolve_open_incidents(p_channel_id uuid) RETURNS integer
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_count INT := 0;
+BEGIN
+    UPDATE public.whatsapp_connection_incidents
+        SET resolved_at = now(),
+            duration_seconds = EXTRACT(EPOCH FROM (now() - started_at))::INT
+        WHERE channel_id = p_channel_id
+          AND resolved_at IS NULL;
+
+    GET DIAGNOSTICS v_count = ROW_COUNT;
+    RETURN v_count;
+END;
+$$;
+
 CREATE FUNCTION public.whoami() RETURNS TABLE(uid uuid, role text)
     LANGUAGE sql STABLE
     AS $$

database-novo/schema/03_functions/auth.sql

@@ -1,5 +1,5 @@
 -- Functions: auth
--- Gerado automaticamente em 2026-04-21T23:16:34.941Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.917Z
 -- Total: 4
 
 CREATE FUNCTION auth.email() RETURNS text

database-novo/schema/03_functions/extensions.sql

@@ -1,5 +1,5 @@
 -- Functions: extensions
--- Gerado automaticamente em 2026-04-21T23:16:34.942Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.917Z
 -- Total: 6
 
 CREATE FUNCTION extensions.grant_pg_cron_access() RETURNS event_trigger

database-novo/schema/03_functions/pgbouncer.sql

@@ -1,5 +1,5 @@
 -- Functions: pgbouncer
--- Gerado automaticamente em 2026-04-21T23:16:34.943Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.917Z
 -- Total: 1
 
 CREATE FUNCTION pgbouncer.get_auth(p_usename text) RETURNS TABLE(username text, password text)

database-novo/schema/03_functions/public.sql

@@ -1,6 +1,6 @@
 -- Functions: public
--- Gerado automaticamente em 2026-04-21T23:16:34.944Z
--- Total: 153
+-- Gerado automaticamente em 2026-05-11T16:53:50.918Z
+-- Total: 172
 
 CREATE FUNCTION public.__rls_ping() RETURNS text
     LANGUAGE sql STABLE
@@ -8,6 +8,68 @@ CREATE FUNCTION public.__rls_ping() RETURNS text
   select 'ok'::text;
 $$;
 
+CREATE FUNCTION public._first_response_runs(p_tenant_id uuid, p_from timestamp with time zone, p_to timestamp with time zone) RETURNS TABLE(thread_key text, inbound_started_at timestamp with time zone, responded_at timestamp with time zone, response_seconds integer, responder_id uuid)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    WITH msgs AS (
+        SELECT
+            m.id,
+            m.tenant_id,
+            m.direction,
+            m.created_at,
+            m.patient_id,
+            m.from_number,
+            m.to_number,
+            -- mesma logica da view conversation_threads
+            COALESCE(
+                m.patient_id::text,
+                'anon:' || COALESCE(
+                    CASE WHEN m.direction = 'inbound' THEN m.from_number ELSE m.to_number END,
+                    'unknown'
+                )
+            ) AS tk
+        FROM public.conversation_messages m
+        WHERE m.tenant_id = p_tenant_id
+          AND m.direction IN ('inbound', 'outbound')
+          AND m.created_at >= p_from
+          AND m.created_at <= p_to
+    ),
+    with_prev AS (
+        SELECT *,
+               LAG(direction) OVER (PARTITION BY tenant_id, tk ORDER BY created_at, id) AS prev_direction
+        FROM msgs
+    ),
+    run_starts AS (
+        -- Primeira mensagem de cada "run inbound"
+        SELECT tk, tenant_id, created_at AS inbound_started_at
+        FROM with_prev
+        WHERE direction = 'inbound'
+          AND (prev_direction IS NULL OR prev_direction = 'outbound')
+    )
+    SELECT
+        r.tk AS thread_key,
+        r.inbound_started_at,
+        o.created_at AS responded_at,
+        EXTRACT(EPOCH FROM (o.created_at - r.inbound_started_at))::INT AS response_seconds,
+        -- Quem respondeu: pega o assigned_to atual da thread (snapshot aproximado)
+        a.assigned_to AS responder_id
+    FROM run_starts r
+    LEFT JOIN LATERAL (
+        SELECT created_at
+        FROM public.conversation_messages m2
+        WHERE m2.tenant_id = r.tenant_id
+          AND COALESCE(m2.patient_id::text, 'anon:' || COALESCE(m2.to_number, m2.from_number, 'unknown')) = r.tk
+          AND m2.direction = 'outbound'
+          AND m2.created_at > r.inbound_started_at
+        ORDER BY m2.created_at
+        LIMIT 1
+    ) o ON true
+    LEFT JOIN public.conversation_assignments a
+        ON a.tenant_id = r.tenant_id AND a.thread_key = r.tk
+    WHERE o.created_at IS NOT NULL;   -- so runs que foram respondidos
+$$;
+
 CREATE FUNCTION public.activate_subscription_from_intent(p_intent_id uuid) RETURNS public.subscriptions
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -172,6 +234,95 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.admin_adjust_whatsapp_credits(p_tenant_id uuid, p_amount integer, p_admin_id uuid, p_note text DEFAULT NULL::text) RETURNS integer
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_new_balance INT;
+    v_current_balance INT;
+    v_topup_net INT;
+    v_usage_total INT;
+    v_removable INT;
+    v_clean_note TEXT;
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    IF p_tenant_id IS NULL THEN
+        RAISE EXCEPTION 'tenant_required';
+    END IF;
+
+    IF p_amount IS NULL OR p_amount = 0 THEN
+        RAISE EXCEPTION 'amount_required';
+    END IF;
+
+    IF ABS(p_amount) > 1000 THEN
+        RAISE EXCEPTION 'amount_exceeds_limit_1000';
+    END IF;
+
+    IF p_admin_id IS NULL THEN
+        RAISE EXCEPTION 'admin_id_required';
+    END IF;
+
+    v_clean_note := NULLIF(TRIM(COALESCE(p_note, '')), '');
+    IF v_clean_note IS NOT NULL THEN
+        v_clean_note := LEFT(v_clean_note, 500);
+    END IF;
+
+    IF p_amount > 0 THEN
+        -- ADICIONAR
+        INSERT INTO public.whatsapp_credits_balance (tenant_id, balance)
+        VALUES (p_tenant_id, p_amount)
+        ON CONFLICT (tenant_id) DO UPDATE SET
+            balance = whatsapp_credits_balance.balance + EXCLUDED.balance,
+            low_balance_alerted_at = NULL
+        RETURNING balance INTO v_new_balance;
+
+    ELSE
+        -- REMOVER (amount < 0)
+        SELECT balance INTO v_current_balance
+            FROM public.whatsapp_credits_balance
+            WHERE tenant_id = p_tenant_id
+            FOR UPDATE;
+
+        IF NOT FOUND THEN
+            RAISE EXCEPTION 'tenant_has_no_balance';
+        END IF;
+
+        SELECT COALESCE(SUM(amount), 0) INTO v_topup_net
+            FROM public.whatsapp_credits_transactions
+            WHERE tenant_id = p_tenant_id
+              AND kind IN ('topup_manual', 'adjustment', 'refund');
+
+        SELECT COALESCE(ABS(SUM(amount)), 0) INTO v_usage_total
+            FROM public.whatsapp_credits_transactions
+            WHERE tenant_id = p_tenant_id
+              AND kind = 'usage';
+
+        v_removable := GREATEST(0, v_topup_net - v_usage_total);
+        v_removable := LEAST(v_removable, v_current_balance);
+
+        IF ABS(p_amount) > v_removable THEN
+            RAISE EXCEPTION 'cannot_remove_beyond_removable: max=%', v_removable;
+        END IF;
+
+        UPDATE public.whatsapp_credits_balance
+            SET balance = balance + p_amount    -- p_amount ja e negativo
+            WHERE tenant_id = p_tenant_id
+            RETURNING balance INTO v_new_balance;
+    END IF;
+
+    INSERT INTO public.whatsapp_credits_transactions
+        (tenant_id, kind, amount, balance_after, admin_id, note)
+    VALUES
+        (p_tenant_id, 'adjustment', p_amount, v_new_balance, p_admin_id, v_clean_note);
+
+    RETURN v_new_balance;
+END;
+$$;
+
 CREATE FUNCTION public.admin_credit_addon(p_tenant_id uuid, p_addon_type text, p_amount integer, p_product_id uuid DEFAULT NULL::uuid, p_description text DEFAULT 'Cr??dito manual'::text, p_payment_method text DEFAULT 'manual'::text, p_price_cents integer DEFAULT 0) RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -774,9 +925,7 @@ CREATE FUNCTION public.cancel_notifications_on_session_cancel() RETURNS trigger
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
 BEGIN
-  IF NEW.status IN ('cancelado', 'excluido')
-     AND OLD.status NOT IN ('cancelado', 'excluido')
-  THEN
+  IF NEW.status = 'cancelado' AND OLD.status <> 'cancelado' THEN
     PERFORM public.cancel_patient_pending_notifications(
       NEW.patient_id, NULL, NEW.id
     );
@@ -1150,6 +1299,101 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.convert_abandoned_intake_to_lead(p_intake_id uuid) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_intake RECORD;
+    v_tenant_id UUID;
+    v_thread_key TEXT;
+    v_phone TEXT;
+    v_note_body TEXT;
+    v_admin_id UUID;
+    v_msg_id BIGINT;
+BEGIN
+    SELECT * INTO v_intake FROM public.patient_intake_requests WHERE id = p_intake_id;
+    IF NOT FOUND THEN RAISE EXCEPTION 'intake_not_found'; END IF;
+    IF v_intake.status = 'abandoned_lead' THEN RETURN v_intake.lead_thread_key::UUID; END IF;
+
+    -- Tenant_id vem via owner_id (tenant_members)
+    SELECT tenant_id INTO v_tenant_id
+        FROM public.tenant_members
+        WHERE user_id = v_intake.owner_id
+        ORDER BY CASE role WHEN 'tenant_admin' THEN 1 WHEN 'clinic_admin' THEN 2 ELSE 3 END
+        LIMIT 1;
+
+    IF v_tenant_id IS NULL THEN RAISE EXCEPTION 'tenant_not_resolved'; END IF;
+
+    -- Normaliza telefone pra thread_key
+    v_phone := regexp_replace(COALESCE(v_intake.telefone, ''), '\D', '', 'g');
+    IF length(v_phone) BETWEEN 10 AND 11 THEN v_phone := '55' || v_phone; END IF;
+    IF v_phone = '' THEN v_phone := 'unknown'; END IF;
+    v_thread_key := 'anon:' || v_phone;
+
+    -- Nota com dados coletados
+    v_note_body := format(
+        '📋 Lead abandonado (cadastro externo):%s%sNome: %s%sTelefone: %s%sE-mail: %s%sMotivo/Observacoes: %s%s%sIniciou em: %s · Ultima atualizacao: %s',
+        E'\n', E'\n',
+        COALESCE(v_intake.nome_completo, '—'),
+        E'\n',
+        COALESCE(v_intake.telefone, '—'),
+        E'\n',
+        COALESCE(v_intake.email_principal, '—'),
+        E'\n',
+        COALESCE(v_intake.onde_nos_conheceu, '—'),
+        E'\n', E'\n',
+        to_char(v_intake.created_at AT TIME ZONE 'America/Sao_Paulo', 'DD/MM HH24:MI'),
+        to_char(COALESCE(v_intake.last_progress_at, v_intake.updated_at) AT TIME ZONE 'America/Sao_Paulo', 'DD/MM HH24:MI')
+    );
+
+    -- Pega 1 admin do tenant pra preencher created_by da nota
+    SELECT user_id INTO v_admin_id
+        FROM public.tenant_members
+        WHERE tenant_id = v_tenant_id
+          AND role IN ('tenant_admin', 'clinic_admin')
+          AND status = 'active'
+        LIMIT 1;
+
+    IF v_admin_id IS NULL THEN
+        v_admin_id := v_intake.owner_id;
+    END IF;
+
+    -- Cria mensagem placeholder (outbound sistema — entra no thread do CRM)
+    INSERT INTO public.conversation_messages
+        (tenant_id, channel, direction, from_number, to_number, body, provider,
+         provider_raw, kanban_status)
+    VALUES (
+        v_tenant_id, 'whatsapp', 'inbound',
+        CASE WHEN v_phone = 'unknown' THEN NULL ELSE v_phone END,
+        NULL,
+        format('🧾 Cadastro externo iniciado e não finalizado. %s entrou em contato via link público mas abandonou o formulário — ver nota interna.',
+               COALESCE(v_intake.nome_completo, 'Visitante')),
+        'system',
+        jsonb_build_object('lead_from_abandoned_intake', true, 'intake_id', v_intake.id),
+        'awaiting_us'
+    ) RETURNING id INTO v_msg_id;
+
+    -- Cria nota interna
+    INSERT INTO public.conversation_notes
+        (tenant_id, thread_key, contact_number, body, created_by)
+    VALUES (
+        v_tenant_id, v_thread_key,
+        CASE WHEN v_phone = 'unknown' THEN NULL ELSE v_phone END,
+        v_note_body, v_admin_id
+    );
+
+    -- Atualiza intake
+    UPDATE public.patient_intake_requests
+        SET status = 'abandoned_lead',
+            lead_thread_key = v_thread_key,
+            updated_at = now()
+        WHERE id = p_intake_id;
+
+    RETURN p_intake_id;
+END;
+$$;
+
 CREATE FUNCTION public.create_clinic_tenant(p_name text) RETURNS uuid
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -2753,6 +2997,84 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.first_response_by_therapist(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(therapist_id uuid, runs_count integer, avg_seconds integer, median_seconds integer)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    SELECT
+        r.responder_id AS therapist_id,
+        COUNT(*)::INT AS runs_count,
+        AVG(r.response_seconds)::INT AS avg_seconds,
+        PERCENTILE_CONT(0.5) WITHIN GROUP (ORDER BY r.response_seconds)::INT AS median_seconds
+    FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+    WHERE r.responder_id IS NOT NULL
+    GROUP BY r.responder_id
+    ORDER BY avg_seconds ASC;
+$$;
+
+CREATE FUNCTION public.first_response_evolution(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_bucket_days integer DEFAULT 7, p_therapist_id uuid DEFAULT NULL::uuid) RETURNS TABLE(bucket_start timestamp with time zone, runs_count integer, avg_seconds integer)
+    LANGUAGE sql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+    WITH runs AS (
+        SELECT r.inbound_started_at, r.response_seconds
+        FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+        WHERE (p_therapist_id IS NULL OR r.responder_id = p_therapist_id)
+    ),
+    bucketed AS (
+        SELECT
+            -- Janela alinhada a p_from: bucket_index * N dias + p_from
+            p_from + (
+                FLOOR(EXTRACT(EPOCH FROM (inbound_started_at - p_from)) / (p_bucket_days * 86400))::INT
+                * p_bucket_days * interval '1 day'
+            ) AS bucket_start,
+            response_seconds
+        FROM runs
+    )
+    SELECT
+        bucket_start,
+        COUNT(*)::INT AS runs_count,
+        AVG(response_seconds)::INT AS avg_seconds
+    FROM bucketed
+    GROUP BY bucket_start
+    ORDER BY bucket_start;
+$$;
+
+CREATE FUNCTION public.first_response_stats(p_tenant_id uuid, p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_therapist_id uuid DEFAULT NULL::uuid) RETURNS TABLE(runs_count integer, avg_seconds integer, median_seconds integer, min_seconds integer, max_seconds integer, sla_threshold_seconds integer, sla_compliant_count integer, sla_compliance_rate numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_threshold_seconds INT;
+BEGIN
+    -- Pega threshold do SLA (se habilitado)
+    SELECT CASE WHEN enabled THEN threshold_minutes * 60 ELSE NULL END
+        INTO v_threshold_seconds
+        FROM public.conversation_sla_rules
+        WHERE tenant_id = p_tenant_id;
+
+    RETURN QUERY
+    WITH runs AS (
+        SELECT r.response_seconds, r.responder_id
+        FROM public._first_response_runs(p_tenant_id, p_from, p_to) r
+        WHERE (p_therapist_id IS NULL OR r.responder_id = p_therapist_id)
+    )
+    SELECT
+        COUNT(*)::INT AS runs_count,
+        COALESCE(AVG(response_seconds)::INT, 0) AS avg_seconds,
+        COALESCE(PERCENTILE_CONT(0.5) WITHIN GROUP (ORDER BY response_seconds)::INT, 0) AS median_seconds,
+        COALESCE(MIN(response_seconds), 0) AS min_seconds,
+        COALESCE(MAX(response_seconds), 0) AS max_seconds,
+        v_threshold_seconds AS sla_threshold_seconds,
+        COUNT(*) FILTER (WHERE v_threshold_seconds IS NOT NULL AND response_seconds <= v_threshold_seconds)::INT AS sla_compliant_count,
+        CASE
+            WHEN v_threshold_seconds IS NULL OR COUNT(*) = 0 THEN NULL
+            ELSE ROUND(100.0 * COUNT(*) FILTER (WHERE response_seconds <= v_threshold_seconds) / COUNT(*), 1)
+        END AS sla_compliance_rate
+    FROM runs;
+END;
+$$;
+
 CREATE FUNCTION public.fix_all_subscription_mismatches() RETURNS void
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -2859,6 +3181,146 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.fn_notify_agenda_status_change() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_url TEXT;
+    v_key TEXT;
+BEGIN
+    -- So dispara se status realmente mudou
+    IF NEW.status IS NOT DISTINCT FROM OLD.status THEN
+        RETURN NEW;
+    END IF;
+
+    -- So dispara pra status "interessantes". Outros sao silenciosamente ignorados
+    -- (a edge tambem tem essa logica, mas economizamos chamada HTTP aqui)
+    IF NEW.status NOT IN ('cancelado', 'remarcado', 'confirmado') THEN
+        RETURN NEW;
+    END IF;
+
+    -- Precisa de paciente vinculado (senao nao tem telefone)
+    IF NEW.patient_id IS NULL THEN
+        RETURN NEW;
+    END IF;
+
+    -- Busca settings
+    BEGIN
+        v_url := current_setting('app.settings.supabase_url', true);
+        v_key := current_setting('app.settings.service_role_key', true);
+    EXCEPTION WHEN OTHERS THEN
+        -- Settings nao configuradas — silencioso
+        RETURN NEW;
+    END;
+
+    IF v_url IS NULL OR v_key IS NULL THEN
+        RETURN NEW;
+    END IF;
+
+    -- Fire and forget (pg_net)
+    PERFORM net.http_post(
+        url := v_url || '/functions/v1/send-session-status-notification',
+        headers := jsonb_build_object(
+            'Authorization', 'Bearer ' || v_key,
+            'Content-Type', 'application/json'
+        ),
+        body := jsonb_build_object(
+            'event_id', NEW.id,
+            'old_status', OLD.status,
+            'new_status', NEW.status
+        )
+    );
+
+    RETURN NEW;
+END;
+$$;
+
+CREATE FUNCTION public.fn_sla_resolve_on_outbound() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_thread_key TEXT;
+BEGIN
+    -- So processa outbound
+    IF NEW.direction <> 'outbound' THEN RETURN NEW; END IF;
+
+    -- Calcula thread_key no mesmo padrao da view conversation_threads
+    v_thread_key := COALESCE(
+        NEW.patient_id::text,
+        'anon:' || COALESCE(NEW.to_number, 'unknown')
+    );
+
+    UPDATE public.conversation_sla_breaches
+        SET resolved_at = now(),
+            resolved_by_message_id = NEW.id
+        WHERE tenant_id = NEW.tenant_id
+          AND thread_key = v_thread_key
+          AND resolved_at IS NULL;
+
+    RETURN NEW;
+END;
+$$;
+
+CREATE FUNCTION public.fn_whatsapp_low_balance_notify() RETURNS trigger
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_detail TEXT;
+BEGIN
+    -- So alerta na transicao (alerted_at NULL) E se esta abaixo do threshold
+    IF NEW.balance < NEW.low_balance_threshold
+       AND NEW.low_balance_alerted_at IS NULL THEN
+
+        v_detail := format(
+            'Saldo atual: %s credito(s). Alerta configurado em %s. '
+            'Compre mais na loja para nao interromper envios via WhatsApp Oficial.',
+            NEW.balance,
+            NEW.low_balance_threshold
+        );
+
+        -- Stakeholders: owner do canal WhatsApp ativo + admins ativos do tenant
+        INSERT INTO public.notifications
+            (owner_id, tenant_id, type, ref_id, ref_table, payload)
+        SELECT
+            u.user_id,
+            NEW.tenant_id,
+            'system_alert',
+            NEW.tenant_id,
+            'whatsapp_credits_balance',
+            jsonb_build_object(
+                'title', 'Saldo de WhatsApp baixo',
+                'detail', v_detail,
+                'severity', 'warn',
+                'deeplink', '/configuracoes/creditos-whatsapp'
+            )
+        FROM (
+            SELECT owner_id AS user_id
+                FROM public.notification_channels
+                WHERE tenant_id = NEW.tenant_id
+                  AND channel = 'whatsapp'
+                  AND is_active = true
+                  AND deleted_at IS NULL
+            UNION
+            SELECT user_id
+                FROM public.tenant_members
+                WHERE tenant_id = NEW.tenant_id
+                  AND role IN ('clinic_admin', 'tenant_admin')
+                  AND status = 'active'
+        ) u
+        WHERE u.user_id IS NOT NULL;
+
+        -- Anti-spam: so alerta de novo depois que add_whatsapp_credits
+        -- reseta alerted_at pra NULL (acontece em purchase/topup)
+        NEW.low_balance_alerted_at := now();
+    END IF;
+
+    RETURN NEW;
+END;
+$$;
+
 CREATE FUNCTION public.generate_math_challenge() RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -3177,6 +3639,48 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.get_whatsapp_removable_balance(p_tenant_id uuid) RETURNS TABLE(balance integer, removable integer, protected_amount integer, topup_net integer, usage_total integer)
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_balance INT := 0;
+    v_topup_net INT := 0;
+    v_usage_total INT := 0;
+    v_removable INT := 0;
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    SELECT COALESCE(b.balance, 0) INTO v_balance
+        FROM public.whatsapp_credits_balance b
+        WHERE b.tenant_id = p_tenant_id;
+
+    v_balance := COALESCE(v_balance, 0);
+
+    SELECT COALESCE(SUM(amount), 0) INTO v_topup_net
+        FROM public.whatsapp_credits_transactions
+        WHERE tenant_id = p_tenant_id
+          AND kind IN ('topup_manual', 'adjustment', 'refund');
+
+    SELECT COALESCE(ABS(SUM(amount)), 0) INTO v_usage_total
+        FROM public.whatsapp_credits_transactions
+        WHERE tenant_id = p_tenant_id
+          AND kind = 'usage';
+
+    v_removable := GREATEST(0, v_topup_net - v_usage_total);
+    v_removable := LEAST(v_removable, v_balance);
+
+    RETURN QUERY SELECT
+        v_balance,
+        v_removable,
+        GREATEST(0, v_balance - v_removable),
+        v_topup_net,
+        v_usage_total;
+END;
+$$;
+
 CREATE FUNCTION public.guard_account_type_immutable() RETURNS trigger
     LANGUAGE plpgsql
     AS $$
@@ -4410,6 +4914,120 @@ begin
 end;
 $$;
 
+CREATE FUNCTION public.saas_wa_credits_revenue_evolution(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now(), p_bucket_days integer DEFAULT 7) RETURNS TABLE(bucket_start timestamp with time zone, purchases_count integer, revenue_brl numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    WITH purchases AS (
+        SELECT p.paid_at, p.amount_brl
+        FROM public.whatsapp_credit_purchases p
+        WHERE p.status = 'paid'
+          AND p.paid_at >= p_from
+          AND p.paid_at <= p_to
+    ),
+    bucketed AS (
+        SELECT
+            p_from + (
+                FLOOR(EXTRACT(EPOCH FROM (paid_at - p_from)) / (p_bucket_days * 86400))::INT
+                * p_bucket_days * interval '1 day'
+            ) AS bucket_start,
+            amount_brl
+        FROM purchases
+    )
+    SELECT
+        bucket_start,
+        COUNT(*)::INT AS purchases_count,
+        SUM(amount_brl)::NUMERIC AS revenue_brl
+    FROM bucketed
+    GROUP BY bucket_start
+    ORDER BY bucket_start;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_revenue_stats(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(revenue_brl numeric, purchases_count integer, tenants_count integer, credits_sold integer, avg_ticket_brl numeric)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        COALESCE(SUM(p.amount_brl), 0)::NUMERIC AS revenue_brl,
+        COUNT(*)::INT AS purchases_count,
+        COUNT(DISTINCT p.tenant_id)::INT AS tenants_count,
+        COALESCE(SUM(p.credits), 0)::INT AS credits_sold,
+        CASE WHEN COUNT(*) = 0 THEN 0
+             ELSE ROUND(COALESCE(AVG(p.amount_brl), 0), 2)
+        END AS avg_ticket_brl
+    FROM public.whatsapp_credit_purchases p
+    WHERE p.status = 'paid'
+      AND p.paid_at >= p_from
+      AND p.paid_at <= p_to;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_top_packages(p_from timestamp with time zone DEFAULT (now() - '30 days'::interval), p_to timestamp with time zone DEFAULT now()) RETURNS TABLE(package_id uuid, package_name text, purchases_count integer, revenue_brl numeric, credits_sold integer)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        p.package_id,
+        -- Nome snapshot do momento da compra; se tem package_id, usa o nome
+        -- atual pra consolidar pacotes renomeados
+        COALESCE(
+            (SELECT pk.name FROM public.whatsapp_credit_packages pk WHERE pk.id = p.package_id),
+            p.package_name
+        ) AS package_name,
+        COUNT(*)::INT AS purchases_count,
+        SUM(p.amount_brl)::NUMERIC AS revenue_brl,
+        SUM(p.credits)::INT AS credits_sold
+    FROM public.whatsapp_credit_purchases p
+    WHERE p.status = 'paid'
+      AND p.paid_at >= p_from
+      AND p.paid_at <= p_to
+    GROUP BY p.package_id, p.package_name
+    ORDER BY revenue_brl DESC
+    LIMIT 10;
+END;
+$$;
+
+CREATE FUNCTION public.saas_wa_credits_usage_summary() RETURNS TABLE(lifetime_purchased integer, lifetime_used integer, current_balance integer, usage_rate numeric, tenants_with_balance integer)
+    LANGUAGE plpgsql STABLE SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    IF NOT public.is_saas_admin() THEN
+        RAISE EXCEPTION 'permission_denied';
+    END IF;
+
+    RETURN QUERY
+    SELECT
+        COALESCE(SUM(lifetime_purchased), 0)::INT AS lifetime_purchased,
+        COALESCE(SUM(lifetime_used), 0)::INT AS lifetime_used,
+        COALESCE(SUM(balance), 0)::INT AS current_balance,
+        CASE WHEN COALESCE(SUM(lifetime_purchased), 0) = 0 THEN 0
+             ELSE ROUND(100.0 * COALESCE(SUM(lifetime_used), 0) / SUM(lifetime_purchased), 1)
+        END AS usage_rate,
+        COUNT(*)::INT AS tenants_with_balance
+    FROM public.whatsapp_credits_balance;
+END;
+$$;
+
 CREATE FUNCTION public.safe_delete_patient(p_patient_id uuid) RETURNS jsonb
     LANGUAGE plpgsql SECURITY DEFINER
     AS $$
@@ -4727,7 +5345,7 @@ CREATE FUNCTION public.seed_determined_commitments(p_tenant_id uuid) RETURNS voi
 declare
   v_id uuid;
 begin
-  -- Sess??o (locked + sempre ativa)
+  -- Sessão (locked + sempre ativa)
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
@@ -4735,7 +5353,7 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'session', true, true, 'Sess??o', 'Sess??o com paciente');
+      (p_tenant_id, true, 'session', true, true, 'Sessão', 'Sessão com paciente');
   end if;
 
   -- Leitura
@@ -4749,7 +5367,7 @@ begin
       (p_tenant_id, true, 'reading', false, true, 'Leitura', 'Praticar leitura');
   end if;
 
-  -- Supervis??o
+  -- Supervisão
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
@@ -4757,10 +5375,10 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'supervision', false, true, 'Supervis??o', 'Supervis??o');
+      (p_tenant_id, true, 'supervision', false, true, 'Supervisão', 'Supervisão');
   end if;
 
-  -- Aula ??? (corrigido)
+  -- Aula
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'class'
@@ -4771,7 +5389,7 @@ begin
       (p_tenant_id, true, 'class', false, false, 'Aula', 'Dar aula');
   end if;
 
-  -- An??lise pessoal
+  -- Análise pessoal
   if not exists (
     select 1 from public.determined_commitments
     where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
@@ -4779,13 +5397,26 @@ begin
     insert into public.determined_commitments
       (tenant_id, is_native, native_key, is_locked, active, name, description)
     values
-      (p_tenant_id, true, 'analysis', false, true, 'An??lise Pessoal', 'Minha an??lise pessoal');
+      (p_tenant_id, true, 'analysis', false, true, 'Análise Pessoal', 'Minha análise pessoal');
   end if;
 
   -- -------------------------------------------------------
-  -- Campos padr??o (idempotentes por (commitment_id, key))
+  -- Campos padrão (idempotentes por (commitment_id, key))
   -- -------------------------------------------------------
 
+  -- Sessão (NOVO em 2026-05-11: 'notes' como Observação default)
+  select id into v_id
+  from public.determined_commitments
+  where tenant_id = p_tenant_id and is_native = true and native_key = 'session'
+  limit 1;
+
+  if v_id is not null then
+    if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
+      insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
+    end if;
+  end if;
+
   -- Leitura
   select id into v_id
   from public.determined_commitments
@@ -4805,11 +5436,11 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
-  -- Supervis??o
+  -- Supervisão
   select id into v_id
   from public.determined_commitments
   where tenant_id = p_tenant_id and is_native = true and native_key = 'supervision'
@@ -4828,7 +5459,7 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
@@ -4851,11 +5482,11 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 
-  -- An??lise
+  -- Análise
   select id into v_id
   from public.determined_commitments
   where tenant_id = p_tenant_id and is_native = true and native_key = 'analysis'
@@ -4874,7 +5505,7 @@ begin
 
     if not exists (select 1 from public.determined_commitment_fields where commitment_id = v_id and key = 'notes') then
       insert into public.determined_commitment_fields (tenant_id, commitment_id, key, label, field_type, required, sort_order)
-      values (p_tenant_id, v_id, 'notes', 'Observa????o', 'textarea', false, 30);
+      values (p_tenant_id, v_id, 'notes', 'Observação', 'textarea', false, 30);
     end if;
   end if;
 end;
@@ -5056,6 +5687,55 @@ CREATE FUNCTION public.set_updated_at_recurrence() RETURNS trigger
 BEGIN NEW.updated_at = now(); RETURN NEW; END;
 $$;
 
+CREATE FUNCTION public.sla_mark_notified(p_breach_id uuid) RETURNS void
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    UPDATE public.conversation_sla_breaches
+        SET notified_at = now(),
+            notification_count = notification_count + 1
+        WHERE id = p_breach_id;
+END;
+$$;
+
+CREATE FUNCTION public.sla_open_breach(p_tenant_id uuid, p_thread_key text, p_assigned_to uuid, p_last_inbound_at timestamp with time zone, p_threshold_minutes integer) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_existing_id UUID;
+    v_new_id UUID;
+BEGIN
+    IF p_tenant_id IS NULL OR p_thread_key IS NULL THEN
+        RAISE EXCEPTION 'tenant_and_thread_required';
+    END IF;
+
+    -- Ja tem aberto? Retorna o mesmo id (idempotente)
+    SELECT id INTO v_existing_id
+        FROM public.conversation_sla_breaches
+        WHERE tenant_id = p_tenant_id
+          AND thread_key = p_thread_key
+          AND resolved_at IS NULL;
+
+    IF FOUND THEN
+        UPDATE public.conversation_sla_breaches
+            SET assigned_to = COALESCE(p_assigned_to, assigned_to),
+                last_inbound_at = COALESCE(p_last_inbound_at, last_inbound_at)
+            WHERE id = v_existing_id;
+        RETURN v_existing_id;
+    END IF;
+
+    INSERT INTO public.conversation_sla_breaches
+        (tenant_id, thread_key, assigned_to, last_inbound_at, threshold_minutes_at_breach)
+    VALUES
+        (p_tenant_id, p_thread_key, p_assigned_to, p_last_inbound_at, p_threshold_minutes)
+    RETURNING id INTO v_new_id;
+
+    RETURN v_new_id;
+END;
+$$;
+
 CREATE FUNCTION public.split_recurrence_at(p_recurrence_id uuid, p_from_date date) RETURNS uuid
     LANGUAGE plpgsql SECURITY DEFINER
     SET search_path TO 'public'
@@ -6419,6 +7099,87 @@ BEGIN
 END;
 $$;
 
+CREATE FUNCTION public.whatsapp_heartbeat_mark_notified(p_incident_id uuid) RETURNS void
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+BEGIN
+    UPDATE public.whatsapp_connection_incidents
+        SET notified_at = now(),
+            notification_count = notification_count + 1
+        WHERE id = p_incident_id;
+END;
+$$;
+
+CREATE FUNCTION public.whatsapp_heartbeat_open_incident(p_channel_id uuid, p_kind text, p_last_state text DEFAULT NULL::text, p_details jsonb DEFAULT NULL::jsonb) RETURNS uuid
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_tenant_id UUID;
+    v_provider TEXT;
+    v_existing_id UUID;
+    v_new_id UUID;
+BEGIN
+    -- Busca tenant/provider do channel
+    SELECT tenant_id, provider INTO v_tenant_id, v_provider
+        FROM public.notification_channels
+        WHERE id = p_channel_id
+          AND deleted_at IS NULL;
+
+    IF NOT FOUND THEN
+        RAISE EXCEPTION 'channel_not_found';
+    END IF;
+
+    IF p_kind NOT IN ('disconnected', 'error', 'qr_pending', 'connecting', 'unknown') THEN
+        RAISE EXCEPTION 'invalid_kind: %', p_kind;
+    END IF;
+
+    -- Ja tem aberto? Retorna o mesmo id (idempotente)
+    SELECT id INTO v_existing_id
+        FROM public.whatsapp_connection_incidents
+        WHERE channel_id = p_channel_id
+          AND resolved_at IS NULL;
+
+    IF FOUND THEN
+        -- Atualiza o incident existente com detalhes frescos
+        UPDATE public.whatsapp_connection_incidents
+            SET last_state = COALESCE(p_last_state, last_state),
+                details = COALESCE(p_details, details),
+                kind = p_kind  -- pode mudar de qr_pending → disconnected, por ex
+            WHERE id = v_existing_id;
+        RETURN v_existing_id;
+    END IF;
+
+    -- Abre novo
+    INSERT INTO public.whatsapp_connection_incidents
+        (tenant_id, channel_id, provider, kind, last_state, details)
+    VALUES
+        (v_tenant_id, p_channel_id, v_provider, p_kind, p_last_state, p_details)
+    RETURNING id INTO v_new_id;
+
+    RETURN v_new_id;
+END;
+$$;
+
+CREATE FUNCTION public.whatsapp_heartbeat_resolve_open_incidents(p_channel_id uuid) RETURNS integer
+    LANGUAGE plpgsql SECURITY DEFINER
+    SET search_path TO 'public'
+    AS $$
+DECLARE
+    v_count INT := 0;
+BEGIN
+    UPDATE public.whatsapp_connection_incidents
+        SET resolved_at = now(),
+            duration_seconds = EXTRACT(EPOCH FROM (now() - started_at))::INT
+        WHERE channel_id = p_channel_id
+          AND resolved_at IS NULL;
+
+    GET DIAGNOSTICS v_count = ROW_COUNT;
+    RETURN v_count;
+END;
+$$;
+
 CREATE FUNCTION public.whoami() RETURNS TABLE(uid uuid, role text)
     LANGUAGE sql STABLE
     AS $$

database-novo/schema/03_functions/realtime.sql

@@ -1,5 +1,5 @@
 -- Functions: realtime
--- Gerado automaticamente em 2026-04-21T23:16:34.949Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.919Z
 -- Total: 12
 
 CREATE FUNCTION realtime.apply_rls(wal jsonb, max_record_bytes integer DEFAULT (1024 * 1024)) RETURNS SETOF realtime.wal_rls

database-novo/schema/03_functions/storage.sql

@@ -1,5 +1,5 @@
 -- Functions: storage
--- Gerado automaticamente em 2026-04-21T23:16:34.950Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.920Z
 -- Total: 15
 
 CREATE FUNCTION storage.can_insert_object(bucketid text, name text, owner uuid, metadata jsonb) RETURNS void

database-novo/schema/03_functions/supabase_functions.sql

@@ -1,5 +1,5 @@
 -- Functions: supabase_functions
--- Gerado automaticamente em 2026-04-21T23:16:34.950Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.920Z
 -- Total: 1
 
 CREATE FUNCTION supabase_functions.http_request() RETURNS trigger

database-novo/schema/04_tables/addons_cr_ditos.sql

@@ -1,5 +1,5 @@
 -- Tables: Addons / Créditos
--- Gerado automaticamente em 2026-04-21T23:16:34.955Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.927Z
 -- Total: 7
 
 CREATE TABLE public.addon_credits (

database-novo/schema/04_tables/agenda_agendamento.sql

@@ -1,5 +1,5 @@
 -- Tables: Agenda / Agendamento
--- Gerado automaticamente em 2026-04-21T23:16:34.955Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.927Z
 -- Total: 10
 
 CREATE TABLE public.agenda_bloqueios (

database-novo/schema/04_tables/central_saas_docs_faq.sql

@@ -1,5 +1,5 @@
 -- Tables: Central SaaS (docs/FAQ)
--- Gerado automaticamente em 2026-04-21T23:16:34.957Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.931Z
 -- Total: 4
 
 CREATE TABLE public.saas_doc_votos (

database-novo/schema/04_tables/comunica_o_notifica_es.sql

@@ -1,6 +1,6 @@
 -- Tables: Comunicação / Notificações
--- Gerado automaticamente em 2026-04-21T23:16:34.955Z
--- Total: 14
+-- Gerado automaticamente em 2026-05-11T16:53:50.929Z
+-- Total: 15
 
 CREATE TABLE public.notification_logs (
     id uuid DEFAULT gen_random_uuid() NOT NULL,
@@ -260,7 +260,23 @@ CREATE TABLE public.notifications (
     read_at timestamp with time zone,
     archived boolean DEFAULT false NOT NULL,
     created_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT notifications_type_check CHECK ((type = ANY (ARRAY['new_scheduling'::text, 'new_patient'::text, 'recurrence_alert'::text, 'session_status'::text, 'inbound_message'::text])))
+    CONSTRAINT notifications_type_check CHECK ((type = ANY (ARRAY['new_scheduling'::text, 'new_patient'::text, 'recurrence_alert'::text, 'session_status'::text, 'inbound_message'::text, 'system_alert'::text])))
+);
+
+CREATE TABLE public.saas_twilio_config (
+    id boolean DEFAULT true NOT NULL,
+    account_sid text,
+    whatsapp_webhook_url text,
+    usd_brl_rate numeric(10,4) DEFAULT 5.5 NOT NULL,
+    margin_multiplier numeric(10,4) DEFAULT 1.4 NOT NULL,
+    notes text,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_by uuid,
+    CONSTRAINT saas_twilio_config_mult_chk CHECK (((margin_multiplier >= (1)::numeric) AND (margin_multiplier <= (10)::numeric))),
+    CONSTRAINT saas_twilio_config_rate_chk CHECK (((usd_brl_rate > (0)::numeric) AND (usd_brl_rate < (100)::numeric))),
+    CONSTRAINT saas_twilio_config_sid_chk CHECK (((account_sid IS NULL) OR (account_sid ~ '^AC[a-zA-Z0-9]{32}$'::text))),
+    CONSTRAINT saas_twilio_config_singleton CHECK ((id = true)),
+    CONSTRAINT saas_twilio_config_url_chk CHECK (((whatsapp_webhook_url IS NULL) OR (whatsapp_webhook_url ~ '^https?://'::text)))
 );
 
 CREATE TABLE public.twilio_subaccount_usage (

database-novo/schema/04_tables/crm_conversas_whatsapp.sql

@@ -1,6 +1,18 @@
 -- Tables: CRM Conversas (WhatsApp)
--- Gerado automaticamente em 2026-04-21T23:16:34.956Z
--- Total: 10
+-- Gerado automaticamente em 2026-05-11T16:53:50.930Z
+-- Total: 16
+
+CREATE TABLE public.conversation_assignments (
+    tenant_id uuid NOT NULL,
+    thread_key text NOT NULL,
+    patient_id uuid,
+    contact_number text,
+    assigned_to uuid,
+    assigned_by uuid NOT NULL,
+    assigned_at timestamp with time zone DEFAULT now() NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL
+);
 
 CREATE TABLE public.conversation_autoreply_log (
     id bigint NOT NULL,
@@ -25,6 +37,39 @@ CREATE TABLE public.conversation_autoreply_settings (
     CONSTRAINT conversation_autoreply_settings_schedule_mode_check CHECK ((schedule_mode = ANY (ARRAY['agenda'::text, 'business_hours'::text, 'custom'::text])))
 );
 
+CREATE TABLE public.conversation_bot_sessions (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    tenant_id uuid NOT NULL,
+    thread_key text NOT NULL,
+    contact_number text,
+    current_step integer DEFAULT 0 NOT NULL,
+    collected_data jsonb DEFAULT '{}'::jsonb NOT NULL,
+    status text DEFAULT 'active'::text NOT NULL,
+    started_at timestamp with time zone DEFAULT now() NOT NULL,
+    last_advance_at timestamp with time zone DEFAULT now() NOT NULL,
+    completed_at timestamp with time zone,
+    abandoned_at timestamp with time zone,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT conversation_bot_sessions_status_check CHECK ((status = ANY (ARRAY['active'::text, 'completed'::text, 'abandoned_idle'::text, 'abandoned_manual'::text, 'opted_out'::text])))
+);
+
+CREATE TABLE public.conversation_bots (
+    tenant_id uuid NOT NULL,
+    enabled boolean DEFAULT false NOT NULL,
+    greeting_message text DEFAULT 'Olá! 👋 Sou o assistente virtual. Vou te fazer algumas perguntas rápidas pra a equipe preparar seu atendimento.'::text NOT NULL,
+    closing_message text DEFAULT 'Obrigado! Recebemos suas informações e a equipe entrará em contato em breve. 💙'::text NOT NULL,
+    steps jsonb DEFAULT jsonb_build_array(jsonb_build_object('prompt', 'Qual seu nome completo?', 'variable', 'nome_completo', 'type', 'text'), jsonb_build_object('prompt', 'O que te levou a buscar atendimento? Pode me contar brevemente.', 'variable', 'motivo', 'type', 'text'), jsonb_build_object('prompt', 'Prefere atendimento online ou presencial?', 'variable', 'modalidade', 'type', 'text'), jsonb_build_object('prompt', 'Qual o melhor dia e horário pra você? (Ex: terça à tarde)', 'variable', 'horario_preferido', 'type', 'text')) NOT NULL,
+    trigger_mode text DEFAULT 'new_contact'::text NOT NULL,
+    trigger_keywords text[] DEFAULT ARRAY[]::text[] NOT NULL,
+    idle_timeout_minutes integer DEFAULT 30 NOT NULL,
+    respect_optout boolean DEFAULT true NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT conversation_bots_idle_timeout_minutes_check CHECK (((idle_timeout_minutes >= 5) AND (idle_timeout_minutes <= 1440))),
+    CONSTRAINT conversation_bots_trigger_mode_check CHECK ((trigger_mode = ANY (ARRAY['new_contact'::text, 'all_unassigned'::text, 'keyword'::text])))
+);
+
 CREATE TABLE public.conversation_messages (
     id bigint NOT NULL,
     tenant_id uuid NOT NULL,
@@ -99,6 +144,39 @@ CREATE TABLE public.conversation_optouts (
     CONSTRAINT conversation_optouts_source_check CHECK ((source = ANY (ARRAY['keyword'::text, 'manual'::text])))
 );
 
+CREATE TABLE public.conversation_sla_breaches (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    tenant_id uuid NOT NULL,
+    thread_key text NOT NULL,
+    assigned_to uuid,
+    last_inbound_at timestamp with time zone NOT NULL,
+    threshold_minutes_at_breach integer NOT NULL,
+    breached_at timestamp with time zone DEFAULT now() NOT NULL,
+    resolved_at timestamp with time zone,
+    resolved_by_message_id bigint,
+    notified_at timestamp with time zone,
+    notification_count integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL
+);
+
+CREATE TABLE public.conversation_sla_rules (
+    tenant_id uuid NOT NULL,
+    enabled boolean DEFAULT false NOT NULL,
+    threshold_minutes integer DEFAULT 60 NOT NULL,
+    respect_business_hours boolean DEFAULT true NOT NULL,
+    business_hours_start time without time zone DEFAULT '08:00:00'::time without time zone NOT NULL,
+    business_hours_end time without time zone DEFAULT '18:00:00'::time without time zone NOT NULL,
+    business_days smallint[] DEFAULT ARRAY[(1)::smallint, (2)::smallint, (3)::smallint, (4)::smallint, (5)::smallint] NOT NULL,
+    alert_scope text DEFAULT 'assigned_only'::text NOT NULL,
+    notify_admin_on_breach boolean DEFAULT false NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT conversation_sla_rules_alert_scope_check CHECK ((alert_scope = ANY (ARRAY['assigned_only'::text, 'all'::text]))),
+    CONSTRAINT conversation_sla_rules_business_days_check CHECK (((array_length(business_days, 1) >= 1) AND (array_length(business_days, 1) <= 7))),
+    CONSTRAINT conversation_sla_rules_threshold_minutes_check CHECK (((threshold_minutes >= 1) AND (threshold_minutes <= 1440)))
+);
+
 CREATE TABLE public.conversation_tags (
     id uuid DEFAULT gen_random_uuid() NOT NULL,
     tenant_id uuid,
@@ -134,7 +212,7 @@ CREATE TABLE public.session_reminder_logs (
     to_phone text,
     provider_message_id text,
     conversation_message_id bigint,
-    CONSTRAINT session_reminder_logs_reminder_type_check CHECK ((reminder_type = ANY (ARRAY['24h'::text, '2h'::text])))
+    CONSTRAINT session_reminder_logs_reminder_type_check CHECK ((reminder_type = ANY (ARRAY['24h'::text, '2h'::text, 'manual'::text])))
 );
 
 CREATE TABLE public.session_reminder_settings (
@@ -153,3 +231,22 @@ CREATE TABLE public.session_reminder_settings (
     CONSTRAINT session_reminder_settings_template_24h_check CHECK (((length(template_24h) > 0) AND (length(template_24h) <= 2000))),
     CONSTRAINT session_reminder_settings_template_2h_check CHECK (((length(template_2h) > 0) AND (length(template_2h) <= 2000)))
 );
+
+CREATE TABLE public.whatsapp_connection_incidents (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    tenant_id uuid NOT NULL,
+    channel_id uuid NOT NULL,
+    provider text NOT NULL,
+    kind text NOT NULL,
+    last_state text,
+    details jsonb,
+    started_at timestamp with time zone DEFAULT now() NOT NULL,
+    resolved_at timestamp with time zone,
+    duration_seconds integer,
+    notified_at timestamp with time zone,
+    notification_count integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT whatsapp_connection_incidents_kind_check CHECK ((kind = ANY (ARRAY['disconnected'::text, 'error'::text, 'qr_pending'::text, 'connecting'::text, 'unknown'::text]))),
+    CONSTRAINT whatsapp_connection_incidents_provider_check CHECK ((provider = ANY (ARRAY['evolution_api'::text, 'twilio'::text])))
+);

database-novo/schema/04_tables/dev_tracking.sql

@@ -0,0 +1,179 @@
+-- Tables: Dev / Tracking
+-- Gerado automaticamente em 2026-05-11T16:53:50.930Z
+-- Total: 10
+
+CREATE TABLE public.dev_auditoria_items (
+    id bigint NOT NULL,
+    categoria character varying(120),
+    titulo text NOT NULL,
+    descricao_problema text,
+    solucao text,
+    severidade character varying(20),
+    status character varying(20) DEFAULT 'aberto'::character varying NOT NULL,
+    resolvido_em date,
+    sessao_resolucao character varying(160),
+    arquivo_afetado text,
+    tags text[] DEFAULT '{}'::text[],
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    ordem integer DEFAULT 0 NOT NULL,
+    CONSTRAINT dev_auditoria_items_severidade_check CHECK (((severidade IS NULL) OR ((severidade)::text = ANY ((ARRAY['critico'::character varying, 'alto'::character varying, 'medio'::character varying, 'baixo'::character varying])::text[])))),
+    CONSTRAINT dev_auditoria_items_status_check CHECK (((status)::text = ANY ((ARRAY['aberto'::character varying, 'em_analise'::character varying, 'resolvido'::character varying, 'wontfix'::character varying, 'duplicado'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_comparison_competitor_status (
+    id bigint NOT NULL,
+    comparison_id bigint NOT NULL,
+    competitor_id bigint NOT NULL,
+    status character varying(20) DEFAULT 'a_definir'::character varying NOT NULL,
+    nota text,
+    fonte character varying(20),
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_comparison_competitor_status_fonte_check CHECK (((fonte IS NULL) OR ((fonte)::text = ANY ((ARRAY['fetched'::character varying, 'observacao'::character varying, 'publico'::character varying, 'hipotese'::character varying])::text[])))),
+    CONSTRAINT dev_comparison_competitor_status_status_check CHECK (((status)::text = ANY ((ARRAY['tem'::character varying, 'parcial'::character varying, 'gap'::character varying, 'na'::character varying, 'a_definir'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_comparison_matrix (
+    id bigint NOT NULL,
+    dominio character varying(120),
+    feature text NOT NULL,
+    nosso_status character varying(20) DEFAULT 'a_definir'::character varying NOT NULL,
+    nossa_nota text,
+    importancia character varying(20),
+    ordem integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_comparison_matrix_importancia_check CHECK (((importancia IS NULL) OR ((importancia)::text = ANY ((ARRAY['alta'::character varying, 'media'::character varying, 'baixa'::character varying])::text[])))),
+    CONSTRAINT dev_comparison_matrix_nosso_status_check CHECK (((nosso_status)::text = ANY ((ARRAY['tem'::character varying, 'parcial'::character varying, 'gap'::character varying, 'na'::character varying, 'a_definir'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_competitor_features (
+    id bigint NOT NULL,
+    competitor_id bigint NOT NULL,
+    categoria character varying(120),
+    nome text NOT NULL,
+    descricao text,
+    fonte character varying(20) DEFAULT 'publico'::character varying NOT NULL,
+    fonte_url text,
+    data_fonte date,
+    destaque boolean DEFAULT false NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    ordem integer DEFAULT 0 NOT NULL,
+    CONSTRAINT dev_competitor_features_fonte_check CHECK (((fonte)::text = ANY ((ARRAY['fetched'::character varying, 'observacao'::character varying, 'publico'::character varying, 'hipotese'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_competitors (
+    id bigint NOT NULL,
+    slug character varying(80) NOT NULL,
+    nome character varying(160) NOT NULL,
+    pais character varying(40),
+    foco character varying(160),
+    pricing text,
+    posicionamento text,
+    url text,
+    ultima_pesquisa date,
+    notas text,
+    ativo boolean DEFAULT true NOT NULL,
+    ordem integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL
+);
+
+CREATE TABLE public.dev_generation_log (
+    id bigint NOT NULL,
+    tipo character varying(40) NOT NULL,
+    comando text,
+    sucesso boolean DEFAULT false NOT NULL,
+    stdout text,
+    stderr text,
+    duration_ms integer,
+    metadata jsonb DEFAULT '{}'::jsonb,
+    trigger_user_id uuid,
+    created_at timestamp with time zone DEFAULT now() NOT NULL
+);
+
+CREATE TABLE public.dev_roadmap_items (
+    id bigint NOT NULL,
+    phase_id bigint NOT NULL,
+    numero integer,
+    bloco character varying(160),
+    feature text NOT NULL,
+    descricao text,
+    esforco character varying(4),
+    prioridade character varying(20),
+    status character varying(20) DEFAULT 'pendente'::character varying NOT NULL,
+    notas text,
+    assignee character varying(120),
+    data_inicio date,
+    data_conclusao date,
+    ordem integer DEFAULT 0 NOT NULL,
+    tags text[] DEFAULT '{}'::text[],
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_roadmap_items_esforco_check CHECK (((esforco IS NULL) OR ((esforco)::text = ANY ((ARRAY['S'::character varying, 'M'::character varying, 'L'::character varying, 'XL'::character varying])::text[])))),
+    CONSTRAINT dev_roadmap_items_prioridade_check CHECK (((prioridade IS NULL) OR ((prioridade)::text = ANY ((ARRAY['bloqueador'::character varying, 'alta'::character varying, 'media'::character varying, 'diferencial'::character varying])::text[])))),
+    CONSTRAINT dev_roadmap_items_status_check CHECK (((status)::text = ANY ((ARRAY['pendente'::character varying, 'em_andamento'::character varying, 'concluido'::character varying, 'cancelado'::character varying, 'bloqueado'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_roadmap_phases (
+    id bigint NOT NULL,
+    numero integer NOT NULL,
+    nome character varying(160) NOT NULL,
+    objetivo text,
+    timeline_sugerida character varying(160),
+    criterio_saida text,
+    status character varying(20) DEFAULT 'planejada'::character varying NOT NULL,
+    data_inicio date,
+    data_fim date,
+    ordem integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_roadmap_phases_status_check CHECK (((status)::text = ANY ((ARRAY['planejada'::character varying, 'em_andamento'::character varying, 'concluida'::character varying, 'arquivada'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_test_items (
+    id bigint NOT NULL,
+    area character varying(80) NOT NULL,
+    categoria character varying(120),
+    titulo text NOT NULL,
+    arquivo text,
+    descricao text,
+    total_tests integer DEFAULT 0,
+    passing integer DEFAULT 0,
+    failing integer DEFAULT 0,
+    skipped integer DEFAULT 0,
+    cobertura_pct numeric(5,2),
+    status character varying(20) DEFAULT 'ok'::character varying NOT NULL,
+    last_run_at timestamp with time zone,
+    sessao_criacao character varying(160),
+    notas text,
+    tags text[] DEFAULT '{}'::text[],
+    ordem integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_test_items_status_check CHECK (((status)::text = ANY ((ARRAY['ok'::character varying, 'falhando'::character varying, 'pendente'::character varying, 'obsoleto'::character varying, 'a_escrever'::character varying])::text[])))
+);
+
+CREATE TABLE public.dev_verificacoes_items (
+    id bigint NOT NULL,
+    area character varying(80) NOT NULL,
+    categoria character varying(120),
+    titulo text NOT NULL,
+    descricao text,
+    resultado text,
+    acao_sugerida text,
+    severidade character varying(20),
+    status character varying(20) DEFAULT 'pendente'::character varying NOT NULL,
+    verificado_em date,
+    sessao_verificacao character varying(160),
+    arquivo_afetado text,
+    auditoria_item_id bigint,
+    tags text[] DEFAULT '{}'::text[],
+    ordem integer DEFAULT 0 NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT dev_verificacoes_items_severidade_check CHECK (((severidade IS NULL) OR ((severidade)::text = ANY ((ARRAY['critico'::character varying, 'alto'::character varying, 'medio'::character varying, 'baixo'::character varying])::text[])))),
+    CONSTRAINT dev_verificacoes_items_status_check CHECK (((status)::text = ANY ((ARRAY['pendente'::character varying, 'verificando'::character varying, 'ok'::character varying, 'problema'::character varying, 'corrigido'::character varying, 'wontfix'::character varying])::text[])))
+);

database-novo/schema/04_tables/documentos.sql

@@ -1,5 +1,5 @@
 -- Tables: Documentos
--- Gerado automaticamente em 2026-04-21T23:16:34.955Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.928Z
 -- Total: 6
 
 CREATE TABLE public.document_access_logs (

database-novo/schema/04_tables/estrutura_calend_rio.sql

@@ -1,5 +1,5 @@
 -- Tables: Estrutura / Calendário
--- Gerado automaticamente em 2026-04-21T23:16:34.956Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.930Z
 -- Total: 1
 
 CREATE TABLE public.feriados (

database-novo/schema/04_tables/financeiro.sql

@@ -1,5 +1,5 @@
 -- Tables: Financeiro
--- Gerado automaticamente em 2026-04-21T23:16:34.954Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.926Z
 -- Total: 10
 
 CREATE TABLE public.financial_records (

database-novo/schema/04_tables/outros.sql

@@ -1,6 +1,6 @@
 -- Tables: outros
--- Gerado automaticamente em 2026-04-21T23:16:34.954Z
--- Total: 17
+-- Gerado automaticamente em 2026-05-11T16:53:50.926Z
+-- Total: 1
 
 CREATE TABLE public._db_migrations (
     id integer NOT NULL,
@@ -9,259 +9,3 @@ CREATE TABLE public._db_migrations (
     category text DEFAULT 'migration'::text NOT NULL,
     applied_at timestamp with time zone DEFAULT now() NOT NULL
 );
-
-CREATE TABLE public.audit_logs (
-    id bigint NOT NULL,
-    tenant_id uuid NOT NULL,
-    user_id uuid,
-    entity_type text NOT NULL,
-    entity_id text,
-    action text NOT NULL,
-    old_values jsonb,
-    new_values jsonb,
-    changed_fields text[],
-    metadata jsonb DEFAULT '{}'::jsonb NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT audit_logs_action_check CHECK ((action = ANY (ARRAY['insert'::text, 'update'::text, 'delete'::text])))
-);
-
-CREATE TABLE public.dev_auditoria_items (
-    id bigint NOT NULL,
-    categoria character varying(120),
-    titulo text NOT NULL,
-    descricao_problema text,
-    solucao text,
-    severidade character varying(20),
-    status character varying(20) DEFAULT 'aberto'::character varying NOT NULL,
-    resolvido_em date,
-    sessao_resolucao character varying(160),
-    arquivo_afetado text,
-    tags text[] DEFAULT '{}'::text[],
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    ordem integer DEFAULT 0 NOT NULL,
-    CONSTRAINT dev_auditoria_items_severidade_check CHECK (((severidade IS NULL) OR ((severidade)::text = ANY ((ARRAY['critico'::character varying, 'alto'::character varying, 'medio'::character varying, 'baixo'::character varying])::text[])))),
-    CONSTRAINT dev_auditoria_items_status_check CHECK (((status)::text = ANY ((ARRAY['aberto'::character varying, 'em_analise'::character varying, 'resolvido'::character varying, 'wontfix'::character varying, 'duplicado'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_comparison_competitor_status (
-    id bigint NOT NULL,
-    comparison_id bigint NOT NULL,
-    competitor_id bigint NOT NULL,
-    status character varying(20) DEFAULT 'a_definir'::character varying NOT NULL,
-    nota text,
-    fonte character varying(20),
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_comparison_competitor_status_fonte_check CHECK (((fonte IS NULL) OR ((fonte)::text = ANY ((ARRAY['fetched'::character varying, 'observacao'::character varying, 'publico'::character varying, 'hipotese'::character varying])::text[])))),
-    CONSTRAINT dev_comparison_competitor_status_status_check CHECK (((status)::text = ANY ((ARRAY['tem'::character varying, 'parcial'::character varying, 'gap'::character varying, 'na'::character varying, 'a_definir'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_comparison_matrix (
-    id bigint NOT NULL,
-    dominio character varying(120),
-    feature text NOT NULL,
-    nosso_status character varying(20) DEFAULT 'a_definir'::character varying NOT NULL,
-    nossa_nota text,
-    importancia character varying(20),
-    ordem integer DEFAULT 0 NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_comparison_matrix_importancia_check CHECK (((importancia IS NULL) OR ((importancia)::text = ANY ((ARRAY['alta'::character varying, 'media'::character varying, 'baixa'::character varying])::text[])))),
-    CONSTRAINT dev_comparison_matrix_nosso_status_check CHECK (((nosso_status)::text = ANY ((ARRAY['tem'::character varying, 'parcial'::character varying, 'gap'::character varying, 'na'::character varying, 'a_definir'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_competitor_features (
-    id bigint NOT NULL,
-    competitor_id bigint NOT NULL,
-    categoria character varying(120),
-    nome text NOT NULL,
-    descricao text,
-    fonte character varying(20) DEFAULT 'publico'::character varying NOT NULL,
-    fonte_url text,
-    data_fonte date,
-    destaque boolean DEFAULT false NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    ordem integer DEFAULT 0 NOT NULL,
-    CONSTRAINT dev_competitor_features_fonte_check CHECK (((fonte)::text = ANY ((ARRAY['fetched'::character varying, 'observacao'::character varying, 'publico'::character varying, 'hipotese'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_competitors (
-    id bigint NOT NULL,
-    slug character varying(80) NOT NULL,
-    nome character varying(160) NOT NULL,
-    pais character varying(40),
-    foco character varying(160),
-    pricing text,
-    posicionamento text,
-    url text,
-    ultima_pesquisa date,
-    notas text,
-    ativo boolean DEFAULT true NOT NULL,
-    ordem integer DEFAULT 0 NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL
-);
-
-CREATE TABLE public.dev_generation_log (
-    id bigint NOT NULL,
-    tipo character varying(40) NOT NULL,
-    comando text,
-    sucesso boolean DEFAULT false NOT NULL,
-    stdout text,
-    stderr text,
-    duration_ms integer,
-    metadata jsonb DEFAULT '{}'::jsonb,
-    trigger_user_id uuid,
-    created_at timestamp with time zone DEFAULT now() NOT NULL
-);
-
-CREATE TABLE public.dev_roadmap_items (
-    id bigint NOT NULL,
-    phase_id bigint NOT NULL,
-    numero integer,
-    bloco character varying(160),
-    feature text NOT NULL,
-    descricao text,
-    esforco character varying(4),
-    prioridade character varying(20),
-    status character varying(20) DEFAULT 'pendente'::character varying NOT NULL,
-    notas text,
-    assignee character varying(120),
-    data_inicio date,
-    data_conclusao date,
-    ordem integer DEFAULT 0 NOT NULL,
-    tags text[] DEFAULT '{}'::text[],
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_roadmap_items_esforco_check CHECK (((esforco IS NULL) OR ((esforco)::text = ANY ((ARRAY['S'::character varying, 'M'::character varying, 'L'::character varying, 'XL'::character varying])::text[])))),
-    CONSTRAINT dev_roadmap_items_prioridade_check CHECK (((prioridade IS NULL) OR ((prioridade)::text = ANY ((ARRAY['bloqueador'::character varying, 'alta'::character varying, 'media'::character varying, 'diferencial'::character varying])::text[])))),
-    CONSTRAINT dev_roadmap_items_status_check CHECK (((status)::text = ANY ((ARRAY['pendente'::character varying, 'em_andamento'::character varying, 'concluido'::character varying, 'cancelado'::character varying, 'bloqueado'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_roadmap_phases (
-    id bigint NOT NULL,
-    numero integer NOT NULL,
-    nome character varying(160) NOT NULL,
-    objetivo text,
-    timeline_sugerida character varying(160),
-    criterio_saida text,
-    status character varying(20) DEFAULT 'planejada'::character varying NOT NULL,
-    data_inicio date,
-    data_fim date,
-    ordem integer DEFAULT 0 NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_roadmap_phases_status_check CHECK (((status)::text = ANY ((ARRAY['planejada'::character varying, 'em_andamento'::character varying, 'concluida'::character varying, 'arquivada'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_test_items (
-    id bigint NOT NULL,
-    area character varying(80) NOT NULL,
-    categoria character varying(120),
-    titulo text NOT NULL,
-    arquivo text,
-    descricao text,
-    total_tests integer DEFAULT 0,
-    passing integer DEFAULT 0,
-    failing integer DEFAULT 0,
-    skipped integer DEFAULT 0,
-    cobertura_pct numeric(5,2),
-    status character varying(20) DEFAULT 'ok'::character varying NOT NULL,
-    last_run_at timestamp with time zone,
-    sessao_criacao character varying(160),
-    notas text,
-    tags text[] DEFAULT '{}'::text[],
-    ordem integer DEFAULT 0 NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_test_items_status_check CHECK (((status)::text = ANY ((ARRAY['ok'::character varying, 'falhando'::character varying, 'pendente'::character varying, 'obsoleto'::character varying, 'a_escrever'::character varying])::text[])))
-);
-
-CREATE TABLE public.dev_verificacoes_items (
-    id bigint NOT NULL,
-    area character varying(80) NOT NULL,
-    categoria character varying(120),
-    titulo text NOT NULL,
-    descricao text,
-    resultado text,
-    acao_sugerida text,
-    severidade character varying(20),
-    status character varying(20) DEFAULT 'pendente'::character varying NOT NULL,
-    verificado_em date,
-    sessao_verificacao character varying(160),
-    arquivo_afetado text,
-    auditoria_item_id bigint,
-    tags text[] DEFAULT '{}'::text[],
-    ordem integer DEFAULT 0 NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    CONSTRAINT dev_verificacoes_items_severidade_check CHECK (((severidade IS NULL) OR ((severidade)::text = ANY ((ARRAY['critico'::character varying, 'alto'::character varying, 'medio'::character varying, 'baixo'::character varying])::text[])))),
-    CONSTRAINT dev_verificacoes_items_status_check CHECK (((status)::text = ANY ((ARRAY['pendente'::character varying, 'verificando'::character varying, 'ok'::character varying, 'problema'::character varying, 'corrigido'::character varying, 'wontfix'::character varying])::text[])))
-);
-
-CREATE TABLE public.math_challenges (
-    id uuid DEFAULT gen_random_uuid() NOT NULL,
-    question text NOT NULL,
-    answer integer NOT NULL,
-    used boolean DEFAULT false NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL,
-    expires_at timestamp with time zone DEFAULT (now() + '00:05:00'::interval) NOT NULL
-);
-
-CREATE TABLE public.patient_invite_attempts (
-    id uuid DEFAULT gen_random_uuid() NOT NULL,
-    token text NOT NULL,
-    ok boolean NOT NULL,
-    error_code text,
-    error_msg text,
-    client_info text,
-    owner_id uuid,
-    tenant_id uuid,
-    created_at timestamp with time zone DEFAULT now() NOT NULL
-);
-
-CREATE TABLE public.public_submission_attempts (
-    id uuid DEFAULT gen_random_uuid() NOT NULL,
-    endpoint text NOT NULL,
-    ip_hash text,
-    success boolean NOT NULL,
-    error_code text,
-    error_msg text,
-    blocked_by text,
-    user_agent text,
-    metadata jsonb,
-    created_at timestamp with time zone DEFAULT now() NOT NULL
-);
-
-CREATE TABLE public.saas_security_config (
-    id boolean DEFAULT true NOT NULL,
-    honeypot_enabled boolean DEFAULT true NOT NULL,
-    rate_limit_enabled boolean DEFAULT true NOT NULL,
-    rate_limit_window_min integer DEFAULT 10 NOT NULL,
-    rate_limit_max_attempts integer DEFAULT 5 NOT NULL,
-    captcha_after_failures integer DEFAULT 3 NOT NULL,
-    captcha_required_globally boolean DEFAULT false NOT NULL,
-    block_duration_min integer DEFAULT 30 NOT NULL,
-    captcha_required_window_min integer DEFAULT 60 NOT NULL,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_by uuid,
-    CONSTRAINT saas_security_config_singleton CHECK ((id = true))
-);
-
-CREATE TABLE public.saas_twilio_config (
-    id boolean DEFAULT true NOT NULL,
-    account_sid text,
-    whatsapp_webhook_url text,
-    usd_brl_rate numeric(10,4) DEFAULT 5.5 NOT NULL,
-    margin_multiplier numeric(10,4) DEFAULT 1.4 NOT NULL,
-    notes text,
-    updated_at timestamp with time zone DEFAULT now() NOT NULL,
-    updated_by uuid,
-    CONSTRAINT saas_twilio_config_mult_chk CHECK (((margin_multiplier >= (1)::numeric) AND (margin_multiplier <= (10)::numeric))),
-    CONSTRAINT saas_twilio_config_rate_chk CHECK (((usd_brl_rate > (0)::numeric) AND (usd_brl_rate < (100)::numeric))),
-    CONSTRAINT saas_twilio_config_sid_chk CHECK (((account_sid IS NULL) OR (account_sid ~ '^AC[a-zA-Z0-9]{32}$'::text))),
-    CONSTRAINT saas_twilio_config_singleton CHECK ((id = true)),
-    CONSTRAINT saas_twilio_config_url_chk CHECK (((whatsapp_webhook_url IS NULL) OR (whatsapp_webhook_url ~ '^https?://'::text)))
-);

database-novo/schema/04_tables/pacientes.sql

@@ -1,5 +1,5 @@
 -- Tables: Pacientes
--- Gerado automaticamente em 2026-04-21T23:16:34.956Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.929Z
 -- Total: 16
 
 CREATE TABLE public.patient_status_history (
@@ -247,7 +247,9 @@ CREATE TABLE public.patient_intake_requests (
     nacionalidade text,
     avatar_url text,
     tenant_id uuid,
-    CONSTRAINT chk_intakes_status CHECK ((status = ANY (ARRAY['new'::text, 'converted'::text, 'rejected'::text])))
+    last_progress_at timestamp with time zone,
+    lead_thread_key text,
+    CONSTRAINT chk_intakes_status CHECK ((status = ANY (ARRAY['new'::text, 'in_progress'::text, 'converted'::text, 'rejected'::text, 'abandoned_lead'::text])))
 );
 
 CREATE TABLE public.patient_invites (

database-novo/schema/04_tables/saas_planos.sql

@@ -1,5 +1,5 @@
 -- Tables: SaaS / Planos
--- Gerado automaticamente em 2026-04-21T23:16:34.953Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.925Z
 -- Total: 18
 
 CREATE TABLE public.subscriptions (

database-novo/schema/04_tables/seguran_a_auditoria.sql

@@ -0,0 +1,79 @@
+-- Tables: Segurança / Auditoria
+-- Gerado automaticamente em 2026-05-11T16:53:50.928Z
+-- Total: 6
+
+CREATE TABLE public.audit_logs (
+    id bigint NOT NULL,
+    tenant_id uuid NOT NULL,
+    user_id uuid,
+    entity_type text NOT NULL,
+    entity_id text,
+    action text NOT NULL,
+    old_values jsonb,
+    new_values jsonb,
+    changed_fields text[],
+    metadata jsonb DEFAULT '{}'::jsonb NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    CONSTRAINT audit_logs_action_check CHECK ((action = ANY (ARRAY['insert'::text, 'update'::text, 'delete'::text])))
+);
+
+CREATE TABLE public.math_challenges (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    question text NOT NULL,
+    answer integer NOT NULL,
+    used boolean DEFAULT false NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL,
+    expires_at timestamp with time zone DEFAULT (now() + '00:05:00'::interval) NOT NULL
+);
+
+CREATE TABLE public.patient_invite_attempts (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    token text NOT NULL,
+    ok boolean NOT NULL,
+    error_code text,
+    error_msg text,
+    client_info text,
+    owner_id uuid,
+    tenant_id uuid,
+    created_at timestamp with time zone DEFAULT now() NOT NULL
+);
+
+CREATE TABLE public.public_submission_attempts (
+    id uuid DEFAULT gen_random_uuid() NOT NULL,
+    endpoint text NOT NULL,
+    ip_hash text,
+    success boolean NOT NULL,
+    error_code text,
+    error_msg text,
+    blocked_by text,
+    user_agent text,
+    metadata jsonb,
+    created_at timestamp with time zone DEFAULT now() NOT NULL
+);
+
+CREATE TABLE public.saas_security_config (
+    id boolean DEFAULT true NOT NULL,
+    honeypot_enabled boolean DEFAULT true NOT NULL,
+    rate_limit_enabled boolean DEFAULT true NOT NULL,
+    rate_limit_window_min integer DEFAULT 10 NOT NULL,
+    rate_limit_max_attempts integer DEFAULT 5 NOT NULL,
+    captcha_after_failures integer DEFAULT 3 NOT NULL,
+    captcha_required_globally boolean DEFAULT false NOT NULL,
+    block_duration_min integer DEFAULT 30 NOT NULL,
+    captcha_required_window_min integer DEFAULT 60 NOT NULL,
+    updated_at timestamp with time zone DEFAULT now() NOT NULL,
+    updated_by uuid,
+    CONSTRAINT saas_security_config_singleton CHECK ((id = true))
+);
+
+CREATE TABLE public.submission_rate_limits (
+    ip_hash text NOT NULL,
+    endpoint text NOT NULL,
+    attempt_count integer DEFAULT 0 NOT NULL,
+    fail_count integer DEFAULT 0 NOT NULL,
+    window_start timestamp with time zone DEFAULT now() NOT NULL,
+    blocked_until timestamp with time zone,
+    requires_captcha_until timestamp with time zone,
+    last_attempt_at timestamp with time zone DEFAULT now() NOT NULL,
+    created_at timestamp with time zone DEFAULT now() NOT NULL
+);

database-novo/schema/04_tables/seguran_a_rate_limiting.sql

@@ -1,15 +0,0 @@
--- Tables: Segurança / Rate limiting
--- Gerado automaticamente em 2026-04-21T23:16:34.957Z
--- Total: 1
-
-CREATE TABLE public.submission_rate_limits (
-    ip_hash text NOT NULL,
-    endpoint text NOT NULL,
-    attempt_count integer DEFAULT 0 NOT NULL,
-    fail_count integer DEFAULT 0 NOT NULL,
-    window_start timestamp with time zone DEFAULT now() NOT NULL,
-    blocked_until timestamp with time zone,
-    requires_captcha_until timestamp with time zone,
-    last_attempt_at timestamp with time zone DEFAULT now() NOT NULL,
-    created_at timestamp with time zone DEFAULT now() NOT NULL
-);

database-novo/schema/04_tables/servi_os_prontu_rios.sql

@@ -1,5 +1,5 @@
 -- Tables: Serviços / Prontuários
--- Gerado automaticamente em 2026-04-21T23:16:34.956Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.930Z
 -- Total: 8
 
 CREATE TABLE public.commitment_services (

database-novo/schema/04_tables/tenants_multi_tenant.sql

@@ -1,5 +1,5 @@
 -- Tables: Tenants / Multi-tenant
--- Gerado automaticamente em 2026-04-21T23:16:34.954Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.926Z
 -- Total: 10
 
 CREATE TABLE public.tenant_members (
@@ -119,6 +119,8 @@ CREATE TABLE public.tenants (
     created_at timestamp with time zone DEFAULT now() NOT NULL,
     kind text DEFAULT 'saas'::text NOT NULL,
     papel_timbrado jsonb DEFAULT '{"footer": {"slots": {"left": null, "right": null, "center": {"type": "custom-text", "content": ""}}, "height": 40, "preset": "text-center", "divider": {"show": true, "color": "#cccccc", "style": "solid"}, "enabled": true, "showPageNumber": false}, "header": {"slots": {"left": {"size": "medium", "type": "logo"}, "right": {"type": "institution-data", "fields": ["nome", "cnpj", "endereco_linha"]}, "center": null}, "height": 80, "preset": "logo-left-text-right", "divider": {"show": true, "color": "#cccccc", "style": "solid"}, "enabled": true}, "margins": {"top": 20, "left": 25, "right": 25, "bottom": 20}}'::jsonb,
+    cpf_cnpj text,
+    CONSTRAINT tenants_cpf_cnpj_format CHECK (((cpf_cnpj IS NULL) OR (cpf_cnpj ~ '^[0-9]{11}$'::text) OR (cpf_cnpj ~ '^[0-9]{14}$'::text))),
     CONSTRAINT tenants_kind_check CHECK ((kind = ANY (ARRAY['therapist'::text, 'clinic_coworking'::text, 'clinic_reception'::text, 'clinic_full'::text, 'clinic'::text, 'saas'::text, 'supervisor'::text])))
 );
 

database-novo/schema/05_views/views.sql

@@ -1,5 +1,5 @@
 -- Views
--- Gerado automaticamente em 2026-04-21T23:16:34.958Z
+-- Gerado automaticamente em 2026-05-11T16:53:50.932Z
 -- Total: 29
 
 CREATE VIEW public.audit_log_unified WITH (security_invoker='true') AS
@@ -133,10 +133,13 @@ CREATE VIEW public.conversation_threads WITH (security_invoker='true') AS
     l.last_message_at,
     l.last_message_body,
     l.last_message_direction,
-    l.kanban_status
-   FROM ((latest l
+    l.kanban_status,
+    ca.assigned_to,
+    ca.assigned_at
+   FROM (((latest l
      JOIN counts c ON (((c.tenant_id = l.tenant_id) AND (c.thread_key = l.thread_key))))
-     LEFT JOIN public.patients p ON ((p.id = l.patient_id)));
+     LEFT JOIN public.patients p ON ((p.id = l.patient_id)))
+     LEFT JOIN public.conversation_assignments ca ON (((ca.tenant_id = l.tenant_id) AND (ca.thread_key = l.thread_key))));
 
 CREATE VIEW public.current_tenant_id AS
  SELECT current_setting('request.jwt.claim.tenant_id'::text, true) AS current_setting;

database-novo/schema/06_indexes/indexes.sql

@@ -1,6 +1,6 @@
 -- Indexes
--- Gerado automaticamente em 2026-04-21T23:16:34.961Z
--- Total: 361
+-- Gerado automaticamente em 2026-05-11T16:53:50.934Z
+-- Total: 372
 
 CREATE INDEX agenda_bloqueios_owner_data_idx ON public.agenda_bloqueios USING btree (owner_id, data_inicio, data_fim);
 
@@ -184,6 +184,8 @@ CREATE INDEX idx_audit_logs_user_created ON public.audit_logs USING btree (user_
 
 CREATE INDEX idx_autoreply_log_cooldown ON public.conversation_autoreply_log USING btree (tenant_id, thread_key, sent_at DESC);
 
+CREATE INDEX idx_bot_sessions_tenant_status ON public.conversation_bot_sessions USING btree (tenant_id, status, started_at DESC);
+
 CREATE INDEX idx_contact_email_types_tenant ON public.contact_email_types USING btree (tenant_id, "position");
 
 CREATE INDEX idx_contact_emails_email ON public.contact_emails USING btree (tenant_id, email);
@@ -196,6 +198,10 @@ CREATE INDEX idx_contact_phones_number ON public.contact_phones USING btree (ten
 
 CREATE INDEX idx_contact_types_tenant ON public.contact_types USING btree (tenant_id, "position");
 
+CREATE INDEX idx_conv_assign_patient ON public.conversation_assignments USING btree (patient_id) WHERE (patient_id IS NOT NULL);
+
+CREATE INDEX idx_conv_assign_tenant_user ON public.conversation_assignments USING btree (tenant_id, assigned_to) WHERE (assigned_to IS NOT NULL);
+
 CREATE INDEX idx_conv_msg_delivery_status ON public.conversation_messages USING btree (tenant_id, delivery_status) WHERE (direction = 'outbound'::text);
 
 CREATE INDEX idx_conv_msg_from_number ON public.conversation_messages USING btree (tenant_id, from_number);
@@ -332,6 +338,8 @@ CREATE INDEX idx_intakes_owner_created ON public.patient_intake_requests USING b
 
 CREATE INDEX idx_intakes_owner_status_created ON public.patient_intake_requests USING btree (owner_id, status, created_at DESC);
 
+CREATE INDEX idx_intakes_progress_pending ON public.patient_intake_requests USING btree (last_progress_at) WHERE (status = 'in_progress'::text);
+
 CREATE INDEX idx_intakes_status_created ON public.patient_intake_requests USING btree (status, created_at DESC);
 
 CREATE INDEX idx_mc_expires ON public.math_challenges USING btree (expires_at);
@@ -460,6 +468,10 @@ CREATE INDEX idx_services_name_trgm ON public.services USING gin (name public.gi
 
 CREATE INDEX idx_session_reminder_tenant_sent ON public.session_reminder_logs USING btree (tenant_id, sent_at DESC);
 
+CREATE INDEX idx_sla_breaches_open ON public.conversation_sla_breaches USING btree (resolved_at) WHERE (resolved_at IS NULL);
+
+CREATE INDEX idx_sla_breaches_tenant_breached ON public.conversation_sla_breaches USING btree (tenant_id, breached_at DESC);
+
 CREATE INDEX idx_slots_bloq_owner_dia ON public.agenda_slots_bloqueados_semanais USING btree (owner_id, dia_semana);
 
 CREATE INDEX idx_srl_blocked_until ON public.submission_rate_limits USING btree (blocked_until) WHERE (blocked_until IS NOT NULL);
@@ -506,6 +518,10 @@ CREATE INDEX idx_wa_credits_tx_kind ON public.whatsapp_credits_transactions USIN
 
 CREATE INDEX idx_wa_credits_tx_tenant_created ON public.whatsapp_credits_transactions USING btree (tenant_id, created_at DESC);
 
+CREATE INDEX idx_wa_incidents_open ON public.whatsapp_connection_incidents USING btree (resolved_at) WHERE (resolved_at IS NULL);
+
+CREATE INDEX idx_wa_incidents_tenant_started ON public.whatsapp_connection_incidents USING btree (tenant_id, started_at DESC);
+
 CREATE INDEX insurance_plans_owner_idx ON public.insurance_plans USING btree (owner_id);
 
 CREATE INDEX insurance_plans_tenant_idx ON public.insurance_plans USING btree (tenant_id);
@@ -684,6 +700,8 @@ CREATE INDEX tenant_modules_owner_idx ON public.tenant_modules USING btree (owne
 
 CREATE UNIQUE INDEX unique_member_per_tenant ON public.tenant_members USING btree (tenant_id, user_id);
 
+CREATE UNIQUE INDEX uq_bot_sessions_active_per_thread ON public.conversation_bot_sessions USING btree (tenant_id, thread_key) WHERE (status = 'active'::text);
+
 CREATE UNIQUE INDEX uq_contact_email_types_system_slug ON public.contact_email_types USING btree (slug) WHERE (tenant_id IS NULL);
 
 CREATE UNIQUE INDEX uq_contact_email_types_tenant_slug ON public.contact_email_types USING btree (tenant_id, slug) WHERE (tenant_id IS NOT NULL);
@@ -712,6 +730,8 @@ CREATE UNIQUE INDEX uq_plan_prices_active ON public.plan_prices USING btree (pla
 
 CREATE UNIQUE INDEX uq_session_reminder_event_type ON public.session_reminder_logs USING btree (event_id, reminder_type);
 
+CREATE UNIQUE INDEX uq_sla_breaches_open_per_thread ON public.conversation_sla_breaches USING btree (tenant_id, thread_key) WHERE (resolved_at IS NULL);
+
 CREATE UNIQUE INDEX uq_subscriptions_active_by_tenant ON public.subscriptions USING btree (tenant_id) WHERE ((tenant_id IS NOT NULL) AND (status = 'active'::text));
 
 CREATE UNIQUE INDEX uq_subscriptions_active_personal_by_user ON public.subscriptions USING btree (user_id) WHERE ((tenant_id IS NULL) AND (status = 'active'::text));
@@ -720,6 +740,8 @@ CREATE UNIQUE INDEX uq_tenant_invites_pending ON public.tenant_invites USING btr
 
 CREATE UNIQUE INDEX uq_tenant_members_tenant_user ON public.tenant_members USING btree (tenant_id, user_id);
 
+CREATE UNIQUE INDEX uq_wa_incidents_open_per_channel ON public.whatsapp_connection_incidents USING btree (channel_id) WHERE (resolved_at IS NULL);
+
 CREATE UNIQUE INDEX ux_subscriptions_active_per_personal_user ON public.subscriptions USING btree (user_id) WHERE ((status = 'active'::text) AND (tenant_id IS NULL));
 
 CREATE UNIQUE INDEX ux_subscriptions_active_per_tenant ON public.subscriptions USING btree (tenant_id) WHERE ((status = 'active'::text) AND (tenant_id IS NOT NULL));

database-novo/schema/07_foreign_keys/constraints.sql

@@ -1,6 +1,6 @@
 -- Constraints (PK, FK, UNIQUE, CHECK)
--- Gerado automaticamente em 2026-04-21T23:16:34.963Z
--- Total: 353
+-- Gerado automaticamente em 2026-05-11T16:53:50.935Z
+-- Total: 369
 
 ALTER TABLE ONLY public._db_migrations
     ADD CONSTRAINT _db_migrations_filename_key UNIQUE (filename);
@@ -95,12 +95,21 @@ ALTER TABLE ONLY public.contact_phones
 ALTER TABLE ONLY public.contact_types
     ADD CONSTRAINT contact_types_pkey PRIMARY KEY (id);
 
+ALTER TABLE ONLY public.conversation_assignments
+    ADD CONSTRAINT conversation_assignments_pkey PRIMARY KEY (tenant_id, thread_key);
+
 ALTER TABLE ONLY public.conversation_autoreply_log
     ADD CONSTRAINT conversation_autoreply_log_pkey PRIMARY KEY (id);
 
 ALTER TABLE ONLY public.conversation_autoreply_settings
     ADD CONSTRAINT conversation_autoreply_settings_pkey PRIMARY KEY (tenant_id);
 
+ALTER TABLE ONLY public.conversation_bot_sessions
+    ADD CONSTRAINT conversation_bot_sessions_pkey PRIMARY KEY (id);
+
+ALTER TABLE ONLY public.conversation_bots
+    ADD CONSTRAINT conversation_bots_pkey PRIMARY KEY (tenant_id);
+
 ALTER TABLE ONLY public.conversation_messages
     ADD CONSTRAINT conversation_messages_pkey PRIMARY KEY (id);
 
@@ -113,6 +122,12 @@ ALTER TABLE ONLY public.conversation_optout_keywords
 ALTER TABLE ONLY public.conversation_optouts
     ADD CONSTRAINT conversation_optouts_pkey PRIMARY KEY (id);
 
+ALTER TABLE ONLY public.conversation_sla_breaches
+    ADD CONSTRAINT conversation_sla_breaches_pkey PRIMARY KEY (id);
+
+ALTER TABLE ONLY public.conversation_sla_rules
+    ADD CONSTRAINT conversation_sla_rules_pkey PRIMARY KEY (tenant_id);
+
 ALTER TABLE ONLY public.conversation_tags
     ADD CONSTRAINT conversation_tags_pkey PRIMARY KEY (id);
 
@@ -500,6 +515,9 @@ ALTER TABLE ONLY public.notification_templates
 ALTER TABLE ONLY public.user_settings
     ADD CONSTRAINT user_settings_pkey PRIMARY KEY (user_id);
 
+ALTER TABLE ONLY public.whatsapp_connection_incidents
+    ADD CONSTRAINT whatsapp_connection_incidents_pkey PRIMARY KEY (id);
+
 ALTER TABLE ONLY public.whatsapp_credit_packages
     ADD CONSTRAINT whatsapp_credit_packages_pkey PRIMARY KEY (id);
 
@@ -638,12 +656,30 @@ ALTER TABLE ONLY public.contact_phones
 ALTER TABLE ONLY public.contact_types
     ADD CONSTRAINT contact_types_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
 
+ALTER TABLE ONLY public.conversation_assignments
+    ADD CONSTRAINT conversation_assignments_assigned_by_fkey FOREIGN KEY (assigned_by) REFERENCES auth.users(id) ON DELETE SET NULL;
+
+ALTER TABLE ONLY public.conversation_assignments
+    ADD CONSTRAINT conversation_assignments_assigned_to_fkey FOREIGN KEY (assigned_to) REFERENCES auth.users(id) ON DELETE SET NULL;
+
+ALTER TABLE ONLY public.conversation_assignments
+    ADD CONSTRAINT conversation_assignments_patient_id_fkey FOREIGN KEY (patient_id) REFERENCES public.patients(id) ON DELETE SET NULL;
+
+ALTER TABLE ONLY public.conversation_assignments
+    ADD CONSTRAINT conversation_assignments_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
 ALTER TABLE ONLY public.conversation_autoreply_log
     ADD CONSTRAINT conversation_autoreply_log_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
 
 ALTER TABLE ONLY public.conversation_autoreply_settings
     ADD CONSTRAINT conversation_autoreply_settings_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
 
+ALTER TABLE ONLY public.conversation_bot_sessions
+    ADD CONSTRAINT conversation_bot_sessions_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
+ALTER TABLE ONLY public.conversation_bots
+    ADD CONSTRAINT conversation_bots_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
 ALTER TABLE ONLY public.conversation_messages
     ADD CONSTRAINT conversation_messages_patient_id_fkey FOREIGN KEY (patient_id) REFERENCES public.patients(id) ON DELETE SET NULL;
 
@@ -671,6 +707,12 @@ ALTER TABLE ONLY public.conversation_optouts
 ALTER TABLE ONLY public.conversation_optouts
     ADD CONSTRAINT conversation_optouts_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
 
+ALTER TABLE ONLY public.conversation_sla_breaches
+    ADD CONSTRAINT conversation_sla_breaches_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
+ALTER TABLE ONLY public.conversation_sla_rules
+    ADD CONSTRAINT conversation_sla_rules_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
 ALTER TABLE ONLY public.conversation_tags
     ADD CONSTRAINT conversation_tags_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
 
@@ -1037,6 +1079,12 @@ ALTER TABLE ONLY public.twilio_subaccount_usage
 ALTER TABLE ONLY public.user_settings
     ADD CONSTRAINT user_settings_user_id_fkey FOREIGN KEY (user_id) REFERENCES auth.users(id) ON DELETE CASCADE;
 
+ALTER TABLE ONLY public.whatsapp_connection_incidents
+    ADD CONSTRAINT whatsapp_connection_incidents_channel_id_fkey FOREIGN KEY (channel_id) REFERENCES public.notification_channels(id) ON DELETE CASCADE;
+
+ALTER TABLE ONLY public.whatsapp_connection_incidents
+    ADD CONSTRAINT whatsapp_connection_incidents_tenant_id_fkey FOREIGN KEY (tenant_id) REFERENCES public.tenants(id) ON DELETE CASCADE;
+
 ALTER TABLE ONLY public.whatsapp_credit_purchases
     ADD CONSTRAINT whatsapp_credit_purchases_created_by_fkey FOREIGN KEY (created_by) REFERENCES auth.users(id) ON DELETE SET NULL;
 

database-novo/schema/08_triggers/triggers.sql

@@ -1,6 +1,6 @@
 -- Triggers
--- Gerado automaticamente em 2026-04-21T23:16:34.965Z
--- Total: 111
+-- Gerado automaticamente em 2026-05-11T16:53:50.937Z
+-- Total: 120
 
 CREATE TRIGGER on_auth_user_created AFTER INSERT ON auth.users FOR EACH ROW EXECUTE FUNCTION public.handle_new_user();
 
@@ -40,6 +40,8 @@ CREATE TRIGGER trg_agenda_eventos_busy_mirror_upd AFTER UPDATE ON public.agenda_
 
 CREATE TRIGGER trg_agenda_regras_semanais_no_overlap BEFORE INSERT OR UPDATE ON public.agenda_regras_semanais FOR EACH ROW EXECUTE FUNCTION public.fn_agenda_regras_semanais_no_overlap();
 
+CREATE TRIGGER trg_agenda_status_notify AFTER UPDATE OF status ON public.agenda_eventos FOR EACH ROW EXECUTE FUNCTION public.fn_notify_agenda_status_change();
+
 CREATE TRIGGER trg_audit_agenda_eventos AFTER INSERT OR DELETE OR UPDATE ON public.agenda_eventos FOR EACH ROW EXECUTE FUNCTION public.log_audit_change();
 
 CREATE TRIGGER trg_audit_documents AFTER INSERT OR DELETE OR UPDATE ON public.documents FOR EACH ROW EXECUTE FUNCTION public.log_audit_change();
@@ -52,6 +54,8 @@ CREATE TRIGGER trg_audit_tenant_members AFTER INSERT OR DELETE OR UPDATE ON publ
 
 CREATE TRIGGER trg_auto_financial_from_session AFTER UPDATE OF status ON public.agenda_eventos FOR EACH ROW EXECUTE FUNCTION public.auto_create_financial_record_from_session();
 
+CREATE TRIGGER trg_bot_sessions_updated_at BEFORE UPDATE ON public.conversation_bot_sessions FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
 CREATE TRIGGER trg_cancel_notifs_on_opt_out AFTER UPDATE ON public.notification_preferences FOR EACH ROW EXECUTE FUNCTION public.cancel_notifications_on_opt_out();
 
 CREATE TRIGGER trg_cancel_notifs_on_session_cancel AFTER UPDATE ON public.agenda_eventos FOR EACH ROW WHEN ((new.status IS DISTINCT FROM old.status)) EXECUTE FUNCTION public.cancel_notifications_on_session_cancel();
@@ -70,8 +74,12 @@ CREATE TRIGGER trg_contact_phones_updated_at BEFORE UPDATE ON public.contact_pho
 
 CREATE TRIGGER trg_contact_types_updated_at BEFORE UPDATE ON public.contact_types FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
 
+CREATE TRIGGER trg_conv_assign_updated_at BEFORE UPDATE ON public.conversation_assignments FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
 CREATE TRIGGER trg_conv_autoreply_settings_updated_at BEFORE UPDATE ON public.conversation_autoreply_settings FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
 
+CREATE TRIGGER trg_conv_bots_updated_at BEFORE UPDATE ON public.conversation_bots FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
 CREATE TRIGGER trg_conv_messages_updated_at BEFORE UPDATE ON public.conversation_messages FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
 
 CREATE TRIGGER trg_conv_notes_updated_at BEFORE UPDATE ON public.conversation_notes FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
@@ -194,6 +202,12 @@ CREATE TRIGGER trg_services_updated_at BEFORE UPDATE ON public.services FOR EACH
 
 CREATE TRIGGER trg_session_reminder_settings_updated_at BEFORE UPDATE ON public.session_reminder_settings FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
 
+CREATE TRIGGER trg_sla_breaches_updated_at BEFORE UPDATE ON public.conversation_sla_breaches FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
+CREATE TRIGGER trg_sla_resolve_on_outbound AFTER INSERT ON public.conversation_messages FOR EACH ROW EXECUTE FUNCTION public.fn_sla_resolve_on_outbound();
+
+CREATE TRIGGER trg_sla_rules_updated_at BEFORE UPDATE ON public.conversation_sla_rules FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
 CREATE TRIGGER trg_subscription_intents_view_insert INSTEAD OF INSERT ON public.subscription_intents FOR EACH ROW EXECUTE FUNCTION public.subscription_intents_view_insert();
 
 CREATE TRIGGER trg_subscriptions_validate_scope BEFORE INSERT OR UPDATE ON public.subscriptions FOR EACH ROW EXECUTE FUNCTION public.subscriptions_validate_scope();
@@ -214,6 +228,10 @@ CREATE TRIGGER trg_wa_credit_purchases_updated_at BEFORE UPDATE ON public.whatsa
 
 CREATE TRIGGER trg_wa_credits_balance_updated_at BEFORE UPDATE ON public.whatsapp_credits_balance FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
 
+CREATE TRIGGER trg_wa_incidents_updated_at BEFORE UPDATE ON public.whatsapp_connection_incidents FOR EACH ROW EXECUTE FUNCTION public.set_updated_at();
+
+CREATE TRIGGER trg_whatsapp_low_balance_notify BEFORE UPDATE ON public.whatsapp_credits_balance FOR EACH ROW EXECUTE FUNCTION public.fn_whatsapp_low_balance_notify();
+
 CREATE TRIGGER tr_check_filters BEFORE INSERT OR UPDATE ON realtime.subscription FOR EACH ROW EXECUTE FUNCTION realtime.subscription_check_filters();
 
 CREATE TRIGGER enforce_bucket_name_length_trigger BEFORE INSERT OR UPDATE OF name ON storage.buckets FOR EACH ROW EXECUTE FUNCTION storage.enforce_bucket_name_length();

database-novo/schema/09_policies/policies.sql

@@ -1,7 +1,7 @@
 -- RLS Policies
--- Gerado automaticamente em 2026-04-21T23:16:34.967Z
--- Enable RLS: 131 tabelas
--- Policies: 344
+-- Gerado automaticamente em 2026-05-11T16:53:50.939Z
+-- Enable RLS: 137 tabelas
+-- Policies: 357
 
 -- Enable RLS
 ALTER TABLE public.addon_credits ENABLE ROW LEVEL SECURITY;
@@ -26,12 +26,17 @@ ALTER TABLE public.contact_email_types ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.contact_emails ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.contact_phones ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.contact_types ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.conversation_assignments ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_autoreply_log ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_autoreply_settings ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.conversation_bot_sessions ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.conversation_bots ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_messages ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_notes ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_optout_keywords ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_optouts ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.conversation_sla_breaches ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.conversation_sla_rules ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_tags ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.conversation_thread_tags ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.determined_commitment_fields ENABLE ROW LEVEL SECURITY;
@@ -131,6 +136,7 @@ ALTER TABLE public.therapist_payout_records ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.therapist_payouts ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.twilio_subaccount_usage ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.user_settings ENABLE ROW LEVEL SECURITY;
+ALTER TABLE public.whatsapp_connection_incidents ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.whatsapp_credit_packages ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.whatsapp_credit_purchases ENABLE ROW LEVEL SECURITY;
 ALTER TABLE public.whatsapp_credits_balance ENABLE ROW LEVEL SECURITY;
@@ -273,6 +279,12 @@ CREATE POLICY bloqueios_select_own ON public.agenda_bloqueios FOR SELECT TO auth
 
 CREATE POLICY bloqueios_update ON public.agenda_bloqueios FOR UPDATE TO authenticated USING ((owner_id = auth.uid())) WITH CHECK ((owner_id = auth.uid()));
 
+CREATE POLICY "bot_sessions: select membros" ON public.conversation_bot_sessions FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_bot_sessions.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "bot_sessions: write service_role" ON public.conversation_bot_sessions TO service_role USING (true) WITH CHECK (true);
+
 CREATE POLICY clinic_admin_read_all_docs ON public.saas_docs FOR SELECT TO authenticated USING (((ativo = true) AND (EXISTS ( SELECT 1
    FROM public.profiles
   WHERE ((profiles.id = auth.uid()) AND (profiles.role = ANY (ARRAY['clinic_admin'::text, 'tenant_admin'::text])))))));
@@ -335,6 +347,32 @@ CREATE POLICY "contact_types: select" ON public.contact_types FOR SELECT TO auth
    FROM public.tenant_members tm
   WHERE ((tm.user_id = auth.uid()) AND (tm.tenant_id = contact_types.tenant_id) AND (tm.status = 'active'::text))))));
 
+CREATE POLICY "conv_assign: insert tenant" ON public.conversation_assignments FOR INSERT TO authenticated WITH CHECK (((assigned_by = auth.uid()) AND (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.user_id = auth.uid()) AND (tm.tenant_id = conversation_assignments.tenant_id) AND (tm.status = 'active'::text)))) AND ((assigned_to IS NULL) OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm2
+  WHERE ((tm2.user_id = conversation_assignments.assigned_to) AND (tm2.tenant_id = conversation_assignments.tenant_id) AND (tm2.status = 'active'::text)))))));
+
+CREATE POLICY "conv_assign: select tenant" ON public.conversation_assignments FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.user_id = auth.uid()) AND (tm.tenant_id = conversation_assignments.tenant_id) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "conv_assign: update tenant" ON public.conversation_assignments FOR UPDATE TO authenticated USING ((EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.user_id = auth.uid()) AND (tm.tenant_id = conversation_assignments.tenant_id) AND (tm.status = 'active'::text))))) WITH CHECK (((assigned_by = auth.uid()) AND ((assigned_to IS NULL) OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm2
+  WHERE ((tm2.user_id = conversation_assignments.assigned_to) AND (tm2.tenant_id = conversation_assignments.tenant_id) AND (tm2.status = 'active'::text)))))));
+
+CREATE POLICY "conv_bots: select membros" ON public.conversation_bots FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_bots.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "conv_bots: write admins" ON public.conversation_bots TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_bots.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.role = ANY (ARRAY['clinic_admin'::text, 'tenant_admin'::text])) AND (tm.status = 'active'::text)))))) WITH CHECK ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_bots.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.role = ANY (ARRAY['clinic_admin'::text, 'tenant_admin'::text])) AND (tm.status = 'active'::text))))));
+
 CREATE POLICY "conv_msg: no direct delete" ON public.conversation_messages FOR DELETE TO authenticated USING (false);
 
 CREATE POLICY "conv_msg: no direct insert" ON public.conversation_messages FOR INSERT TO authenticated WITH CHECK (false);
@@ -677,9 +715,9 @@ CREATE POLICY notif_channels_insert ON public.notification_channels FOR INSERT T
 
 CREATE POLICY notif_channels_modify ON public.notification_channels FOR UPDATE TO authenticated USING (((owner_id = auth.uid()) OR public.is_saas_admin())) WITH CHECK (((owner_id = auth.uid()) OR public.is_saas_admin()));
 
-CREATE POLICY notif_channels_select ON public.notification_channels FOR SELECT TO authenticated USING (((deleted_at IS NULL) AND (public.is_saas_admin() OR (owner_id = auth.uid()) OR (tenant_id IN ( SELECT tm.tenant_id
+CREATE POLICY notif_channels_select ON public.notification_channels FOR SELECT USING ((public.is_saas_admin() OR (owner_id = auth.uid()) OR (tenant_id IN ( SELECT tm.tenant_id
    FROM public.tenant_members tm
-  WHERE ((tm.user_id = auth.uid()) AND (tm.status = 'active'::text)))))));
+  WHERE ((tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
 
 CREATE POLICY notif_logs_owner ON public.notification_logs FOR SELECT USING ((owner_id = auth.uid()));
 
@@ -933,6 +971,22 @@ CREATE POLICY "services: select" ON public.services FOR SELECT TO authenticated
 
 CREATE POLICY "services: update" ON public.services FOR UPDATE TO authenticated USING (((owner_id = auth.uid()) OR public.is_saas_admin())) WITH CHECK (((owner_id = auth.uid()) OR public.is_saas_admin()));
 
+CREATE POLICY "sla_breaches: select membros/admin" ON public.conversation_sla_breaches FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_sla_breaches.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "sla_breaches: write service_role" ON public.conversation_sla_breaches TO service_role USING (true) WITH CHECK (true);
+
+CREATE POLICY "sla_rules: select membros/admin" ON public.conversation_sla_rules FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_sla_rules.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "sla_rules: write admins" ON public.conversation_sla_rules TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_sla_rules.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.role = ANY (ARRAY['clinic_admin'::text, 'tenant_admin'::text])) AND (tm.status = 'active'::text)))))) WITH CHECK ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = conversation_sla_rules.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.role = ANY (ARRAY['clinic_admin'::text, 'tenant_admin'::text])) AND (tm.status = 'active'::text))))));
+
 CREATE POLICY srl_read_saas_admin ON public.submission_rate_limits FOR SELECT TO authenticated USING (public.is_saas_admin());
 
 CREATE POLICY subscription_events_read_saas ON public.subscription_events FOR SELECT USING (public.is_saas_admin());
@@ -1067,6 +1121,12 @@ CREATE POLICY "wa_credits_tx: select tenant" ON public.whatsapp_credits_transact
    FROM public.tenant_members tm
   WHERE ((tm.user_id = auth.uid()) AND (tm.tenant_id = whatsapp_credits_transactions.tenant_id) AND (tm.status = 'active'::text))))));
 
+CREATE POLICY "wa_incidents: select membros/admin" ON public.whatsapp_connection_incidents FOR SELECT TO authenticated USING ((public.is_saas_admin() OR (EXISTS ( SELECT 1
+   FROM public.tenant_members tm
+  WHERE ((tm.tenant_id = whatsapp_connection_incidents.tenant_id) AND (tm.user_id = auth.uid()) AND (tm.status = 'active'::text))))));
+
+CREATE POLICY "wa_incidents: write service_role" ON public.whatsapp_connection_incidents TO service_role USING (true) WITH CHECK (true);
+
 CREATE POLICY "wa_packages: manage saas admin" ON public.whatsapp_credit_packages TO authenticated USING (public.is_saas_admin()) WITH CHECK (public.is_saas_admin());
 
 CREATE POLICY "wa_packages: select active" ON public.whatsapp_credit_packages FOR SELECT TO authenticated USING (((is_active = true) OR public.is_saas_admin()));

database-novo/seeds/seed_040_clinical_note_templates.sql

@@ -0,0 +1,151 @@
+-- ============================================================================
+-- Seed dos templates do sistema de prontuário clínico
+-- ----------------------------------------------------------------------------
+-- Templates is_system=true, sem tenant_id, sem owner_id.
+-- Cobrem os 4 tipos mais comuns de nota clínica em psicologia:
+--   • Anamnese padrão CFP-style
+--   • Evolução: SOAP / DAP / BIRP
+--   • Plano terapêutico padrão
+--
+-- structure jsonb segue schema:
+--   [
+--     { key, label, type, required?, hint?, options? },
+--     ...
+--   ]
+-- type: 'text' | 'textarea' | 'select' | 'date' | 'multiselect'
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. Anamnese padrão (CFP)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'anamnese_padrao',
+    'Anamnese Padrão',
+    'anamnese',
+    'Estrutura padrão de anamnese clínica em psicologia. Pode ser preenchida em 1-3 sessões iniciais.',
+    '[
+        {"key": "queixa_principal", "label": "Queixa principal", "type": "textarea", "required": true, "hint": "O que trouxe o paciente à terapia"},
+        {"key": "historia_queixa", "label": "História da queixa", "type": "textarea", "hint": "Quando começou, evolução, fatores agravantes/atenuantes"},
+        {"key": "historia_vida", "label": "História de vida", "type": "textarea", "hint": "Infância, adolescência, eventos marcantes"},
+        {"key": "antecedentes_psicologicos", "label": "Antecedentes psicológicos", "type": "textarea", "hint": "Tratamentos anteriores, medicações, internações"},
+        {"key": "antecedentes_medicos", "label": "Antecedentes médicos", "type": "textarea", "hint": "Doenças, cirurgias, medicações em uso"},
+        {"key": "antecedentes_familiares", "label": "Antecedentes familiares", "type": "textarea", "hint": "Histórico familiar de transtornos psicológicos/psiquiátricos"},
+        {"key": "vida_atual_relacionamentos", "label": "Relacionamentos atuais", "type": "textarea"},
+        {"key": "vida_atual_trabalho_estudo", "label": "Trabalho / estudo atual", "type": "textarea"},
+        {"key": "hipoteses_iniciais", "label": "Hipóteses iniciais", "type": "textarea", "hint": "Hipóteses do terapeuta — não compartilhar com paciente"},
+        {"key": "plano_inicial", "label": "Plano terapêutico inicial", "type": "textarea"}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. Evolução SOAP (Subjective, Objective, Assessment, Plan)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'soap',
+    'Evolução SOAP',
+    'evolucao_sessao',
+    'Padrão internacional: Subjetivo (relato do paciente), Objetivo (observações), Avaliação (análise), Plano (próximos passos).',
+    '[
+        {"key": "subjetivo", "label": "S — Subjetivo", "type": "textarea", "required": true, "hint": "O que o paciente relatou; humor; queixas verbalizadas"},
+        {"key": "objetivo", "label": "O — Objetivo", "type": "textarea", "hint": "Observações do terapeuta: comportamento, afeto, aparência, postura"},
+        {"key": "avaliacao", "label": "A — Avaliação", "type": "textarea", "required": true, "hint": "Análise clínica, hipóteses, evolução"},
+        {"key": "plano", "label": "P — Plano", "type": "textarea", "required": true, "hint": "Intervenções planejadas, tarefas, foco da próxima sessão"}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 3. Evolução DAP (Data, Assessment, Plan)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'dap',
+    'Evolução DAP',
+    'evolucao_sessao',
+    'Mais conciso que SOAP: Dados (relato + observações), Avaliação, Plano.',
+    '[
+        {"key": "dados", "label": "D — Dados", "type": "textarea", "required": true, "hint": "Relato + observações em texto único"},
+        {"key": "avaliacao", "label": "A — Avaliação", "type": "textarea", "required": true},
+        {"key": "plano", "label": "P — Plano", "type": "textarea", "required": true}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 4. Evolução BIRP (Behavior, Intervention, Response, Plan)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'birp',
+    'Evolução BIRP',
+    'evolucao_sessao',
+    'Foco em intervenção: Comportamento observado, Intervenção aplicada, Resposta do paciente, Plano.',
+    '[
+        {"key": "behavior", "label": "B — Comportamento", "type": "textarea", "required": true, "hint": "Comportamento/queixa observada na sessão"},
+        {"key": "intervention", "label": "I — Intervenção", "type": "textarea", "required": true, "hint": "Técnicas ou abordagens aplicadas pelo terapeuta"},
+        {"key": "response", "label": "R — Resposta", "type": "textarea", "required": true, "hint": "Como o paciente respondeu à intervenção"},
+        {"key": "plano", "label": "P — Plano", "type": "textarea", "required": true}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 5. Evolução livre (CFP-style — texto único)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'evolucao_livre',
+    'Evolução Livre',
+    'evolucao_sessao',
+    'Texto único, sem estrutura — pra quem prefere prosa contínua estilo CFP tradicional.',
+    '[
+        {"key": "evolucao", "label": "Evolução", "type": "textarea", "required": true, "hint": "Texto único descrevendo a sessão"}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 6. Plano terapêutico padrão
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.clinical_note_templates (
+    key, name, note_type, description, structure, is_system, is_global, active
+) VALUES (
+    'plano_terapeutico_padrao',
+    'Plano Terapêutico Padrão',
+    'plano_terapeutico',
+    'Estrutura básica de plano: objetivos, estratégia, recursos, prazo estimado.',
+    '[
+        {"key": "objetivos_gerais", "label": "Objetivos gerais", "type": "textarea", "required": true, "hint": "O que o paciente quer alcançar"},
+        {"key": "objetivos_especificos", "label": "Objetivos específicos / metas", "type": "textarea", "hint": "Metas mensuráveis"},
+        {"key": "estrategia_terapeutica", "label": "Estratégia terapêutica", "type": "textarea", "required": true, "hint": "Abordagem teórica, técnicas previstas"},
+        {"key": "recursos_indicados", "label": "Recursos / intervenções indicadas", "type": "textarea"},
+        {"key": "duracao_estimada", "label": "Duração estimada", "type": "text", "hint": "Ex: 6 meses, indeterminado"},
+        {"key": "criterios_alta", "label": "Critérios de alta", "type": "textarea"},
+        {"key": "encaminhamentos", "label": "Encaminhamentos paralelos", "type": "textarea", "hint": "Psiquiatria, médico, outras especialidades"}
+    ]'::jsonb,
+    true,
+    true,
+    true
+);
+
+COMMIT;

database-novo/seeds/seed_050_specialties.sql

@@ -0,0 +1,57 @@
+-- ============================================================================
+-- Seed: Especialidades do sistema (ROADMAP item #9)
+-- ----------------------------------------------------------------------------
+-- Lista canônica de especialidades + abordagens psicológicas no Brasil.
+-- is_system=true; usuário escolhe múltiplas; 'outra' permite custom via
+-- profile_specialties.other_label.
+-- ============================================================================
+
+BEGIN;
+
+INSERT INTO public.specialties (key, name, category, is_system, active) VALUES
+    -- Especialidades CFP (psicologia)
+    ('psicologia_clinica',          'Psicologia Clínica',                       'psicologia', true, true),
+    ('psicologia_hospitalar',       'Psicologia Hospitalar',                    'psicologia', true, true),
+    ('neuropsicologia',             'Neuropsicologia',                          'psicologia', true, true),
+    ('psicologia_organizacional',   'Psicologia Organizacional e do Trabalho',  'psicologia', true, true),
+    ('psicologia_escolar',          'Psicologia Escolar e Educacional',         'psicologia', true, true),
+    ('psicologia_juridica',         'Psicologia Jurídica',                      'psicologia', true, true),
+    ('psicologia_esporte',          'Psicologia do Esporte',                    'psicologia', true, true),
+    ('psicologia_social',           'Psicologia Social',                        'psicologia', true, true),
+    ('psicologia_transito',         'Psicologia do Trânsito',                   'psicologia', true, true),
+
+    -- Abordagens teóricas
+    ('psicanalise',                 'Psicanálise',                              'abordagem',  true, true),
+    ('tcc',                         'Terapia Cognitivo-Comportamental (TCC)',   'abordagem',  true, true),
+    ('psicodrama',                  'Psicodrama',                               'abordagem',  true, true),
+    ('gestalt_terapia',             'Gestalt-terapia',                          'abordagem',  true, true),
+    ('analise_comportamento',       'Análise do Comportamento (ABA)',           'abordagem',  true, true),
+    ('humanista',                   'Abordagem Humanista (Rogers)',             'abordagem',  true, true),
+    ('sistemica_familiar',          'Terapia Sistêmica Familiar',               'abordagem',  true, true),
+    ('logoterapia',                 'Logoterapia (Frankl)',                     'abordagem',  true, true),
+    ('analitica_jung',              'Psicologia Analítica (Jung)',              'abordagem',  true, true),
+
+    -- Públicos
+    ('infantil',                    'Atendimento Infantil',                     'publico',    true, true),
+    ('adolescentes',                'Atendimento de Adolescentes',              'publico',    true, true),
+    ('casais',                      'Terapia de Casal',                         'publico',    true, true),
+    ('familia',                     'Terapia Familiar',                         'publico',    true, true),
+    ('grupos',                      'Atendimento de Grupos',                    'publico',    true, true),
+    ('idosos',                      'Atendimento de Idosos / Gerontologia',     'publico',    true, true),
+    ('lgbtqia',                     'Atendimento LGBTQIA+',                     'publico',    true, true),
+
+    -- Temas
+    ('ansiedade',                   'Transtornos de Ansiedade',                 'tema',       true, true),
+    ('depressao',                   'Depressão',                                'tema',       true, true),
+    ('tdah',                        'TDAH',                                     'tema',       true, true),
+    ('autismo',                     'Transtorno do Espectro Autista',           'tema',       true, true),
+    ('luto',                        'Luto e Perdas',                            'tema',       true, true),
+    ('dependencia_quimica',         'Dependência Química',                      'tema',       true, true),
+    ('transtornos_alimentares',     'Transtornos Alimentares',                  'tema',       true, true),
+    ('trauma',                      'Trauma e Estresse Pós-Traumático',         'tema',       true, true),
+
+    -- Catch-all
+    ('outra',                       'Outra',                                    'outro',      true, true)
+ON CONFLICT (key) DO NOTHING;
+
+COMMIT;

database-novo/seeds/seed_060_consent_forms_extra.sql

@@ -0,0 +1,74 @@
+-- ============================================================================
+-- Compliance CFP #6 — Consent forms extra (LGPD + Gravação) + LGPD amend
+-- ----------------------------------------------------------------------------
+-- Adiciona 2 templates globais novos exigidos pra completar a biblioteca de
+-- consent forms do ROADMAP item #1.2 #6:
+--   • termo_lgpd           — Consentimento LGPD (tratamento de dados pessoais)
+--   • autorizacao_gravacao — Autorização de gravação de sessão
+--
+-- Também atualiza o template tcle_online existente pra incluir cláusula
+-- explícita de LGPD (estava mencionando criptografia mas não a Lei 13.709/2018
+-- nem direitos do titular).
+--
+-- Pré-requisito: migration 20260521000005_document_templates_consent_types.sql
+-- já aplicada (adiciona 'termo_lgpd' e 'autorizacao_gravacao' ao CHECK).
+-- ============================================================================
+
+BEGIN;
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 1. Termo de Consentimento LGPD (tratamento de dados pessoais)
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.document_templates (
+    id, tenant_id, owner_id, nome_template, tipo, descricao,
+    corpo_html, cabecalho_html, rodape_html,
+    variaveis, is_global, ativo
+) VALUES (
+    gen_random_uuid(), NULL, NULL,
+    'Termo de Consentimento LGPD',
+    'termo_lgpd',
+    'Consentimento específico para tratamento de dados pessoais conforme Lei nº 13.709/2018 (LGPD).',
+    E'<h2 style="text-align:center; margin-bottom:30px;">TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS</h2>\n\n<p>Em conformidade com a <strong>Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (LGPD)</strong>, eu, <strong>{{paciente_nome}}</strong>, CPF nº <strong>{{paciente_cpf}}</strong>, declaro ter sido informado(a) e <strong>consinto livremente</strong> com o tratamento dos meus dados pessoais nos termos abaixo.</p>\n\n<h3>1. Controlador dos dados</h3>\n<p><strong>{{terapeuta_nome}}</strong>, Psicólogo(a) — CRP <strong>{{terapeuta_crp}}</strong>, atuando em <strong>{{clinica_nome}}</strong>, com endereço em <strong>{{clinica_endereco}}</strong>, atua como controlador dos dados pessoais coletados.</p>\n\n<h3>2. Dados tratados</h3>\n<p>Serão coletados e tratados os seguintes dados:</p>\n<ul>\n  <li><strong>Identificação:</strong> nome, CPF, RG, data de nascimento, endereço, telefone, e-mail;</li>\n  <li><strong>Dados sensíveis de saúde:</strong> histórico clínico, hipóteses diagnósticas, evolução terapêutica, prescrições, encaminhamentos (Art. 11 LGPD);</li>\n  <li><strong>Dados de pagamento:</strong> valores, formas de pagamento, recibos emitidos;</li>\n  <li><strong>Registros de atendimento:</strong> data, horário, modalidade e duração das sessões.</li>\n</ul>\n\n<h3>3. Finalidade e base legal</h3>\n<p>Os dados serão utilizados exclusivamente para:</p>\n<ul>\n  <li><strong>Execução do contrato</strong> de prestação de serviços psicológicos (Art. 7º, V e Art. 11, II, "a" da LGPD);</li>\n  <li>Cumprimento de <strong>obrigações legais e regulatórias</strong> (Resoluções CFP, retenção de prontuário por 5 anos — Art. 1º Res. CFP 001/2009);</li>\n  <li>Proteção da <strong>vida e incolumidade física</strong> do titular ou de terceiros, quando necessário (Art. 11, II, "f" LGPD);</li>\n  <li>Emissão de documentos solicitados (recibos, atestados, declarações).</li>\n</ul>\n\n<h3>4. Compartilhamento</h3>\n<p>Os dados <strong>não serão compartilhados</strong> com terceiros, exceto:</p>\n<ul>\n  <li>Mediante <strong>autorização expressa</strong> do titular (ex: encaminhamentos);</li>\n  <li>Por <strong>determinação judicial</strong> ou requisição legal de autoridade competente;</li>\n  <li>Para <strong>processadores</strong> contratados (plataforma de prontuário eletrônico, serviços de armazenamento em nuvem), com cláusulas de confidencialidade e proteção equivalentes.</li>\n</ul>\n\n<h3>5. Armazenamento e retenção</h3>\n<p>Os dados serão mantidos pelo prazo mínimo de <strong>5 anos</strong> após o término do acompanhamento, conforme exigência do CFP (Resolução nº 001/2009), em ambiente eletrônico criptografado com controle de acesso restrito ao profissional responsável.</p>\n\n<h3>6. Direitos do titular (Art. 18 LGPD)</h3>\n<p>O(A) titular pode, a qualquer momento, solicitar ao controlador:</p>\n<ul>\n  <li>Confirmação da existência de tratamento;</li>\n  <li>Acesso aos seus dados;</li>\n  <li>Correção de dados incompletos, inexatos ou desatualizados;</li>\n  <li>Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;</li>\n  <li>Portabilidade dos dados;</li>\n  <li>Revogação deste consentimento, nos termos do §5º do Art. 8º (sem prejuízo do tratamento legalmente exigido).</li>\n</ul>\n\n<h3>7. Contato</h3>\n<p>Para exercer seus direitos ou esclarecer dúvidas: <strong>{{terapeuta_email}}</strong> · <strong>{{terapeuta_telefone}}</strong>.</p>\n\n<p style="margin-top:30px;">Declaro que <strong>li, compreendi e consinto</strong> livremente com o tratamento dos meus dados pessoais conforme descrito acima.</p>\n\n<p style="margin-top:20px;">{{cidade_estado}}, {{data_atual_extenso}}.</p>\n\n<div style="display:flex; justify-content:space-between; margin-top:80px;">\n  <div style="text-align:center; width:45%;">\n    <hr style="border:none; border-top:1px solid #333; margin-bottom:8px;" />\n    <strong>{{paciente_nome}}</strong><br/>\n    Titular dos dados — CPF: {{paciente_cpf}}\n  </div>\n  <div style="text-align:center; width:45%;">\n    <hr style="border:none; border-top:1px solid #333; margin-bottom:8px;" />\n    <strong>{{terapeuta_nome}}</strong><br/>\n    Controlador — CRP {{terapeuta_crp}}\n  </div>\n</div>',
+    E'<div style="text-align:center;">\n  <strong>{{clinica_nome}}</strong><br/>\n  <span style="font-size:10pt; color:#666;">{{clinica_endereco}}</span>\n</div>',
+    E'<div style="text-align:center; font-size:9pt; color:#999;">\n  Documento regido pela Lei nº 13.709/2018 (LGPD) e pelo Código de Ética Profissional do Psicólogo.\n</div>',
+    ARRAY['paciente_nome','paciente_cpf','terapeuta_nome','terapeuta_crp','terapeuta_email','terapeuta_telefone','cidade_estado','data_atual_extenso','clinica_nome','clinica_endereco'],
+    true, true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 2. Autorização para Gravação de Sessão
+-- ──────────────────────────────────────────────────────────────────────────
+INSERT INTO public.document_templates (
+    id, tenant_id, owner_id, nome_template, tipo, descricao,
+    corpo_html, cabecalho_html, rodape_html,
+    variaveis, is_global, ativo
+) VALUES (
+    gen_random_uuid(), NULL, NULL,
+    'Autorização para Gravação de Sessão',
+    'autorizacao_gravacao',
+    'Autorização específica do paciente para gravação de áudio/vídeo das sessões (supervisão, ensino, registro clínico).',
+    E'<h2 style="text-align:center; margin-bottom:30px;">AUTORIZAÇÃO PARA GRAVAÇÃO DE SESSÃO</h2>\n\n<p>Eu, <strong>{{paciente_nome}}</strong>, CPF nº <strong>{{paciente_cpf}}</strong>, declaro ter sido devidamente informado(a) pelo(a) psicólogo(a) <strong>{{terapeuta_nome}}</strong>, CRP <strong>{{terapeuta_crp}}</strong>, e <strong>AUTORIZO</strong> a gravação das sessões de atendimento psicológico nas condições abaixo.</p>\n\n<h3>1. Tipo de gravação</h3>\n<p>Modalidade autorizada: <strong>{{tipo_gravacao}}</strong> (áudio, vídeo ou ambos).</p>\n\n<h3>2. Finalidade</h3>\n<p>As gravações serão utilizadas exclusivamente para:</p>\n<ul>\n  <li><strong>{{finalidade_gravacao}}</strong></li>\n</ul>\n<p>Finalidades comuns: registro clínico para análise posterior do profissional; supervisão técnica com supervisor identificado; uso didático em formação (com anonimização); pesquisa científica (mediante consentimento adicional específico).</p>\n\n<h3>3. Compartilhamento</h3>\n<p>As gravações são <strong>confidenciais</strong>. Não serão compartilhadas com terceiros, exceto quando:</p>\n<ul>\n  <li>Houver autorização expressa e por escrito do(a) titular;</li>\n  <li>Para fins de supervisão técnica, com o(a) supervisor(a) identificado(a) — <strong>{{supervisor_nome}}</strong> (quando aplicável);</li>\n  <li>Anonimizadas, para fins didáticos ou de pesquisa (com novo consentimento específico).</li>\n</ul>\n\n<h3>4. Armazenamento e descarte</h3>\n<p>As gravações serão armazenadas em ambiente criptografado, com acesso restrito ao(à) profissional responsável, pelo prazo de <strong>{{prazo_retencao}}</strong>, após o qual serão definitivamente eliminadas, conforme a LGPD (Lei nº 13.709/2018).</p>\n\n<h3>5. Direitos do(a) paciente</h3>\n<ul>\n  <li>Revogar esta autorização a qualquer tempo, com efeito sobre gravações futuras;</li>\n  <li>Solicitar a eliminação imediata de gravações específicas;</li>\n  <li>Solicitar cópia da gravação para fins próprios;</li>\n  <li>Ser informado(a) sobre cada utilização (supervisão, pesquisa).</li>\n</ul>\n\n<h3>6. Considerações éticas</h3>\n<p>A presente autorização está em conformidade com o Código de Ética Profissional do Psicólogo, com a Resolução CFP nº 010/2005 (sigilo profissional) e com a Lei nº 13.709/2018 (LGPD). A negativa de gravação <strong>não prejudica</strong> o atendimento psicológico, que prosseguirá normalmente.</p>\n\n<p style="margin-top:30px;">Declaro que <strong>li, compreendi e autorizo</strong> a gravação das sessões nos termos acima.</p>\n\n<p style="margin-top:20px;">{{cidade_estado}}, {{data_atual_extenso}}.</p>\n\n<div style="display:flex; justify-content:space-between; margin-top:80px;">\n  <div style="text-align:center; width:45%;">\n    <hr style="border:none; border-top:1px solid #333; margin-bottom:8px;" />\n    <strong>{{paciente_nome}}</strong><br/>\n    CPF: {{paciente_cpf}}\n  </div>\n  <div style="text-align:center; width:45%;">\n    <hr style="border:none; border-top:1px solid #333; margin-bottom:8px;" />\n    <strong>{{terapeuta_nome}}</strong><br/>\n    Psicólogo(a) — CRP {{terapeuta_crp}}\n  </div>\n</div>',
+    E'<div style="text-align:center;">\n  <strong>{{clinica_nome}}</strong><br/>\n  <span style="font-size:10pt; color:#666;">{{clinica_endereco}}</span>\n</div>',
+    E'<div style="text-align:center; font-size:9pt; color:#999;">\n  Autorização regida pelo Código de Ética do Psicólogo (CFP 010/2005) e pela Lei nº 13.709/2018 (LGPD).\n</div>',
+    ARRAY['paciente_nome','paciente_cpf','terapeuta_nome','terapeuta_crp','tipo_gravacao','finalidade_gravacao','supervisor_nome','prazo_retencao','cidade_estado','data_atual_extenso','clinica_nome','clinica_endereco'],
+    true, true
+);
+
+-- ──────────────────────────────────────────────────────────────────────────
+-- 3. Amend tcle_online com cláusula LGPD explícita
+-- ----------------------------------------------------------------------------
+-- O template original (seed_015) menciona criptografia mas não cita a LGPD
+-- explicitamente nem os direitos do titular. Acrescenta uma seção 5.
+-- ──────────────────────────────────────────────────────────────────────────
+UPDATE public.document_templates
+SET corpo_html = REPLACE(
+    corpo_html,
+    '<h3>4. Limitações</h3>',
+    E'<h3>5. Proteção de Dados (LGPD)</h3>\n<p>O atendimento online é regido pela <strong>Lei Geral de Proteção de Dados — Lei nº 13.709/2018 (LGPD)</strong>. Você tem direito a (Art. 18 LGPD): confirmar a existência de tratamento dos seus dados; acessar seus dados; corrigir dados incompletos ou inexatos; solicitar eliminação dos dados após o término do tratamento (resguardados os prazos legais de retenção do CFP); e revogar este consentimento a qualquer momento. Para exercê-los, contate <strong>{{terapeuta_email}}</strong>.</p>\n\n<h3>6. Limitações</h3>'
+),
+variaveis = ARRAY['paciente_nome','paciente_cpf','plataforma_online','terapeuta_nome','terapeuta_crp','terapeuta_email','cidade_estado','data_atual_extenso','clinica_nome','clinica_endereco'],
+descricao = 'Consentimento específico para atendimento psicológico por meios tecnológicos (Resolução CFP nº 11/2018) + cláusula LGPD.',
+updated_at = now()
+WHERE tipo = 'tcle_online' AND is_global = true;
+
+COMMIT;

database-novo/tmp/backfill-document-generated-link.sql

@@ -0,0 +1,39 @@
+-- Backfill: linkar document_generated.documento_id em registros antigos
+-- pra suportar re-edicao in-place de documentos gerados.
+--
+-- O codigo novo (DocumentGenerate.service.js saveGeneratedDocument) ja
+-- preenche o documento_id no INSERT pra criacoes novas. Este script eh
+-- one-off pra docs gerados ANTES desse fix.
+--
+-- Match: dg.pdf_path = d.bucket_path + match de tenant/patient pra evitar
+-- linkar a doc errado em caso colidente. Registros sem match (paths que
+-- nao existem mais em documents — docs deletados/cleanup) ficam orfaos
+-- com documento_id=NULL: nao quebra nada, so nao tem caminho de re-edit.
+
+BEGIN;
+
+UPDATE public.document_generated dg
+SET documento_id = d.id
+FROM public.documents d
+WHERE dg.documento_id IS NULL
+  AND dg.pdf_path = d.bucket_path
+  AND dg.patient_id = d.patient_id
+  AND dg.tenant_id = d.tenant_id
+  AND d.deleted_at IS NULL;
+
+-- Relatorio pos-backfill
+DO $REPORT$
+DECLARE
+    v_linked int;
+    v_orphans int;
+BEGIN
+    SELECT count(*) FILTER (WHERE documento_id IS NOT NULL),
+           count(*) FILTER (WHERE documento_id IS NULL)
+    INTO v_linked, v_orphans
+    FROM public.document_generated;
+    RAISE NOTICE 'document_generated: % linked, % orphans (sem documents correspondente)',
+        v_linked, v_orphans;
+END;
+$REPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-assinatura-eletronica.sql

@@ -0,0 +1,166 @@
+-- Importacao da doc Assinatura eletronica de documentos (Fase 3 #7)
+-- Gerado a partir de development/saas-docs/05-assinatura-eletronica-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Assinatura eletrônica de documentos',
+        $HTML$<h2>Assinatura eletrônica de documentos</h2>
+
+<p>O sistema permite enviar documentos clínicos (TCLE, contratos, autorizações, laudos) pro paciente assinar <strong>sem que ele precise ter login</strong>. O fluxo registra a assinatura com hash do conteúdo, IP, user-agent e timestamp — gerando um audit trail compliance LGPD/CFP.</p>
+
+<h3>1. Visão geral do fluxo</h3>
+<ol>
+  <li><strong>Terapeuta</strong> abre o documento no prontuário e clica em <em>Assinar</em></li>
+  <li>Adiciona os signatários (nome + email) e ativa <em>"Gerar link público para assinatura"</em></li>
+  <li>Sistema cria signature requests + um <strong>link público temporário</strong> com token</li>
+  <li>Terapeuta copia a URL e envia pro paciente (WhatsApp, email, SMS — manual por enquanto)</li>
+  <li><strong>Paciente</strong> abre o link em qualquer navegador, lê o documento, marca o checkbox de aceite LGPD e clica <em>Assinar</em></li>
+  <li>Sistema computa SHA-256 do PDF baixado, registra assinatura via RPC server-side (IP/UA capturados pelo banco)</li>
+  <li>Terapeuta vê o status atualizado no documento (pendente → assinado)</li>
+</ol>
+
+<h3>2. Lado terapeuta — criar solicitação</h3>
+<p>No preview de um documento (na aba <em>Documentos</em> do prontuário), clique no botão <strong>Assinar</strong> na sidebar de ações. O <em>DocumentSignatureDialog</em> abre com:</p>
+<ul>
+  <li><strong>Lista de signatários:</strong> adicione um ou mais — pra cada um, nome + email são obrigatórios. O paciente principal vem pré-preenchido se disponível.</li>
+  <li><strong>Toggle "Gerar link público para assinatura"</strong> (default ON): cria um share_link junto com as signature requests. Sem isso, só fica a request registrada — o paciente precisa logar no portal pra assinar.</li>
+  <li><strong>Select de validade do link:</strong> 24h / 3 dias / 7 dias / 30 dias. Default 7 dias (168h).</li>
+  <li><strong>Submit:</strong> cria as requests + link e mostra a URL pronta pra copiar.</li>
+</ul>
+
+<h3>3. Lado paciente — link público (sem login)</h3>
+<p>Ao abrir o link <code>/shared/document/:token</code>, o paciente vê:</p>
+<ul>
+  <li><strong>Preview do PDF</strong> inline (iframe)</li>
+  <li><strong>Painel azul</strong> embaixo do preview com:
+    <ul>
+      <li>Aviso LGPD/CFP explicando o que vai ser registrado</li>
+      <li>Checkbox <em>"Li o documento e concordo com seu conteúdo"</em> (bloqueia botões até marcado)</li>
+      <li>Select de signatário (se houver mais de um cadastrado)</li>
+      <li>Botões <strong>Assinar</strong> (emerald) e <strong>Recusar</strong> (rose)</li>
+    </ul>
+  </li>
+</ul>
+
+<p>Ao clicar Assinar:</p>
+<ol>
+  <li>Sistema baixa o PDF e computa <strong>SHA-256</strong> client-side (proof of integrity — se o doc foi alterado depois, hash não bate)</li>
+  <li>Chama a RPC <code>sign_document_by_token</code> passando o hash</li>
+  <li>RPC captura <strong>IP via inet_client_addr()</strong> e <strong>user-agent via current_setting('request.headers')</strong> — server-side, à prova de spoof client-side</li>
+  <li>Registra em <code>document_signatures</code>: timestamp, hash, IP, UA, status='assinado'</li>
+  <li>Mostra tela de confirmação "Documento assinado com sucesso"</li>
+</ol>
+
+<h3>4. Audit trail registrado</h3>
+<p>Cada assinatura grava:</p>
+<ul>
+  <li><strong>signatario_id</strong> (se o signatário tem cadastro como paciente vinculado)</li>
+  <li><strong>signatario_nome</strong> e <strong>signatario_email</strong> (do que foi cadastrado pelo terapeuta)</li>
+  <li><strong>assinado_em</strong> — timestamp da RPC (server time, não client clock)</li>
+  <li><strong>assinatura_hash</strong> — SHA-256 do PDF no momento da assinatura</li>
+  <li><strong>ip_address</strong> — capturado server-side (anti-spoof)</li>
+  <li><strong>user_agent</strong> — header HTTP via current_setting</li>
+  <li><strong>status</strong> — pendente / enviado / assinado / recusado / expirado</li>
+</ul>
+
+<div style="background: rgba(16,185,129,0.08); border: 1px solid rgba(16,185,129,0.3); border-radius: 10px; padding: 12px 14px; margin: 14px 0; font-size: 0.85rem;">
+  <strong>🛡️ Por que server-side?</strong> Capturar IP/UA no banco via <code>inet_client_addr()</code> é anti-spoof: o cliente não consegue forjar valores arbitrários. Garante que o audit trail reflete a sessão HTTP real, não um POST manipulado.
+</div>
+
+<h3>5. Recusar a assinatura</h3>
+<p>O paciente pode <strong>recusar</strong> em vez de assinar — útil se ele não concorda com o conteúdo. Click em <strong>Recusar</strong> abre um <em>confirm</em>; ao confirmar, o sistema registra a recusa (com timestamp + IP/UA da mesma forma) e marca a request como <code>status='recusado'</code>. O terapeuta vê isso na lista de signature requests e pode entrar em contato pra ajustar o documento.</p>
+
+<h3>6. Portal do paciente — lista de pendências</h3>
+<p>Pacientes logados no portal (<code>/portal/documentos</code>) veem uma lista de TODOS os documentos solicitados pra eles, com KPIs no topo:</p>
+<ul>
+  <li><strong>Total</strong> · <strong>Pendentes</strong> · <strong>Assinados</strong> · <strong>Recusados</strong></li>
+</ul>
+<p>Filtro por status (todos / pendentes / assinados) + lista. Click em <strong>Assinar agora</strong> num item pendente leva pro <code>/shared/document/:token</code> (mesma página pública, mas com auth já garantida via portal).</p>
+
+<h3>7. Expiração e múltiplos usos</h3>
+<ul>
+  <li><strong>Validade do link:</strong> configurada na criação (24h/3d/7d/30d). Após expirar, retorna 410 Gone. Terapeuta pode gerar novo link pelo botão <em>Compartilhar</em> no preview do doc.</li>
+  <li><strong>Limite de usos:</strong> calculado como <code>max(signatários × 3, 5)</code> — gerar 1 signatário dá 5 usos disponíveis (margem de erro / reload / multi-device).</li>
+  <li><strong>Cada assinatura é única:</strong> mesmo signatário não consegue assinar 2x — a RPC bloqueia se já houver registro com status=assinado.</li>
+</ul>
+
+<h3>8. Múltiplos signatários</h3>
+<p>Documentos como termo de autorização de menor podem precisar de 2+ assinaturas (responsável legal + paciente menor, ou os dois pais). O dialog aceita N signatários; cada um recebe sua própria entry em <code>document_signatures</code>. O link público é o mesmo — quando o paciente abre, escolhe qual signatário ele é no select e assina apenas a sua entry.</p>
+
+<h3>9. Validade legal</h3>
+<p>A assinatura eletrônica registrada pelo sistema atende:</p>
+<ul>
+  <li><strong>LGPD (Lei 13.709/2018):</strong> consentimento explícito registrado com timestamp, IP e UA — base legal Art. 7º I</li>
+  <li><strong>Código de Ética CFP:</strong> documento clínico com identificação inequívoca do signatário (nome+email+IP+hash)</li>
+  <li><strong>MP 2200-2/2001 (ICP-Brasil):</strong> assinatura <em>simples</em> com integridade via hash — não é certificado A1/A3, mas é válida pra documentos sem exigência ICP</li>
+</ul>
+<p>⚠️ Pra documentos que exigem ICP-Brasil (notarial, procuração com poderes especiais), use uma plataforma externa de assinatura qualificada — esse fluxo não substitui.</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<ul>
+  <li><strong>RPCs:</strong> <code>sign_document_by_signature_id</code> (paciente logado no portal), <code>sign_document_by_token</code> (link público), <code>get_signable_document_by_token</code> (resolve token → doc + signature_request), <code>list_my_signatures</code> (lista do paciente, cruza por signatario_id, signatario_email e patient.user_id)</li>
+  <li><strong>Service:</strong> <code>DocumentSignatures.service.js</code> com wrappers <code>signByPortal</code>, <code>signByToken</code>, <code>getSignableDocumentByToken</code>, <code>listMySignatures</code>, <code>hashDocument</code>, <code>refuseSignature</code>, <code>createSignatureRequests</code>, <code>createShareLink</code>, <code>buildShareUrl</code></li>
+  <li><strong>Composable:</strong> <code>useDocumentSignatures</code> (Tipo A blueprint)</li>
+  <li><strong>UI lado terapeuta:</strong> <code>DocumentSignatureDialog.vue</code> (component)</li>
+  <li><strong>UI lado paciente:</strong> <code>PortalDocumentos.vue</code> (portal logado) + <code>SharedDocumentPage.vue</code> (link público)</li>
+  <li><strong>Notificação automática</strong> (paciente recebe email/WA quando signature criada) — pendente, depende de Módulo 6 (notifications factory channel)</li>
+</ul>$HTML$,
+        'Documentos',
+        true,
+        'usuario',
+        '/melissa/paciente',
+        5,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como peço pra um paciente assinar um documento (TCLE, contrato, autorização)?',
+     $FAQ$Na aba <strong>Documentos</strong> do prontuário, clique no doc → no preview, clique em <strong>Assinar</strong> (sidebar de ações). O dialog abre. Adicione o paciente como signatário (nome + email), mantenha <em>"Gerar link público para assinatura"</em> marcado, escolha validade (7 dias é o default) e clique em <strong>Solicitar</strong>. O sistema cria a request e mostra uma URL pra copiar. Envie pro paciente via WhatsApp, email, SMS — como preferir.$FAQ$, 0, true),
+
+    (v_doc_id, 'Como o paciente assina sem ter login no sistema?',
+     $FAQ$Ele abre o link público (<code>/shared/document/:token</code>) em qualquer navegador. Vê o PDF inline, lê o aviso LGPD/CFP, marca o checkbox <em>"Li o documento e concordo"</em>, e clica <strong>Assinar</strong>. O sistema computa hash SHA-256 do PDF, chama a RPC server-side que captura IP/User-Agent e registra a assinatura. Nada de cadastro, nada de senha.$FAQ$, 1, true),
+
+    (v_doc_id, 'Que informação fica registrada quando ele assina?',
+     $FAQ$Tudo que precisa pra audit compliance: <strong>nome e email</strong> do signatário (do cadastro), <strong>timestamp server-side</strong> (não do relógio do cliente), <strong>hash SHA-256 do PDF</strong> no momento da assinatura (qualquer alteração posterior invalida a integridade), <strong>IP</strong> e <strong>User-Agent</strong> capturados pelo banco via <code>inet_client_addr()</code> e <code>current_setting('request.headers')</code> — anti-spoof. Tudo fica em <code>public.document_signatures</code>.$FAQ$, 2, true),
+
+    (v_doc_id, 'O terapeuta também precisa assinar o documento?',
+     $FAQ$Depende do tipo. Pra atestados, laudos e declarações, geralmente sim — você gera o PDF a partir do template (que já contém seu nome + registro profissional + assinatura digitalizada se você incluiu no rodapé). Pra contratos e termos com paciente como contraparte, você adiciona você mesmo como segundo signatário no dialog antes de enviar. Cada um abre o link e assina sua entry separadamente.$FAQ$, 3, true),
+
+    (v_doc_id, 'O link tem validade? E se expirar?',
+     $FAQ$Tem. Você escolhe 24h, 3 dias, 7 dias ou 30 dias na hora de criar (default 7d). Depois disso o link retorna erro 410 Gone. Se o paciente não assinou a tempo, gere um novo link: no preview do doc, clique em <strong>Compartilhar</strong> ou abra o dialog de assinatura novamente — vai criar outro token. Limite de usos do link: ~5 (margem pra reload/multi-device), depois também expira.$FAQ$, 4, true),
+
+    (v_doc_id, 'E se o paciente recusar a assinatura?',
+     $FAQ$Tem botão <strong>Recusar</strong> ao lado do <em>Assinar</em>. Clique pede confirmação; ao confirmar, a request fica com <code>status='recusado'</code> com timestamp e IP/UA registrados igual à assinatura. Você vê o status na lista de pendências do doc e na aba do prontuário. Geralmente: ajuste o conteúdo do documento e envie nova solicitação.$FAQ$, 5, true),
+
+    (v_doc_id, 'O paciente pode assinar depois pelo Portal sem precisar do link?',
+     $FAQ$Sim, se ele tem conta de portal. Em <strong>/portal/documentos</strong> aparece a lista de tudo que está pendente pra ele assinar, com KPIs (total, pendentes, assinados, recusados) e botão <strong>Assinar agora</strong> que leva pra mesma página de assinatura. Útil pra pacientes que perderam o link no WhatsApp — eles loga e acha tudo num lugar só.$FAQ$, 6, true),
+
+    (v_doc_id, 'Como compartilho o link com o paciente — tem envio automático?',
+     $FAQ$Hoje o envio é <strong>manual</strong>: o dialog gera a URL, você copia e cola onde quiser (WhatsApp, email, SMS, AirDrop, QR code, link em conversa direta). Envio automático (notificação por WA/email quando signature é criada) está no roadmap, depende do Módulo 6 (notifications factory channel) que ainda não foi implementado.$FAQ$, 7, true),
+
+    (v_doc_id, 'A assinatura tem validade legal mesmo sem certificado ICP-Brasil?',
+     $FAQ$Pra documentos clínicos comuns (TCLE, contrato de prestação, autorizações, declarações entre terapeuta-paciente), <strong>sim</strong>. A assinatura simples com timestamp + hash + IP + UA atende LGPD (Art. 7º I — consentimento explícito) e o Código de Ética do CFP. Pra documentos que exigem certificado ICP-Brasil (notarial, procuração com poderes especiais), use uma plataforma externa de assinatura qualificada — esse fluxo não substitui.$FAQ$, 8, true),
+
+    (v_doc_id, 'O paciente consegue editar o documento antes de assinar?',
+     $FAQ$Não. O paciente <strong>só visualiza</strong> — o PDF é renderizado em iframe e a integridade é garantida pelo hash SHA-256 computado no momento da assinatura. Se o conteúdo precisar mudar, é você que ajusta o documento (editar via template ou regenerar) e envia nova solicitação. A assinatura antiga (se houve) fica registrada com o hash do conteúdo antigo — o doc atual tem hash diferente, mostrando que mudou.$FAQ$, 9, true),
+
+    (v_doc_id, 'Como cancelo uma solicitação de assinatura?',
+     $FAQ$Hoje não há um botão "cancelar" direto na UI. O caminho é: ignore (deixa expirar pelo prazo do link) ou peça pro admin marcar como <code>status='expirado'</code> no banco. Em versões futuras teremos botão de cancelar na lista de pendências do doc.$FAQ$, 10, true),
+
+    (v_doc_id, 'Posso pedir mais de uma pessoa pra assinar o mesmo documento?',
+     $FAQ$Sim. Pra termos com múltiplos signatários (autorização de atendimento de menor com 2 pais, contrato com responsável legal + paciente), adicione cada um como signatário separado no dialog. Cada um vira uma entry em <code>document_signatures</code>. O link público é o mesmo — quando o signatário abre, escolhe quem ele é no select acima dos botões e assina apenas a entry dele. Útil também pra você incluir si mesmo (terapeuta) + paciente num contrato bilateral.$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-busca.sql

@@ -0,0 +1,168 @@
+-- Importação da doc Fase 1 (Busca global + Recently viewed)
+-- Gerado a partir de development/saas-docs/01-busca-global-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    -- 1) Cria a doc principal
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Busca global e Acessados recentemente',
+        $HTML$<h2>Busca global no Layout Melissa</h2>
+
+<p>A <strong>busca global</strong> é o atalho mais rápido para encontrar pacientes, sessões, documentos e cadastros recebidos sem precisar navegar pelos menus. Você acessa pelo <em>dock central</em> do Layout Melissa ou usando o atalho de teclado <kbd>Ctrl</kbd> + <kbd>K</kbd> (em qualquer página do Melissa).</p>
+
+<h3>1. Como abrir</h3>
+<p>Localize o campo de busca no dock central do Melissa. Ele aparece como um botão com o ícone de lupa e o placeholder <em>"Buscar paciente, agenda, atalho…"</em>, com o atalho <kbd>Ctrl K</kbd> indicado no canto direito.</p>
+
+<div style="border: 1px solid #cbd5e1; border-radius: 12px; padding: 0 14px; height: 44px; max-width: 480px; display: flex; align-items: center; gap: 10px; background: #1e2333; color: #cbd5e1; font-family: 'Segoe UI', sans-serif; margin: 12px 0;">
+  <i class="pi pi-search" style="font-size: 0.95rem;"></i>
+  <span style="flex: 1; font-size: 0.9rem;">Buscar paciente, agenda, atalho…</span>
+  <span style="font-size: 0.62rem; padding: 2px 7px; border-radius: 4px; background: rgba(255,255,255,0.1); border: 1px solid rgba(255,255,255,0.15); letter-spacing: 0.05em;">Ctrl K</span>
+</div>
+
+<p><strong>Três jeitos de abrir:</strong></p>
+<ul>
+  <li>Clicando no campo no dock central</li>
+  <li>Pressionando <kbd>Ctrl + K</kbd> (Windows/Linux) ou <kbd>⌘ + K</kbd> (Mac) em qualquer página</li>
+  <li>Pelo menu lateral, opção "Buscar" (quando disponível)</li>
+</ul>
+
+<h3>2. O Dialog Spotlight</h3>
+<p>Ao abrir, o sistema mostra um <strong>diálogo centralizado</strong> com o input grande no topo e os resultados em colunas abaixo. Isso é o padrão Spotlight (igual ao usado em macOS, Linear, GitHub, Slack).</p>
+
+<div style="background: var(--surface-card, #fff); border: 1px solid #e2e8f0; border-radius: 14px; max-width: 520px; box-shadow: 0 12px 32px rgba(0,0,0,0.15); overflow: hidden; margin: 12px 0; font-family: 'Segoe UI', sans-serif;">
+  <div style="padding: 14px 18px; border-bottom: 1px solid #e2e8f0; display: flex; align-items: center; gap: 12px;">
+    <i class="pi pi-search" style="color: #64748b;"></i>
+    <span style="flex: 1; color: #94a3b8; font-size: 1.05rem;">Buscar paciente, agenda, atalho…</span>
+    <span style="font-size: 0.65rem; padding: 2px 8px; border-radius: 4px; background: #f1f5f9; border: 1px solid #e2e8f0; color: #64748b;">Esc</span>
+  </div>
+  <div style="padding: 6px;">
+    <div style="text-transform: uppercase; letter-spacing: 0.18em; color: #64748b; font-size: 0.62rem; font-weight: 700; padding: 8px 10px 4px; opacity: 0.75;">Acessados recentemente</div>
+    <div style="display: flex; align-items: center; gap: 10px; padding: 9px 10px; border-radius: 8px;">
+      <span style="width: 32px; height: 32px; display: grid; place-items: center; border-radius: 7px; background: rgba(244,114,182,0.18); color: #ec4899; font-size: 0.9rem;">
+        <i class="pi pi-user"></i>
+      </span>
+      <div style="flex: 1;">
+        <div style="font-size: 0.88rem; font-weight: 500;">André Green</div>
+        <div style="font-size: 0.74rem; color: #64748b;">andre@email.com</div>
+      </div>
+      <i class="pi pi-arrow-right" style="color: #94a3b8; font-size: 0.75rem;"></i>
+    </div>
+  </div>
+</div>
+
+<h3>3. Onde a busca procura</h3>
+<p>Digitando <strong>pelo menos 2 caracteres</strong>, o sistema dispara uma busca completa em 5 categorias:</p>
+<ul>
+  <li><strong style="color: #ec4899;">Pacientes</strong> — por nome completo, e-mail, telefone ou CPF</li>
+  <li><strong style="color: #6366f1;">Sessões</strong> — por título ou nome do paciente, em qualquer data</li>
+  <li><strong style="color: #0ea5e9;">Documentos</strong> — por nome do arquivo ou descrição</li>
+  <li><strong style="color: #f97316;">Cadastros recebidos</strong> — solicitações de novos pacientes pendentes</li>
+  <li><strong>Atalhos</strong> — ações rápidas como "Agenda", "Financeiro", etc.</li>
+</ul>
+
+<p>Cada categoria aparece com um <strong>ícone colorido distinto</strong> para facilitar a leitura visual. Os resultados são limitados aos 6 mais relevantes por categoria.</p>
+
+<h3>4. Como navegar nos resultados</h3>
+<p>Você pode usar o mouse ou o teclado:</p>
+<ul>
+  <li><kbd>↑</kbd> / <kbd>↓</kbd> — navegar entre os resultados</li>
+  <li><kbd>Enter</kbd> — abrir o item selecionado</li>
+  <li><kbd>Esc</kbd> — fechar o diálogo</li>
+  <li><kbd>Clique no backdrop</kbd> — fecha também</li>
+</ul>
+
+<h3>5. Acessados recentemente</h3>
+<p>Quando você abre a busca <strong>sem digitar nada</strong>, a primeira seção mostra <strong>"Acessados recentemente"</strong> — os últimos 5 pacientes que você visitou (em qualquer dispositivo deste navegador).</p>
+
+<div style="background: #f8fafc; border: 1px solid #e2e8f0; border-radius: 8px; padding: 12px 16px; margin: 12px 0; font-size: 0.88rem; color: #475569;">
+  <strong>💡 Dica:</strong> Use Ctrl+K + Enter para reabrir o último paciente acessado em 2 segundos.
+</div>
+
+<p>Esses 5 pacientes ficam salvos no seu navegador (não no banco de dados), então:</p>
+<ul>
+  <li>São <strong>privados</strong> — outros usuários não veem</li>
+  <li>São <strong>por navegador</strong> — se trocar do Chrome pro Firefox, a lista recomeça</li>
+  <li><strong>Persistem</strong> após fechar o navegador (localStorage)</li>
+  <li>Auto-rotacionam: ao acessar o 6º paciente, o mais antigo sai</li>
+</ul>
+
+<h3>6. Clique nos resultados</h3>
+<p>Ao clicar:</p>
+<ul>
+  <li><strong>Paciente</strong> → abre o prontuário (<code>/melissa/paciente?id=…</code>)</li>
+  <li><strong>Sessão</strong> → abre o evento na agenda</li>
+  <li><strong>Documento</strong> → abre o prontuário do paciente na aba Documentos</li>
+  <li><strong>Cadastro recebido</strong> → vai pra lista de Cadastros recebidos</li>
+  <li><strong>Atalho</strong> → navega pra seção (Agenda, Financeiro, etc.)</li>
+</ul>
+
+<h3>7. Tema claro × escuro</h3>
+<p>O Dialog adapta automaticamente as cores conforme o tema escolhido em <strong>Meu Perfil → Preferências</strong>. Texto, fundos e bordas seguem as configurações do sistema. Apenas os ícones por categoria (paciente rosa, sessão índigo, documento azul, cadastro laranja) mantêm a mesma cor para preservar a identificação visual rápida.</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<p>Atualmente o componente <code>MelissaBusca.vue</code> <strong>não tem atributos <code>id</code></strong> em seus elementos. Para o sistema de highlight da ajuda funcionar (links <code>data-highlight</code>), sugere-se adicionar:</p>
+<ul>
+  <li><code>id="melissa-busca-trigger"</code> no botão de trigger no dock</li>
+  <li><code>id="melissa-busca-dialog"</code> no Dialog</li>
+  <li><code>id="melissa-busca-input"</code> no input dentro do Dialog</li>
+  <li><code>id="melissa-busca-recent"</code> no grupo de Acessados recentemente</li>
+</ul>$HTML$,
+        'Navegação',
+        true,
+        'usuario',
+        '/melissa',
+        1,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    -- 2) Insere os 12 FAQ items vinculados
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como abrir a busca rapidamente?',
+     $FAQ$Use o atalho <kbd>Ctrl + K</kbd> (Windows/Linux) ou <kbd>⌘ + K</kbd> (Mac) em qualquer página do Melissa. Você também pode clicar diretamente no campo de busca no dock central.$FAQ$, 0, true),
+
+    (v_doc_id, 'Posso buscar paciente por telefone ou CPF?',
+     $FAQ$Sim. A busca de pacientes encontra pelo <strong>nome completo, e-mail, telefone ou CPF</strong>. Digite pelo menos 2 caracteres e aguarde os resultados.$FAQ$, 1, true),
+
+    (v_doc_id, 'O que aparece em "Acessados recentemente"?',
+     $FAQ$Os últimos 5 pacientes que você abriu pelo prontuário, em ordem do mais recente pro mais antigo. A lista aparece quando você abre a busca <strong>sem digitar nada</strong>.$FAQ$, 2, true),
+
+    (v_doc_id, 'Outros usuários veem meus "Acessados recentemente"?',
+     $FAQ$Não. A lista é <strong>privada e local</strong> — fica salva apenas no seu navegador atual (localStorage). Se você logar em outro navegador ou computador, a lista começa vazia naquele dispositivo.$FAQ$, 3, true),
+
+    (v_doc_id, 'Quantos caracteres preciso digitar pra começar a buscar?',
+     $FAQ$<strong>Pelo menos 2</strong>. Buscas de 1 caractere são muito amplas e não disparam pesquisa. A partir de 2 caracteres, o sistema aguarda 200ms (tempo de digitação) antes de consultar o banco — assim você não dispara dezenas de buscas digitando rápido.$FAQ$, 4, true),
+
+    (v_doc_id, 'Por que minha busca não retorna nada?',
+     $FAQ$Verifique: (1) digitou pelo menos 2 caracteres; (2) o termo está sem erros graves de digitação (a busca tolera pequenas variações via similarity); (3) o paciente/sessão realmente existe no seu cadastro. Se persistir, faça uma busca mais ampla — ex: apenas o primeiro nome.$FAQ$, 5, true),
+
+    (v_doc_id, 'O que cada cor de ícone significa?',
+     $FAQ$Cada categoria tem uma cor própria: <strong style="color: #ec4899;">Rosa</strong> = Paciente, <strong style="color: #6366f1;">Índigo</strong> = Sessão da agenda, <strong style="color: #0ea5e9;">Azul</strong> = Documento, <strong style="color: #f97316;">Laranja</strong> = Cadastro recebido pendente. Atalhos vêm em cinza neutro.$FAQ$, 6, true),
+
+    (v_doc_id, 'Como navegar pelos resultados sem usar o mouse?',
+     $FAQ$Use as setas do teclado <kbd>↑</kbd> e <kbd>↓</kbd> para navegar entre os itens e <kbd>Enter</kbd> para abrir o selecionado. Pra fechar sem selecionar, use <kbd>Esc</kbd>.$FAQ$, 7, true),
+
+    (v_doc_id, 'Posso buscar documentos pelo nome do paciente?',
+     $FAQ$Sim. A busca de documentos cruza pelo nome do arquivo, descrição e <strong>nome do paciente vinculado</strong>. Ao clicar num resultado de documento, você é levado direto pra aba Documentos do prontuário daquele paciente.$FAQ$, 8, true),
+
+    (v_doc_id, 'Como limpar a lista de "Acessados recentemente"?',
+     $FAQ$Hoje não há um botão na interface — a lista é gerenciada automaticamente (limite de 5, mais antigo cai quando você acessa um novo). Pra limpar manualmente, você pode apagar os dados do site no seu navegador (Configurações → Privacidade → Limpar dados de navegação → escopo "localStorage").$FAQ$, 9, true),
+
+    (v_doc_id, 'A busca encontra sessões antigas ou só as de hoje?',
+     $FAQ$Encontra sessões de <strong>qualquer data</strong> — passadas e futuras. O grupo "Agenda de hoje" mostra apenas as do dia atual (preview rápido); o grupo "Sessões" inclui todas as outras encontradas no banco. Cada item mostra a data e horário da sessão.$FAQ$, 10, true),
+
+    (v_doc_id, 'Os atalhos (Agenda, Financeiro, etc.) sempre aparecem?',
+     $FAQ$Sim. Quando o campo está vazio, mostramos 4 atalhos padrão. Conforme você digita, os atalhos que combinam com sua busca permanecem visíveis (junto com os resultados do banco).$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-cronometro.sql

@@ -0,0 +1,168 @@
+-- Importacao da doc do Cronometro de sessao (Melissa)
+-- Gerado a partir de development/saas-docs/02-cronometro-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    -- 1) Cria a doc principal
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Cronômetro de sessão',
+        $HTML$<h2>Cronômetro de sessão</h2>
+
+<p>O <strong>cronômetro de sessão</strong> acompanha o tempo decorrido durante o atendimento e é integrado com a agenda. Quando aberto a partir de uma sessão em andamento, ele já vem com o paciente pré-selecionado e dispara automaticamente.</p>
+
+<h3>1. Três jeitos de abrir</h3>
+<ul>
+  <li>Pelo botão <strong>⏱</strong> ao lado do relógio gigante do dashboard (abre vazio, escolha o paciente — ou deixe como atividade livre)</li>
+  <li>Pelo botão <strong>⏱</strong> que aparece sobre os cards de sessão em curso na timeline horizontal/vertical do dashboard</li>
+  <li>Pelo CTA <strong>"Iniciar cronômetro"</strong> no card <em>"Próximo paciente"</em> quando a sessão está em andamento</li>
+</ul>
+<p>Os dois últimos pré-selecionam o paciente da sessão e disparam o timer automaticamente.</p>
+
+<h3>2. Sessão em curso na timeline</h3>
+<p>Quando uma sessão entra em andamento (horário atual entre início e fim do evento), aparece um ícone <strong>⏱</strong> pulsando no canto superior direito do card do evento. O pulso é sutil, em verde — só pra sinalizar que dá pra cronometrar dali.</p>
+
+<div style="display: flex; align-items: center; gap: 8px; background: #6366f1; color: white; padding: 4px 10px; border-radius: 4px; max-width: 320px; position: relative; margin: 12px 0; font-family: 'Segoe UI', sans-serif;">
+  <span style="font-size: 0.85rem; font-weight: 600;">11:00 – Larissa Almeida</span>
+  <span style="position: absolute; top: 3px; right: 3px; width: 22px; height: 22px; display: grid; place-items: center; background: rgba(0,0,0,0.45); border: 1px solid rgba(255,255,255,0.4); border-radius: 999px; color: white; box-shadow: 0 0 0 4px rgba(16,185,129,0.25);">
+    <i class="pi pi-stopwatch" style="font-size: 0.7rem;"></i>
+  </span>
+</div>
+
+<p>Clicar no <strong>⏱</strong> <strong>não abre o evento</strong> — abre o cronômetro pré-configurado pra essa sessão.</p>
+
+<h3>3. Programado vs tempo real</h3>
+<p>Quando aberto via timeline ou card "Próximo paciente", o cronômetro mostra o <strong>horário programado original da sessão</strong> sob o select de paciente. Se você abriu depois do horário previsto, aparece um badge laranja <strong>"atrasada X min"</strong>.</p>
+
+<div style="background: rgba(15,23,42,0.85); color: #cbd5e1; padding: 14px; border-radius: 10px; max-width: 360px; font-family: 'Segoe UI', sans-serif; margin: 12px 0;">
+  <label style="font-size: 0.62rem; text-transform: uppercase; letter-spacing: 0.15em; color: rgba(255,255,255,0.5); display: block; margin-bottom: 8px;">Paciente / atividade</label>
+  <div style="background: rgba(255,255,255,0.06); border: 1px solid rgba(255,255,255,0.15); padding: 9px 14px; border-radius: 10px; font-size: 0.9rem;">Larissa Almeida</div>
+  <div style="display: flex; align-items: center; gap: 6px; margin-top: 8px; padding: 4px 0;">
+    <i class="pi pi-calendar" style="font-size: 0.7rem; color: rgba(255,255,255,0.55);"></i>
+    <span style="font-size: 0.78rem; color: rgba(255,255,255,0.7);">Programado: 11:00 – 11:50</span>
+    <span style="margin-left: 4px; padding: 1px 8px; border-radius: 999px; background: rgba(251,146,60,0.18); color: rgb(253,186,116); font-size: 0.7rem; font-weight: 500; border: 1px solid rgba(251,146,60,0.35);">atrasada 8 min</span>
+  </div>
+</div>
+
+<p>⚠️ <strong>O cronômetro NÃO desconta o tempo de atraso automaticamente.</strong> Ele conta a duração configurada cheia (50min padrão) a partir do clique. A info "atrasada" é só pra você decidir se quer encerrar antes ou estender.</p>
+
+<h3>4. Anatomia do dialog</h3>
+<ul>
+  <li><strong>Header:</strong> rótulo "Cronômetro" + status (<em>Pronto</em> / <em>Em andamento</em> / <em>Pausado</em>)</li>
+  <li><strong>Botão Minimizar:</strong> recolhe pro chip no dock</li>
+  <li><strong>Botão X (Encerrar sem salvar):</strong> descarta a sessão (com confirmação se houver atividade)</li>
+  <li><strong>Select de paciente:</strong> pode trocar manualmente; opção <em>"— Atividade livre"</em> pra usos sem paciente</li>
+  <li><strong>Programado + badge de atraso:</strong> só aparece quando aberto via evento da agenda</li>
+  <li><strong>Display gigante mm:ss:</strong> vira vermelho quando passa do tempo planejado (mostra <code>-mm:ss</code>)</li>
+  <li><strong>±5 min:</strong> estende ou encurta o tempo configurado a qualquer momento</li>
+  <li><strong>Botão grande inferior:</strong> ▶ Começar / ⏹ Parar</li>
+</ul>
+
+<h3>5. Minimizar e restaurar</h3>
+<p>Click no <strong>botão minimizar</strong> (ou click fora do dialog) <strong>recolhe</strong> o cronômetro pra um <strong>chip flutuante no dock</strong> (canto inferior esquerdo, ao lado do ψ). O timer continua rodando em background. Click no chip restaura o dialog em tela cheia.</p>
+
+<div style="display: inline-flex; align-items: center; gap: 10px; padding: 8px 14px 8px 12px; background: rgba(15,23,42,0.85); border: 1px solid rgba(255,255,255,0.18); border-radius: 999px; color: #cbd5e1; font-family: 'Segoe UI', sans-serif; box-shadow: 0 8px 24px rgba(0,0,0,0.25); margin: 12px 0;">
+  <i class="pi pi-stopwatch" style="font-size: 0.85rem; color: #6ee7b7;"></i>
+  <span style="font-variant-numeric: tabular-nums; font-weight: 500; font-size: 0.85rem;">48:13</span>
+  <span style="font-size: 0.72rem; color: rgba(255,255,255,0.6); padding-left: 6px; border-left: 1px solid rgba(255,255,255,0.18);">Larissa Almeida</span>
+</div>
+
+<p>Em mobile (telas &lt;768px), o chip mostra só o ícone + tempo — sem o nome do paciente — pra caber no dock estreito. O nome continua acessível ao restaurar.</p>
+
+<h3>6. Parar (salva) vs Fechar (descarta)</h3>
+<p>Duas ações diferentes pra terminar — a escolha importa:</p>
+<ul>
+  <li><strong>⏹ Parar</strong> (botão grande inferior): encerra a contagem e <strong>SALVA o tempo decorrido no banco</strong> (evento <code>session-end</code> com elapsed em segundos). Caminho normal de fim de sessão.</li>
+  <li><strong>X Encerrar sem salvar</strong> (header): descarta. Pede <strong>confirmação</strong> se há sessão em andamento ou tempo decorrido — não fecha por acidente. Se o cronômetro está limpo (não iniciado, sem tempo), fecha direto.</li>
+  <li><strong>Click fora / Minimizar</strong>: NÃO encerra. Esconde o dialog e mantém o timer rodando como chip no dock.</li>
+</ul>
+
+<h3>7. Quando o tempo acaba</h3>
+<p>Aos <strong>50 minutos cronometrados</strong> (ou conforme configurado), o sistema toca um <strong>som curto</strong> uma única vez. O display vira <strong>vermelho</strong> e continua contando em negativo (mostra <code>-mm:ss</code>). <strong>Não há corte automático</strong> — você decide quando parar.</p>
+
+<p>O toque pode ser trocado em <strong>Configurações → Cronômetro → Som de término</strong>. Opções: sino, gong, soft, silêncio.</p>
+
+<h3>8. Persistência (reload-safe)</h3>
+<p>Se você fechar a aba ou recarregar o navegador com cronômetro ativo, ao voltar o sistema <strong>retoma exatamente de onde parou</strong> — descontando automaticamente o tempo passado entre fechar e abrir. O snapshot fica no <code>localStorage</code> do navegador, atualizado a cada mudança de estado.</p>
+
+<p><strong>Limite de segurança:</strong> se passar de 24h sem voltar à aba, o restore não acumula o tempo perdido (proteção contra mudanças do relógio do sistema).</p>
+
+<h3>9. Cronômetro já ativo</h3>
+<p>Existe <strong>um cronômetro por vez</strong>. Se você clicar no <strong>⏱</strong> de outra sessão enquanto há cronômetro rodando, o sistema mostra um toast <strong>"Cronômetro já ativo"</strong> com o nome do paciente atual — <strong>e não troca</strong>. Pare o cronômetro atual antes de iniciar outro.</p>
+
+<h3>10. Atividade livre (sem paciente)</h3>
+<p>Você pode abrir o cronômetro sem paciente (botão ⏱ do dashboard, sem clicar em evento específico) e selecionar <em>"— Atividade livre (sem paciente)"</em> no dropdown. Útil pra:</p>
+<ul>
+  <li>Pausa cronometrada</li>
+  <li>Pomodoro pessoal</li>
+  <li>Atendimento informal não cadastrado</li>
+</ul>
+<p>Atividade livre <strong>não emite session-end</strong> ao parar (não há paciente pra vincular o tempo).</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<p>Atualmente o componente <code>MelissaCronometro.vue</code> <strong>não tem atributos <code>id</code></strong> em seus elementos. Para o sistema de highlight da ajuda funcionar (links <code>data-highlight</code>), sugere-se adicionar:</p>
+<ul>
+  <li><code>id="crono-trigger-hero"</code> no botão ⏱ ao lado do relógio (<code>MelissaHeroClock.vue</code>)</li>
+  <li><code>id="crono-trigger-timeline"</code> nos botões ⏱ overlay (<code>MelissaTimelineHoje.vue</code>)</li>
+  <li><code>id="crono-dialog"</code> no panel principal (<code>.mc-panel</code>)</li>
+  <li><code>id="crono-stop-btn"</code> no botão Parar (caminho do salvamento)</li>
+  <li><code>id="crono-close-btn"</code> no X (caminho do descarte)</li>
+</ul>$HTML$,
+        'Sessão',
+        true,
+        'usuario',
+        '/melissa',
+        2,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    -- 2) Insere os 12 FAQ items vinculados
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como começo o cronômetro da Larissa que chegou agora pra sessão?',
+     $FAQ$Quando o horário programado da Larissa estiver dentro da janela do evento (já começou na agenda), aparece um botão <strong>⏱</strong> pulsando em verde no canto superior direito do card da sessão na timeline. Clique nele — o cronômetro abre com a Larissa pré-selecionada e <strong>já começa a contar automaticamente</strong>. Alternativa: clique no botão <em>"Iniciar cronômetro"</em> no card "Próximo paciente" do dashboard (mesmo efeito).$FAQ$, 0, true),
+
+    (v_doc_id, 'O cronômetro continua se eu fechar a aba do navegador?',
+     $FAQ$<strong>Sim.</strong> O estado é salvo no <code>localStorage</code> a cada mudança (paciente, play, pause, ajustes). Ao reabrir a aba (ou recarregar), o cronômetro retoma do ponto correto — o tempo passado entre fechar e abrir é descontado automaticamente. Limite: se passar de 24h, o sistema não acumula esse tempo (proteção contra mudanças do relógio do sistema).$FAQ$, 1, true),
+
+    (v_doc_id, 'Cliquei no X com sessão rodando, perdi o tempo?',
+     $FAQ$Não, o sistema <strong>pede confirmação antes</strong>. Quando há sessão em andamento ou tempo decorrido sem salvar, aparece um diálogo <em>"Encerrar sessão sem salvar?"</em>. Você precisa clicar em <strong>"Encerrar sem salvar"</strong> (botão vermelho) pra confirmar o descarte. Se o cronômetro estiver limpo (não iniciado, sem tempo), o X fecha direto — não há nada pra preservar.$FAQ$, 2, true),
+
+    (v_doc_id, 'Posso ter dois cronômetros rodando ao mesmo tempo?',
+     $FAQ$Não. Existe <strong>um cronômetro por vez</strong>. Se você clicar no <strong>⏱</strong> de outra sessão enquanto já há um cronômetro ativo, o sistema mostra um toast <em>"Cronômetro já ativo — sessão de X em andamento"</em> e <strong>não troca</strong>. Pare ou descarte o atual antes de iniciar outro.$FAQ$, 3, true),
+
+    (v_doc_id, 'O que significa o badge laranja "atrasada 8 min"?',
+     $FAQ$Significa que <strong>o cronômetro foi aberto 8 minutos depois do horário programado</strong> da sessão na agenda. Por exemplo: sessão programada pra 11:00, você inicia o cronômetro às 11:08. O badge é apenas informativo — o cronômetro continua contando a duração configurada cheia (50min padrão) a partir do clique. Você decide se vai encerrar antes pra terminar no horário previsto ou deixar rodar pra dar a sessão completa.$FAQ$, 4, true),
+
+    (v_doc_id, 'O cronômetro desconta o tempo de atraso automaticamente?',
+     $FAQ$<strong>Não.</strong> A decisão fica com você. Cada clínica e cada terapeuta tem uma política diferente pra atraso (alguns dão sessão cheia, outros encerram no horário programado, outros estendem). O cronômetro mostra a info do atraso pra você decidir, mas conta sempre a duração configurada cheia a partir do clique.$FAQ$, 5, true),
+
+    (v_doc_id, 'Que som toca quando o tempo acaba?',
+     $FAQ$Por padrão, um <strong>som de sino curto</strong>, uma única vez. Você pode trocar em <strong>Configurações → Cronômetro → Som de término</strong>. Opções: sino, gong, soft, silêncio. O som toca <strong>exatamente na transição</strong> de tempo positivo pra zero/negativo — não repete. Depois disso o display continua contando em negativo (vermelho) até você parar.$FAQ$, 6, true),
+
+    (v_doc_id, 'Como adiciono mais tempo na sessão sem reiniciar?',
+     $FAQ$Use os botões <strong>+5 min</strong> e <strong>-5 min</strong> ao redor do display gigante. Funcionam a qualquer momento — antes, durante ou depois do tempo acabar. Cada clique soma ou desconta 5 minutos. Se o tempo já está negativo (passou do limite), +5min volta a contagem pra positivo.$FAQ$, 7, true),
+
+    (v_doc_id, 'Onde fica salvo o tempo final da sessão?',
+     $FAQ$Quando você clica em <strong>⏹ Parar</strong>, o tempo cronometrado é gravado no banco vinculado à sessão da agenda (na tabela <code>agenda_eventos</code>, campo de duração real). Esse caminho é o oficial — <strong>fechar pelo X descarta sem salvar</strong>. Sessões com menos de 5 segundos cronometrados são ignoradas (proteção contra start/stop acidentais).$FAQ$, 8, true),
+
+    (v_doc_id, 'Posso usar o cronômetro pra coisas que não são sessão de paciente?',
+     $FAQ$Sim. Selecione <em>"— Atividade livre (sem paciente)"</em> no dropdown de paciente. Útil pra pausa cronometrada, pomodoro pessoal, atendimento informal não cadastrado. Atividade livre <strong>não dispara session-end</strong> ao parar — não há paciente pra vincular o tempo no DB.$FAQ$, 9, true),
+
+    (v_doc_id, 'Como minimizo o cronômetro pra continuar trabalhando?',
+     $FAQ$Clique no botão <strong>minimizar</strong> no header (ícone <code>—</code>) ou simplesmente <strong>clique fora do dialog</strong>. O cronômetro vira um chip flutuante no dock (canto inferior esquerdo, ao lado do ψ) e continua contando em background. Pra restaurar: clique no chip. Em mobile, o chip mostra só ícone + tempo (sem nome) pra caber no dock estreito.$FAQ$, 10, true),
+
+    (v_doc_id, 'Como mudo o paciente no cronômetro já aberto?',
+     $FAQ$Basta clicar no <strong>select de paciente</strong> e escolher outro. A troca é imediata — não reinicia o tempo decorrido (a contagem continua igual). Útil quando você abriu o cronômetro no paciente errado e quer corrigir sem perder o tempo já contado. Mas atenção: o <em>session-end</em> ao parar vai vincular o tempo ao paciente que estiver selecionado <em>no momento da parada</em>.$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-documentos-paciente.sql

@@ -0,0 +1,173 @@
+-- Importacao da doc da aba Documentos do paciente (Fase 2)
+-- Gerado a partir de development/saas-docs/03-documentos-paciente-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Documentos do paciente',
+        $HTML$<h2>Documentos do paciente</h2>
+
+<p>A aba <strong>Documentos</strong> do prontuário (em <code>/melissa/paciente?id=...&amp;tab=documentos</code>) centraliza tudo que está vinculado àquele paciente: arquivos enviados por upload, documentos gerados a partir de templates (atestados, declarações, recibos, laudos…), e tudo que precisa ser compartilhado ou assinado.</p>
+
+<h3>1. Layout 2-col</h3>
+<p>A página tem 2 colunas:</p>
+<ul>
+  <li><strong>Sidebar esquerda (~240px):</strong> lista de tipos de documento com contadores. Click num tipo filtra a lista. "Todos" mostra tudo.</li>
+  <li><strong>Main direita:</strong> grid de cards dos documentos do tipo selecionado, com paginação a partir de 12 itens.</li>
+</ul>
+<p>No <strong>mobile</strong> (&lt;1024px), a sidebar vira um drawer acessado pelo botão "Tipos" no header.</p>
+
+<h3>2. Toolbar (header)</h3>
+<p>3 botões no topo:</p>
+<ul>
+  <li><strong>↻ Atualizar:</strong> refetch da lista (ícone spinner quando carregando)</li>
+  <li><strong>📄 Gerar:</strong> abre o dialog de geração a partir de template (vide seção 5)</li>
+  <li><strong>⬆ Upload</strong> (botão primário): abre o dialog de envio de arquivo (vide seção 3)</li>
+</ul>
+
+<h3>3. Upload de arquivo</h3>
+<p>Click no botão <strong>Upload</strong> abre um dialog que aceita:</p>
+<ul>
+  <li><strong>Drag-and-drop</strong> ou seleção manual</li>
+  <li>Formatos: PDF, imagens (JPG, PNG, WebP), Word, Excel, texto</li>
+  <li>Metadados opcionais: <strong>tipo</strong>, <strong>categoria</strong>, <strong>descrição</strong>, <strong>tags</strong>, <strong>visibilidade</strong> (privado / compartilhado supervisor / compartilhado portal paciente)</li>
+</ul>
+<p>Após o upload, o arquivo aparece na lista do tipo escolhido (ou "Outro" se você não selecionou).</p>
+
+<h3>4. Tipos de documento (sidebar)</h3>
+<p>Cada documento é classificado em um tipo. Tipos disponíveis:</p>
+<ul>
+  <li><strong>Laudo</strong> — laudo psicológico, parecer</li>
+  <li><strong>Atestado</strong> — atestado psicológico</li>
+  <li><strong>Declaração</strong> — comparecimento, início de tratamento, encaminhamento</li>
+  <li><strong>Recibo</strong> — recibos de pagamento gerados</li>
+  <li><strong>Receita</strong> — receituários (uso raro em psicologia)</li>
+  <li><strong>Exame</strong> — laudos/resultados de exames trazidos pelo paciente</li>
+  <li><strong>Termo assinado</strong> — TCLE, autorizações</li>
+  <li><strong>Relatório externo</strong> — relatórios de acompanhamento gerados</li>
+  <li><strong>Identidade</strong> — RG, CPF, CNH (cópias)</li>
+  <li><strong>Convênio</strong> — carteirinhas, autorizações de convênio</li>
+  <li><strong>Outro</strong> — fallback pra tudo que não se encaixa nos tipos acima</li>
+</ul>
+<p>O contador ao lado de cada tipo mostra quantos docs daquele tipo o paciente tem. Tipos vazios ficam com opacidade reduzida.</p>
+
+<h3>5. Gerar a partir de template</h3>
+<p>Click no botão <strong>Gerar</strong> abre o <em>DocumentGenerateDialog</em> em 3 passos:</p>
+<ol>
+  <li><strong>Selecionar template:</strong> grid com todos os templates ativos (globais + do tenant). Click num card seleciona.</li>
+  <li><strong>Editar variáveis:</strong> os campos do template aparecem com FloatLabel. Variáveis que vêm do sistema (nome do paciente, CRP do terapeuta, CNPJ da clínica etc) já vêm preenchidas automaticamente. Banner no topo conta "X de Y preenchidos". Campos vazios mostram um hint embaixo explicando onde cadastrar o dado (ex: <em>"Perfil → Registro Profissional"</em>).</li>
+  <li><strong>Preview:</strong> iframe sandboxed renderizando o HTML do template com as vars substituídas. Daqui você pode voltar pra editar, só baixar o PDF (sem salvar no sistema), ou salvar como documento do paciente.</li>
+</ol>
+
+<div style="background: rgba(34,197,94,0.08); border: 1px solid rgba(34,197,94,0.25); border-radius: 10px; padding: 12px 14px; margin: 14px 0; font-size: 0.85rem; color: var(--text-color);">
+  <strong>💡 Auto-fill cobre:</strong> dados do paciente, terapeuta (incluindo registro profissional formatado tipo "CRP 12345/SP"), clínica/tenant (incluindo CNPJ formatado), data atual em formato curto e por extenso, e — se a sessão for vinculada — valor da sessão em número e por extenso.
+</div>
+
+<h3>6. Editar um documento gerado (re-edição in-place)</h3>
+<p>Documentos gerados a partir de template podem ser <strong>re-editados</strong> mantendo o mesmo registro (ID, audit trail e link com o paciente preservados). Click em <strong>Editar</strong> no card do doc ou na sidebar do preview:</p>
+
+<ol>
+  <li>O sistema busca o template original + os valores que você usou na primeira geração</li>
+  <li>Abre o dialog em modo edição (header amber "Editar documento") pulando direto pro passo 2 (variáveis pré-preenchidas)</li>
+  <li>Você ajusta o que precisar → Preview → <strong>Substituir documento</strong></li>
+  <li>O PDF é regenerado e substitui o anterior no Storage; o doc fica com o mesmo ID, audit trail intacto</li>
+</ol>
+
+<p><strong>Documento legado</strong> (sem registro de geração ou que era um upload): o dialog mostra um toast e cai no fluxo normal de "selecione um template". Ao salvar, ele linka o doc existente ao novo template/valores.</p>
+
+<h3>7. Preview do documento</h3>
+<p>Click num card abre o <em>DocumentPreviewDialog</em>:</p>
+<ul>
+  <li><strong>Preview inline:</strong> iframe pra PDF, imagem renderizada direto, fallback "Preview não disponível" pra outros formatos</li>
+  <li><strong>Sidebar de detalhes</strong> (direita): tipo, categoria, visibilidade, descrição, tags</li>
+  <li><strong>5 botões de ação</strong> no rodapé da sidebar:
+    <ul>
+      <li><strong>Baixar</strong> — download direto do arquivo</li>
+      <li><strong>Editar</strong> — abre o generate dialog em modo edição (seção 6)</li>
+      <li><strong>Compartilhar</strong> — gera link compartilhável (seção 8)</li>
+      <li><strong>Assinar</strong> — fluxo de assinatura eletrônica (seção 9)</li>
+      <li><strong>Excluir</strong> (vermelho) — soft-delete com confirmação</li>
+    </ul>
+  </li>
+</ul>
+
+<h3>8. Compartilhar</h3>
+<p>Gera um link público temporário pro paciente acessar o documento sem precisar de login. Configurável:</p>
+<ul>
+  <li>Tempo de expiração (1h, 24h, 7 dias, custom)</li>
+  <li>Senha opcional</li>
+  <li>Permitir download ou só visualização</li>
+</ul>
+<p>O status compartilhado fica visível na sidebar de detalhes do preview.</p>
+
+<h3>9. Assinar</h3>
+<p>Fluxo de assinatura eletrônica (modal). O documento original recebe uma <strong>página adicional de assinatura</strong> com timestamp e identificação do signatário. A assinatura é registrada em <code>document_signatures</code> com hash do conteúdo original (proof of integrity).</p>
+
+<h3>10. Excluir e recuperar</h3>
+<p>Excluir é <strong>soft-delete</strong>: o documento ganha <code>deleted_at</code> mas o arquivo permanece no Storage e o registro fica preservado por <strong>5 anos</strong> (compliance LGPD/CFP). Pra recuperar, vá em <strong>Configurações → Lixo de documentos</strong>.</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<p>O componente <code>MelissaPatientDocuments.vue</code> reusa do <code>features/documents</code>:</p>
+<ul>
+  <li><code>useDocuments</code> — composable de fetch/CRUD/URLs assinadas</li>
+  <li><code>DocumentCard</code>, <code>DocumentUploadDialog</code>, <code>DocumentPreviewDialog</code>, <code>DocumentGenerateDialog</code>, <code>DocumentSignatureDialog</code>, <code>DocumentShareDialog</code></li>
+</ul>
+<p>O linkage <code>document_generated.documento_id</code> (FK pra <code>documents</code>) é o que viabiliza a re-edição in-place. Docs gerados antes da migration de linkage precisam do backfill SQL em <code>database-novo/tmp/backfill-document-generated-link.sql</code>.</p>$HTML$,
+        'Documentos',
+        true,
+        'usuario',
+        '/melissa/paciente',
+        3,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como envio um documento que já existe (PDF/imagem do paciente)?',
+     $FAQ$Na aba <strong>Documentos</strong> do prontuário, click no botão <strong>Upload</strong> (azul, no canto superior direito). Você pode arrastar o arquivo pra área do dialog ou clicar pra selecionar. Antes de enviar, preencha o tipo, descrição e tags se quiser — assim o doc já vai pra categoria certa na sidebar.$FAQ$, 0, true),
+
+    (v_doc_id, 'Como gero um documento (atestado, declaração, recibo) a partir de template?',
+     $FAQ$Click no botão <strong>Gerar</strong> no header da aba Documentos do paciente. O dialog abre em 3 passos: (1) escolha o template, (2) confira as variáveis pré-preenchidas (e ajuste se necessário), (3) preview e <em>Salvar documento</em>. O PDF é gerado e salvo automaticamente no prontuário.$FAQ$, 1, true),
+
+    (v_doc_id, 'As variáveis (CRP, nome, CNPJ etc) preenchem sozinhas mesmo?',
+     $FAQ$Sim, sempre que possível. O sistema busca: dados do paciente (nome, CPF, RG, endereço, telefone, email…), do terapeuta (nome, email, telefone, e o registro profissional formatado tipo <em>CRP 12345/SP</em>), da clínica (nome, endereço, telefone, CNPJ formatado), data atual em formato curto e por extenso. Se você abriu o gerador a partir de uma sessão, os dados da sessão (valor, data) também entram. Campos vazios mostram embaixo um hint dizendo onde cadastrar o dado faltante.$FAQ$, 2, true),
+
+    (v_doc_id, 'Posso editar um documento gerado sem refazer tudo do zero?',
+     $FAQ$Sim. Click em <strong>Editar</strong> no card do documento (ou na sidebar do preview). O dialog abre em <em>modo edição</em> com o template original já selecionado e <strong>todos os valores que você usou anteriormente preenchidos</strong>. Você ajusta o que precisa, confere o preview e click em <em>Substituir documento</em>. O PDF é regenerado e substitui o anterior, mas o ID e o audit trail do doc continuam os mesmos.$FAQ$, 3, true),
+
+    (v_doc_id, 'Posso editar um documento que foi feito por upload (não por template)?',
+     $FAQ$Sim, mas o fluxo é diferente: como não há template original, o sistema mostra um aviso e abre o dialog em modo "selecione um template". Ao salvar, ele <strong>substitui o arquivo enviado por um PDF gerado</strong> e linka ao novo template. Útil pra "converter" um upload manual em algo padronizado. Se você só quer trocar o arquivo, exclua o doc e faça upload do novo.$FAQ$, 4, true),
+
+    (v_doc_id, 'Como compartilho um documento com o paciente sem ele precisar logar?',
+     $FAQ$No preview, click em <strong>Compartilhar</strong>. Um dialog gera um link público temporário com opção de tempo de expiração (1h, 24h, 7 dias, custom) e senha opcional. O paciente acessa pelo link, sem login. O status fica visível na sidebar de detalhes do doc.$FAQ$, 5, true),
+
+    (v_doc_id, 'Como assino eletronicamente um documento?',
+     $FAQ$No preview, click em <strong>Assinar</strong>. O fluxo adiciona uma página de assinatura ao PDF com timestamp e identificação. A assinatura é registrada com hash do conteúdo original — qualquer alteração posterior invalida a integridade. Ideal pra laudos, declarações e atestados que precisam de validade legal.$FAQ$, 6, true),
+
+    (v_doc_id, 'Excluí um documento por engano, dá pra recuperar?',
+     $FAQ$Sim. Exclusão é <strong>soft-delete</strong> — o documento ganha um marcador <code>deleted_at</code> mas continua no banco e o arquivo permanece no Storage. Pra recuperar, vá em <strong>Configurações → Lixo de documentos</strong>. O período de retenção é de <strong>5 anos</strong> (compliance LGPD e regulamentação CFP), depois o arquivo é purgado permanentemente.$FAQ$, 7, true),
+
+    (v_doc_id, 'Por que alguns documentos aparecem na categoria "Outro"?',
+     $FAQ$Documentos enviados por upload sem tipo definido caem em "Outro" automaticamente. Documentos gerados a partir de templates cujo tipo não está mapeado pras categorias padrão (declarações, atestados, laudos, etc) também — exemplos: contrato de prestação de serviços, autorização para gravação, termo de consentimento. Você pode mover o doc pra outra categoria editando o tipo na hora do upload ou via menu de ações no card.$FAQ$, 8, true),
+
+    (v_doc_id, 'Quais formatos de arquivo posso fazer upload?',
+     $FAQ$PDF, imagens (JPG, PNG, WebP, GIF), documentos Office (DOCX, XLSX, PPTX), texto simples (TXT, CSV) e formatos compactados (ZIP). Pra qualquer formato fora dessa lista, salve como PDF antes. O preview inline só funciona pra PDF e imagens — outros formatos mostram a opção "Baixar arquivo" no lugar.$FAQ$, 9, true),
+
+    (v_doc_id, 'Como o sistema garante que o documento não vaza pra outros profissionais?',
+     $FAQ$Cada documento tem um campo de <strong>visibilidade</strong>: <em>Privado</em> (só você vê), <em>Compartilhado com supervisor</em> (você + seu supervisor) ou <em>Compartilhado com portal do paciente</em> (o paciente também vê pelo portal). O default é Privado. RLS (Row Level Security) no banco bloqueia leitura por terceiros, independente da visibilidade. URLs do Storage são assinadas e expiram em 1h.$FAQ$, 10, true),
+
+    (v_doc_id, 'Os botões da sidebar do preview (Baixar/Editar/Compartilhar/Assinar/Excluir) não funcionavam, foi corrigido?',
+     $FAQ$Sim. Bug conhecido até 2026-05-22: o <code>DocumentPreviewDialog</code> emitia os 5 eventos mas o componente pai não os escutava, então nada acontecia ao clicar. Agora todos os 5 botões funcionam normalmente e o de Editar abre o dialog de geração em modo edição.$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-documentos-templates.sql

@@ -0,0 +1,122 @@
+-- Importacao da doc da pagina de Templates de documentos (Fase 2)
+-- Gerado a partir de development/saas-docs/04-documentos-templates-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Templates de documentos',
+        $HTML$<h2>Templates de documentos</h2>
+
+<p>A página <strong>Templates de documentos</strong> (acessível pelo menu Prontuários → Templates de documentos, ou diretamente em <code>/melissa/documentos-templates</code>) é onde você gerencia os modelos usados pra gerar atestados, declarações, recibos, laudos e outros documentos clínicos.</p>
+
+<h3>1. Globais vs Tenant (Seus templates)</h3>
+<p>A lista é dividida em 2 grupos:</p>
+<ul>
+  <li><strong>Templates padrão (globais)</strong> — vêm pré-instalados com o sistema (Declaração de Comparecimento, Atestado Psicológico, Recibo de Pagamento, Laudo Psicológico, Parecer, Encaminhamento, etc). São <strong>read-only</strong> — você não pode editar nem desativar, mas pode duplicar pra personalizar.</li>
+  <li><strong>Seus templates (tenant)</strong> — os que você criou ou duplicou. Editáveis, removíveis (desativação soft-delete).</li>
+</ul>
+<p>Todos os templates ativos do tenant (globais + seus) ficam disponíveis na hora de gerar um documento pro paciente.</p>
+
+<h3>2. Lista de templates</h3>
+<p>Cards em grid mostrando: nome, tipo, descrição, badge "padrão" pros globais. No card de cada template do tenant há um menu de 3 pontos com: <strong>Duplicar</strong>, <strong>Editar</strong>, <strong>Desativar</strong>. Pros globais, só <strong>Duplicar</strong> (e click no card abre a Preview).</p>
+
+<h3>3. Preview de template global (read-only)</h3>
+<p>Click num template padrão abre a Preview — iframe sandbox renderizando o HTML completo (cabeçalho + corpo + rodapé) com estilos de A4 simulando o PDF final. Header tem botão <strong>Duplicar</strong> pra você levar pros seus templates.</p>
+
+<h3>4. Criar novo template</h3>
+<p>Botão <strong>+ Novo template</strong> abre o editor em modo "create". Campos:</p>
+<ul>
+  <li><strong>Nome</strong> e <strong>tipo</strong> (declaração, atestado, recibo, laudo, etc) — define a categoria do documento gerado</li>
+  <li><strong>Descrição</strong> opcional — aparece na lista</li>
+  <li><strong>Cabeçalho</strong> (top fixo) — geralmente nome da clínica, endereço, CNPJ</li>
+  <li><strong>Corpo</strong> (conteúdo principal) — o texto do documento com variáveis interpoladas</li>
+  <li><strong>Rodapé</strong> (bottom fixo) — assinatura, contato, observações</li>
+</ul>
+
+<h3>5. Editor rich-text + variáveis</h3>
+<p>Cada bloco (cabeçalho/corpo/rodapé) tem editor WYSIWYG com formatação, listas, tabelas e inserção de imagens. Ao clicar no botão de <strong>variáveis</strong>, abre um menu com todas as variáveis disponíveis. Click numa insere <code>{{nome_da_variavel}}</code> no cursor.</p>
+
+<div style="background: rgba(99,102,241,0.08); border: 1px solid rgba(99,102,241,0.25); border-radius: 10px; padding: 12px 14px; margin: 14px 0; font-size: 0.85rem; color: var(--text-color);">
+  <strong>💡 Variáveis disponíveis:</strong> <code>{{paciente_nome}}</code>, <code>{{paciente_cpf}}</code>, <code>{{paciente_rg}}</code>, <code>{{paciente_email}}</code>, <code>{{terapeuta_nome}}</code>, <code>{{terapeuta_registro}}</code> (CRP 12345/SP formatado), <code>{{terapeuta_telefone}}</code>, <code>{{clinica_nome}}</code>, <code>{{clinica_cnpj}}</code>, <code>{{data_atual}}</code>, <code>{{data_atual_extenso}}</code>, e — se gerado a partir de sessão — <code>{{valor}}</code>, <code>{{valor_extenso}}</code>, <code>{{data_sessao}}</code>. Lista completa no dropdown do editor.
+</div>
+
+<h3>6. Mobile (drawer pros templates)</h3>
+<p>Em telas &lt;1024px a lista vira um drawer com botão "Templates" no header. Click num item fecha o drawer e mostra o preview/editor ocupando a tela toda.</p>
+
+<h3>7. Duplicar</h3>
+<p>Duplicar copia o template (incluindo cabeçalho, corpo, rodapé e variáveis) pra <em>Seus templates</em> com sufixo <em>"(cópia)"</em> no nome. Você edita à vontade depois.</p>
+
+<h3>8. Desativar (soft-delete)</h3>
+<p>Templates do tenant podem ser <strong>desativados</strong> (não excluídos). Ficam marcados com <code>ativo = false</code> e somem da lista padrão e do dropdown de geração — mas o registro permanece no banco, e documentos antigos gerados a partir desse template continuam acessíveis. Pra reativar, marque "incluir desativados" no filtro (futuro — atualmente só via DB).</p>
+
+<h3>9. Tipos de template</h3>
+<p>Cada template tem um <strong>tipo</strong>. O tipo determina automaticamente qual categoria o documento gerado terá no prontuário do paciente:</p>
+<ul>
+  <li><code>declaracao_comparecimento</code>, <code>declaracao_inicio_tratamento</code>, <code>encaminhamento</code> → categoria <strong>Declaração</strong></li>
+  <li><code>atestado_psicologico</code> → categoria <strong>Atestado</strong></li>
+  <li><code>laudo_psicologico</code>, <code>parecer_psicologico</code> → categoria <strong>Laudo</strong></li>
+  <li><code>recibo_pagamento</code> → categoria <strong>Recibo</strong></li>
+  <li><code>relatorio_acompanhamento</code> → categoria <strong>Relatório externo</strong></li>
+  <li>Outros tipos (<code>termo_consentimento</code>, <code>contrato_servicos</code>, <code>autorizacao_*</code>, <code>outro</code>) → categoria <strong>Outro</strong></li>
+</ul>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<p>O componente <code>MelissaDocumentosTemplates.vue</code> reusa <code>useDocumentTemplates</code> + <code>DocumentTemplateEditor</code>. A lista de tipos vem do composable (<code>TIPOS_TEMPLATE</code>). O mapeamento tipo de template → tipo do documento gerado vive em <code>DocumentGenerate.service.js</code> (<code>TEMPLATE_TYPE_TO_DOC_TYPE</code>). RLS no banco: templates globais (<code>is_global = true</code>) tem leitura aberta; templates do tenant respeitam <code>tenant_id</code>.</p>$HTML$,
+        'Documentos',
+        true,
+        'usuario',
+        '/melissa/documentos-templates',
+        4,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Pra que serve a página de Templates?',
+     $FAQ$Pra você gerenciar os <strong>modelos</strong> que serão usados na hora de gerar atestados, declarações, recibos, laudos e outros documentos clínicos. Cada template tem cabeçalho, corpo e rodapé com variáveis interpoladas (nome do paciente, CRP, data, etc) — quando você usa o botão <em>Gerar</em> num prontuário, é um desses templates que está sendo aplicado.$FAQ$, 0, true),
+
+    (v_doc_id, 'Por que não consigo editar os templates padrão (com badge "padrão")?',
+     $FAQ$Templates marcados como <strong>globais</strong> (badge azul "padrão") vêm pré-instalados com o sistema e são compartilhados entre todos os tenants. Não dá pra editar pra preservar a versão de referência. Pra personalizar um, click em <strong>Duplicar</strong> — uma cópia vai pra <em>Seus templates</em> e ali você edita à vontade.$FAQ$, 1, true),
+
+    (v_doc_id, 'Como uso uma variável no template?',
+     $FAQ$No editor (cabeçalho, corpo ou rodapé), posicione o cursor onde quer a variável e clique no botão de <strong>variáveis</strong> na barra de ferramentas. Um menu lista todas as variáveis disponíveis agrupadas por categoria. Click numa variável insere <code>{{nome_da_variavel}}</code> no cursor. Na hora de gerar o documento, esse placeholder é substituído pelo valor real.$FAQ$, 2, true),
+
+    (v_doc_id, 'Quais variáveis estão disponíveis?',
+     $FAQ$Agrupadas por categoria — <strong>Paciente:</strong> nome, CPF, RG, data nascimento, email, telefone, endereço. <strong>Terapeuta:</strong> nome, email, telefone, registro profissional (formatado tipo "CRP 12345/SP"), tipo/número/UF do registro separados. <strong>Clínica:</strong> nome, endereço, telefone, CNPJ. <strong>Sessão:</strong> data, hora, valor, valor por extenso, forma de pagamento, modalidade. <strong>Geral:</strong> data atual, data atual por extenso. Lista completa visível no menu de variáveis do editor.$FAQ$, 3, true),
+
+    (v_doc_id, 'Posso recuperar um template que eu desativei?',
+     $FAQ$Sim, mas hoje só via banco de dados (administrador). Desativar é <strong>soft-delete</strong>: o template ganha <code>ativo = false</code> e some da lista. Documentos antigos gerados com ele continuam acessíveis. Em versões futuras teremos um filtro "mostrar desativados" pra reativar via UI.$FAQ$, 4, true),
+
+    (v_doc_id, 'Como duplico um template padrão pra personalizar?',
+     $FAQ$Click no card do template padrão pra abrir a <strong>Preview</strong>. No header da preview tem um botão <strong>Duplicar</strong>. Confirme — a cópia aparece em <em>Seus templates</em> com sufixo "(cópia)" no nome. Em seguida click em <strong>Editar</strong> nessa cópia pra ajustar texto, variáveis, cabeçalho, rodapé.$FAQ$, 5, true),
+
+    (v_doc_id, 'Qual a diferença prática entre template Global e do Tenant?',
+     $FAQ$Globais são compartilhados entre todos os tenants (vêm com o sistema) e são <strong>read-only</strong>. Templates do tenant pertencem só à sua clínica/conta e são editáveis. Ambos aparecem juntos na hora de gerar um documento — você não precisa duplicar pra usar um global, só pra personalizar. Se um global atende, use direto.$FAQ$, 6, true),
+
+    (v_doc_id, 'Posso usar imagens no template (logo da clínica, assinatura digitalizada)?',
+     $FAQ$Sim. O editor aceita inserção de imagens via toolbar. Recomendado: PNG ou JPG com tamanho moderado (logo até 200x80px, assinatura até 300x120px). Imagens muito grandes inflam o PDF gerado. Pra incluir o logo da clínica, prefira colocar no <strong>cabeçalho</strong> — assim aparece no topo de toda página do PDF.$FAQ$, 7, true),
+
+    (v_doc_id, 'O cabeçalho e rodapé aparecem em todas as páginas do PDF?',
+     $FAQ$Sim. O renderizador usa CSS <code>@page</code> com cabeçalho fixo no topo e rodapé fixo no rodapé de cada página gerada. Documentos curtos (1 página) você não percebe; documentos longos (laudos extensos) repetem cabeçalho/rodapé automaticamente. Útil pra manter identificação da clínica em todas as folhas.$FAQ$, 8, true),
+
+    (v_doc_id, 'Como sei se um template tem variável obrigatória?',
+     $FAQ$Hoje não há marcação "obrigatória" — todas as variáveis declaradas no template aparecem como editáveis na hora de gerar. Se uma vier vazia (porque não cadastrou no perfil/paciente/etc), o sistema mostra um hint embaixo do campo dizendo onde cadastrar (ex: <em>"Perfil → Registro Profissional"</em>). Você pode gerar mesmo com vazias — o placeholder fica como <code>{{variavel}}</code> no PDF, mas isso quase nunca é desejado.$FAQ$, 9, true),
+
+    (v_doc_id, 'Tem limite de templates por tenant?',
+     $FAQ$Não há limite hard no banco. Em planos free pode haver limite por contrato (verifique seu plano em Configurações → Plano). Recomendado manter o conjunto enxuto (10-20 templates) pra não poluir o dropdown na hora de gerar — se você não usa, desative.$FAQ$, 10, true),
+
+    (v_doc_id, 'Os templates são compartilhados entre os terapeutas do mesmo tenant?',
+     $FAQ$Sim. Todos os templates do tenant ficam disponíveis pra todos os usuários ativos do mesmo tenant (clínica). Quem cria/edita pode ser qualquer um com permissão de edição — não há "templates privados por usuário" no momento. Se precisar isolar templates por terapeuta, organize por nome (ex: "Atestado · Dra. Ana").$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-recibo-profissional.sql

@@ -0,0 +1,143 @@
+-- Importacao da doc Emissao de recibo profissional (Fase 4 #14)
+-- Gerado a partir de development/saas-docs/06-recibo-profissional-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Emissão de recibo profissional',
+        $HTML$<h2>Emissão de recibo profissional</h2>
+
+<p>Quando uma sessão é registrada como <strong>paga</strong>, o sistema oferece um botão <em>Emitir recibo</em> que gera um PDF profissional pré-preenchido com todos os dados do paciente, terapeuta, clínica e da sessão — sem precisar passar pelo fluxo "Gerar a partir de template" manual.</p>
+
+<h3>1. Quando o botão aparece</h3>
+<p>O botão <strong>Emitir recibo</strong> (outlined, ícone PDF) aparece no <em>painel financeiro do evento</em> (<code>AgendaEventoFinanceiroPanel</code>) — dentro do modal de uma sessão — somente quando:</p>
+<ul>
+  <li>A sessão tem um <strong>financial_record vinculado</strong> (foi gerada cobrança via "Receber")</li>
+  <li>O status do record é <strong><code>paid</code></strong> (pagamento já registrado)</li>
+</ul>
+<p>Em sessões de pacote (status='contrato'), sem cobrança gerada, pendente, ou cancelada — o botão não aparece. Use o fluxo manual de <em>Gerar</em> na aba Documentos pra emitir recibos de casos especiais.</p>
+
+<h3>2. O que o recibo traz preenchido automaticamente</h3>
+<ul>
+  <li><strong>Paciente:</strong> nome, CPF, RG (do cadastro do paciente)</li>
+  <li><strong>Sessão:</strong> data e hora, modalidade</li>
+  <li><strong>Valor:</strong> número (R$ 150,00) <strong>e por extenso</strong> ("cento e cinquenta reais")</li>
+  <li><strong>Forma de pagamento:</strong> PIX, dinheiro, cartão, maquininha, etc — vindo do financial_record</li>
+  <li><strong>Terapeuta:</strong> nome completo + registro profissional formatado ("CRP 12345/SP")</li>
+  <li><strong>Clínica:</strong> nome, endereço, telefone, CNPJ formatado</li>
+  <li><strong>Data atual:</strong> em formato curto (22/05/2026) e por extenso ("22 de maio de 2026")</li>
+</ul>
+
+<h3>3. Registro profissional genérico</h3>
+<p>O sistema suporta <strong>qualquer conselho profissional</strong>, não só CRP. A formatação é automática a partir do que está cadastrado no <em>Perfil → Registro Profissional</em>:</p>
+<ul>
+  <li><strong>CRP</strong> 12345/SP (psicologia)</li>
+  <li><strong>CRM</strong> 67890/RJ (medicina)</li>
+  <li><strong>CRFa</strong> 11111/MG (fonoaudiologia)</li>
+  <li><strong>CREFITO</strong> 22222/SP (fisioterapia)</li>
+  <li><strong>CRESS</strong> 33333/RS (serviço social)</li>
+  <li><strong>CRN</strong> 44444/SP (nutrição)</li>
+  <li>Ou personalizado via tipo "Outro" + nome livre</li>
+</ul>
+<p>No template, a variável <code>{{terapeuta_registro}}</code> sempre traz o registro formatado, independente do conselho. Tem também variáveis individuais: <code>{{terapeuta_registro_tipo}}</code>, <code>{{terapeuta_registro_numero}}</code>, <code>{{terapeuta_registro_uf}}</code> pra uso fino.</p>
+
+<h3>4. Valor por extenso</h3>
+<p>Helper interno (<code>src/utils/valorExtenso.js</code>) converte número pra extenso em pt-BR completo até 999 milhões:</p>
+
+<div style="background: rgba(99,102,241,0.06); border: 1px solid rgba(99,102,241,0.2); border-radius: 10px; padding: 12px 14px; margin: 12px 0; font-family: 'IBM Plex Mono', monospace; font-size: 0.82rem;">
+  <strong>R$ 1,00</strong> → "um real"<br>
+  <strong>R$ 150,00</strong> → "cento e cinquenta reais"<br>
+  <strong>R$ 1.234,56</strong> → "mil duzentos e trinta e quatro reais e cinquenta e seis centavos"<br>
+  <strong>R$ 0,50</strong> → "cinquenta centavos"<br>
+  <strong>R$ 1.000.000,00</strong> → "um milhão de reais"
+</div>
+
+<p>Pluralização correta (real/reais, centavo/centavos), tratamento de centavos isolados ("R$ 0,X"), milhar com "mil" sem "um", milhão/milhões.</p>
+
+<h3>5. Onde o recibo é salvo</h3>
+<p>Ao clicar <strong>Emitir recibo</strong>:</p>
+<ol>
+  <li>Sistema busca o template global <code>recibo_pagamento</code></li>
+  <li>Carrega todas as variáveis (auto-fill descrito acima)</li>
+  <li>Gera o PDF</li>
+  <li>Faz upload pro bucket <code>generated-docs</code></li>
+  <li>Insere registros em <code>documents</code> e <code>document_generated</code> (com linkage)</li>
+  <li>Dispara <strong>download</strong> automático no browser</li>
+  <li>Toast "Recibo emitido — PDF baixado e salvo nos documentos do paciente"</li>
+</ol>
+<p>O recibo aparece na aba <em>Documentos</em> do prontuário do paciente sob a categoria <strong>Recibo</strong>. Pode ser editado in-place, compartilhado ou assinado eletronicamente normalmente.</p>
+
+<h3>6. Quick path vs flow manual</h3>
+<p>São <strong>2 caminhos</strong> pra gerar o mesmo PDF:</p>
+<ul>
+  <li><strong>Quick path</strong> (este): clica num botão e pronto. Recibo da sessão paga, valor exato do record, forma de pagamento idem.</li>
+  <li><strong>Flow manual</strong>: aba Documentos → Gerar → escolhe template "Recibo de Pagamento" → edita valores manualmente → preview → salva.</li>
+</ul>
+<p>Use o quick path no fluxo normal. Use o manual quando precisar emitir recibo de algo que não está vinculado a sessão (consulta avulsa) ou quando precisar ajustar valores.</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<ul>
+  <li><strong>Service:</strong> <code>emitirReciboParaSessao(eventoId, { patientId?, valor?, formaPagamento? })</code> em <code>DocumentGenerate.service.js</code>. Quick path one-call: busca template, carrega vars, gera, salva, download.</li>
+  <li><strong>Helper extenso:</strong> <code>src/utils/valorExtenso.js</code> — pt-BR até 999 milhões. Atenção: zero retorna "zero reais", inputs inválidos retornam string vazia.</li>
+  <li><strong>Mapeamento:</strong> <code>TEMPLATE_TYPE_TO_DOC_TYPE['recibo_pagamento'] = 'recibo'</code> garante que o doc gerado vai pra categoria certa na sidebar.</li>
+  <li><strong>Template:</strong> migration <code>20260521000008_recibo_uses_terapeuta_registro.sql</code> trocou <code>"Psicólogo(a) - CRP {{terapeuta_crp}}"</code> por <code>{{terapeuta_registro}}</code> no template global. Universal pra qualquer conselho.</li>
+  <li><strong>Botão UI:</strong> <code>AgendaEventoFinanceiroPanel.vue</code> linha ~320, branch <code>v-else-if="record.status === 'paid'"</code>.</li>
+</ul>$HTML$,
+        'Financeiro',
+        true,
+        'usuario',
+        '/melissa/agenda',
+        6,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como emito um recibo pra uma sessão que recebi o pagamento?',
+     $FAQ$Abra a sessão no calendário da agenda → no painel <em>Cobrança</em> dentro do modal, com o pagamento já registrado (status <strong>Pago</strong>), aparece o botão <strong>Emitir recibo</strong>. Clique uma vez. O sistema gera o PDF, salva nos documentos do paciente e dispara o download automaticamente. Toast confirma a operação.$FAQ$, 0, true),
+
+    (v_doc_id, 'Por que o botão "Emitir recibo" não aparece na minha sessão?',
+     $FAQ$O botão só aparece quando o financial_record da sessão tem <strong>status = pago</strong>. Possíveis motivos: (1) você não gerou cobrança ainda — clique em <em>Receber</em> pra registrar o pagamento primeiro; (2) cobrança está pendente — registre o recebimento; (3) sessão é de pacote (status='contrato') — pacotes não emitem recibo por sessão, use o fluxo manual em <em>Documentos → Gerar</em>; (4) cobrança foi cancelada — gere uma nova.$FAQ$, 1, true),
+
+    (v_doc_id, 'O valor por extenso vem certo ("cento e cinquenta reais")?',
+     $FAQ$Sim, com gramática pt-BR correta até 999 milhões. Exemplos: R$ 1,00 → "um real", R$ 150,00 → "cento e cinquenta reais", R$ 1.234,56 → "mil duzentos e trinta e quatro reais e cinquenta e seis centavos", R$ 0,50 → "cinquenta centavos". Pluralização real/reais e centavo/centavos automática.$FAQ$, 2, true),
+
+    (v_doc_id, 'O recibo funciona pra qualquer conselho profissional (CRM, CRFa…)?',
+     $FAQ$<strong>Sim.</strong> O template usa a variável <code>{{terapeuta_registro}}</code> que se adapta ao tipo de registro cadastrado no seu Perfil. Funciona pra CRP (psicologia), CRM (medicina), CRFa (fonoaudiologia), CREFITO (fisioterapia), CRESS (serviço social), CRN (nutrição), e qualquer outro conselho — incluindo "Outro" com nome livre. A formatação genérica fica tipo "CRP 12345/SP", "CRM 67890/RJ", etc.$FAQ$, 3, true),
+
+    (v_doc_id, 'Onde o recibo fica salvo depois de emitido?',
+     $FAQ$Em <strong>2 lugares</strong>: (1) baixado automaticamente no seu computador via download do navegador; (2) salvo na aba <em>Documentos</em> do prontuário do paciente, na categoria <strong>Recibo</strong> da sidebar. Daí você pode reabrir, compartilhar com o paciente, enviar pra assinar, ou editar in-place se precisar ajustar.$FAQ$, 4, true),
+
+    (v_doc_id, 'Posso emitir recibo de algo que não é sessão (consulta avulsa, pacote)?',
+     $FAQ$Sim, mas pelo <strong>fluxo manual</strong>: vá na aba <em>Documentos</em> do paciente → botão <strong>Gerar</strong> → escolha o template <em>"Recibo de Pagamento"</em>. Você preenche os valores na mão (valor, forma de pagamento, descrição) já que não vem de uma sessão específica. O resto (CRP, paciente, clínica) auto-completa igual.$FAQ$, 5, true),
+
+    (v_doc_id, 'Meu CRP/CRM aparece vazio no recibo, o que fazer?',
+     $FAQ$Cadastre seu registro profissional em <strong>Perfil → Registro Profissional</strong>. Selecione o tipo (CRP/CRM/CRFa/…/Outro), número e UF. Salve. Próximos recibos gerados já trazem formatado. Pra atualizar recibos antigos, abra o doc na aba Documentos do paciente e use <em>Editar</em> — o sistema vai puxar o registro atualizado.$FAQ$, 6, true),
+
+    (v_doc_id, 'O CNPJ da clínica aparece formatado no recibo?',
+     $FAQ$Sim, automaticamente. Em <strong>Configurações → Negócio (Tenant)</strong>, cadastre o CPF ou CNPJ no campo unificado. O sistema detecta pela quantidade de dígitos: 11 dígitos formata como CPF (XXX.XXX.XXX-XX), 14 como CNPJ (XX.XXX.XXX/XXXX-XX). O recibo usa a variável <code>{{clinica_cnpj}}</code> que sai formatada.$FAQ$, 7, true),
+
+    (v_doc_id, 'Errei o valor do recibo, posso corrigir sem gerar outro?',
+     $FAQ$Sim. Vá na aba <em>Documentos</em> do paciente → abra o recibo no preview → clique em <strong>Editar</strong>. O dialog abre em modo edição com o template do recibo já carregado e os valores anteriores preenchidos. Ajuste o que precisa → <em>Substituir documento</em>. O PDF é regenerado e substitui o anterior, mantendo o mesmo ID e audit trail.$FAQ$, 8, true),
+
+    (v_doc_id, 'Posso enviar o recibo pro paciente assinar?',
+     $FAQ$Sim. Recibos são documentos como qualquer outro — abra na aba Documentos → preview → botão <strong>Assinar</strong> na sidebar. Gera link público temporário, paciente abre sem login, marca aceite LGPD, assina. Útil pra recibos de valores altos ou contratos de pacote onde você quer registro formal da concordância.$FAQ$, 9, true),
+
+    (v_doc_id, 'Recibo de uma sessão antiga vai com a data de hoje ou a data da sessão?',
+     $FAQ$<strong>As duas</strong>. O recibo traz a <em>data da sessão</em> ("Referente ao atendimento de 15/03/2026") e a <em>data atual de emissão</em> ("São Carlos, 22 de maio de 2026") no rodapé. Importante pra fiscal — a data de emissão indica quando o documento foi formalmente criado, mesmo que a sessão tenha sido meses atrás.$FAQ$, 10, true),
+
+    (v_doc_id, 'Posso reemitir um recibo que já foi emitido pra mesma sessão?',
+     $FAQ$Sim, mas com cuidado. Clicar em <strong>Emitir recibo</strong> de novo gera um <strong>novo PDF</strong> e salva como novo documento na aba — você fica com 2 recibos da mesma sessão. Pra apenas atualizar (sem duplicar), edite o existente em <em>Documentos → preview → Editar</em>. Se duplicar por engano, exclua o antigo (soft-delete preserva por 5 anos no Lixo).$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

database-novo/tmp/import-doc-relatorios-export.sql

@@ -0,0 +1,165 @@
+-- Importacao da doc Relatorios e exportacao (Fase 5 #13)
+-- Gerado a partir de development/saas-docs/07-relatorios-export-melissa.json
+BEGIN;
+
+DO $IMPORT$
+DECLARE
+    v_doc_id uuid;
+BEGIN
+    INSERT INTO public.saas_docs (
+        titulo, conteudo, categoria, exibir_no_faq, tipo_acesso,
+        pagina_path, ordem, ativo, medias
+    ) VALUES (
+        'Relatórios de sessões e exportação',
+        $HTML$<h2>Relatórios de sessões e exportação</h2>
+
+<p>A página <strong>Relatórios</strong> (acessível em <code>/melissa/relatorios</code> ou Prontuários → Relatórios) consolida as sessões num período escolhido com KPIs, gráfico de evolução e tabela detalhada. Você pode <strong>exportar tudo pra PDF, Excel ou CSV</strong> respeitando os filtros aplicados.</p>
+
+<h3>1. Layout 2-col</h3>
+<ul>
+  <li><strong>Sidebar esquerda</strong> (~280px): cards de estatísticas clicáveis (atuam como filtros) + seletor de período + filtro por status</li>
+  <li><strong>Main direita</strong>: gráfico de evolução (Chart.js) + DataTable de sessões filtradas com paginação</li>
+</ul>
+<p><strong>Mobile</strong> (&lt;1024px): sidebar vira drawer acessado por botão "Filtros" no header.</p>
+
+<h3>2. Filtros de período</h3>
+<p>4 opções no seletor:</p>
+<ul>
+  <li><strong>Esta semana</strong> — domingo a sábado da semana atual</li>
+  <li><strong>Este mês</strong> (default) — primeiro dia ao último dia do mês corrente</li>
+  <li><strong>Últimos 3 meses</strong> — janela rolante de 3 meses até o fim do mês atual</li>
+  <li><strong>Últimos 6 meses</strong> — idem, janela de 6 meses</li>
+</ul>
+<p>Ao trocar o período, dispara uma nova query no banco. Os KPIs, gráfico e tabela se atualizam.</p>
+
+<h3>3. Estatísticas (KPIs)</h3>
+<p>Sidebar mostra cards com contadores do período:</p>
+<ul>
+  <li><strong>Total de sessões</strong> — todas independente de status</li>
+  <li><strong>Realizadas</strong> — concluídas com sucesso</li>
+  <li><strong>Faltas</strong> — paciente faltou</li>
+  <li><strong>Cancelamentos</strong> — sessão cancelada</li>
+  <li><strong>Remarcadas</strong> — paciente remarcou</li>
+</ul>
+<p>Cada card é <strong>clicável</strong>: filtra a tabela mostrando apenas as sessões daquele status. Clique no mesmo card pra desfazer o filtro.</p>
+
+<h3>4. Gráfico de evolução</h3>
+<p>Gráfico de barras/linhas (Chart.js) mostrando a evolução de sessões no período. O agrupamento adapta automaticamente:</p>
+<ul>
+  <li><strong>Semana / Mês</strong> → agrupa por <strong>dia</strong></li>
+  <li><strong>3 meses / 6 meses</strong> → agrupa por <strong>semana ISO</strong> ou <strong>mês ISO</strong></li>
+</ul>
+<p>Cores por status (verde = realizadas, vermelho = faltas, amarelo = canceladas, azul = remarcadas).</p>
+
+<h3>5. Tabela detalhada</h3>
+<p>DataTable com colunas: data/hora, paciente, modalidade, status, valor (se aplicável), forma de pagamento. Paginada (15 por página default), ordenável por qualquer coluna. Status com tag colorida.</p>
+
+<h3>6. Exportação — 3 formatos</h3>
+<p>3 botões no topo da tabela (ou header da página dependendo do layout):</p>
+
+<table>
+  <thead>
+    <tr><th>Botão</th><th>Formato</th><th>Quando usar</th></tr>
+  </thead>
+  <tbody>
+    <tr><td><strong>📄 PDF</strong></td><td>PDF A4</td><td>Apresentar pra contador, anexar a processo, arquivo formal com identidade visual da clínica</td></tr>
+    <tr><td><strong>📊 Excel</strong></td><td>XLSX</td><td>Análise no Excel/Google Sheets, fórmulas, gráficos próprios, manipulação fina</td></tr>
+    <tr><td><strong>📋 CSV</strong></td><td>CSV UTF-8</td><td>Importar em outro sistema, processamento via script, BI externo</td></tr>
+  </tbody>
+</table>
+
+<div style="background: rgba(34,197,94,0.06); border: 1px solid rgba(34,197,94,0.25); border-radius: 10px; padding: 12px 14px; margin: 14px 0; font-size: 0.85rem;">
+  <strong>🎯 Os filtros aplicados na tela são respeitados</strong> — se você filtrou por "Realizadas" e exportou pra Excel, só as realizadas vão pro arquivo. Período idem. Quer todos os status? clique no card de filtro pra desfazer antes de exportar.
+</div>
+
+<h3>7. Detalhes técnicos por formato</h3>
+
+<h4>PDF</h4>
+<ul>
+  <li>Renderizado client-side via HTML → PDF (mesmo pipeline do gerador de documentos)</li>
+  <li>Cabeçalho com KPIs em destaque + tabela A4 abaixo</li>
+  <li>Identidade visual: nome da clínica, logo (se cadastrado), data de geração</li>
+  <li>Tamanho: 1 página por ~30 sessões; relatórios longos paginam automaticamente com cabeçalho/rodapé fixos</li>
+</ul>
+
+<h4>Excel (XLSX)</h4>
+<ul>
+  <li>Gerado com <code>exceljs</code> (import dinâmico — não infla o bundle inicial)</li>
+  <li><strong>Frozen header</strong> — primeira linha fica fixa ao rolar</li>
+  <li><strong>Alternating rows</strong> — zebrado pra leitura</li>
+  <li>Colunas formatadas: data como data, valor como currency BRL</li>
+  <li>Branded — cabeçalho com cor da clínica</li>
+</ul>
+
+<h4>CSV</h4>
+<ul>
+  <li>Vanilla JS — sem dependência externa, gerado instantaneamente</li>
+  <li><strong>BOM UTF-8</strong> no início — força Excel a abrir com acentos corretos</li>
+  <li><strong>Separador <code>;</code></strong> (padrão pt-BR — Excel BR espera ; em vez de ,)</li>
+  <li>Aspas em campos com vírgula ou quebra de linha</li>
+</ul>
+
+<h3>8. Nome do arquivo gerado</h3>
+<p>Padrão <code>relatorio_sessoes_AAAAMMDD_HHmm.{pdf|xlsx|csv}</code> com timestamp da hora de geração. Garante que múltiplas exportações no mesmo dia não sobrescrevem.</p>
+
+<h3>⚠️ Notas pro desenvolvedor</h3>
+<ul>
+  <li><strong>Service:</strong> <code>src/services/reportExport.service.js</code> com 3 funções: <code>exportSessionsToPDF</code>, <code>exportSessionsToXLSX</code>, <code>exportSessionsToCSV</code>. Todas aceitam <code>{ sessions, period, statusFilter, tenant }</code>.</li>
+  <li><strong>PDF:</strong> usa <code>pdf.service.htmlToPdfBlob</code> (mesmo do gerador de documentos)</li>
+  <li><strong>XLSX:</strong> <code>const { default: ExcelJS } = await import('exceljs')</code> — code splitting</li>
+  <li><strong>CSV:</strong> vanilla JS com BOM + escape de campos</li>
+  <li><strong>Pages:</strong> <code>RelatoriosPage.vue</code> (rota classic/Rail) e <code>MelissaRelatorios.vue</code> (rota Melissa) compartilham o mesmo service</li>
+  <li><strong>Pendência:</strong> exportação agendada (envio automático por email no dia 1 de cada mês) — depende do Módulo 6 notifications. Hoje só on-demand.</li>
+</ul>$HTML$,
+        'Relatórios',
+        true,
+        'usuario',
+        '/melissa/relatorios',
+        7,
+        true,
+        '[{"tipo": "imagem", "url": ""}]'::jsonb
+    )
+    RETURNING id INTO v_doc_id;
+
+    INSERT INTO public.saas_faq_itens (doc_id, pergunta, resposta, ordem, ativo) VALUES
+    (v_doc_id, 'Como vejo um resumo das minhas sessões num período?',
+     $FAQ$Abra a página <strong>Relatórios</strong> (menu Prontuários → Relatórios, ou diretamente em <code>/melissa/relatorios</code>). Você escolhe o período na sidebar esquerda (esta semana, este mês, últimos 3 ou 6 meses) e o sistema mostra KPIs em cards, gráfico de evolução e tabela detalhada de cada sessão.$FAQ$, 0, true),
+
+    (v_doc_id, 'Quais períodos posso filtrar?',
+     $FAQ$4 opções fixas no seletor: <strong>Esta semana</strong> (domingo a sábado da semana corrente), <strong>Este mês</strong> (default — dia 1 ao último dia do mês atual), <strong>Últimos 3 meses</strong> e <strong>Últimos 6 meses</strong> (janelas rolantes terminando no fim do mês atual). Não há custom date range na UI ainda — pra filtrar uma data específica, exporte pra Excel ou CSV e filtre lá.$FAQ$, 1, true),
+
+    (v_doc_id, 'Como exporto o relatório pra PDF?',
+     $FAQ$No topo da página de Relatórios, clique no botão <strong>PDF</strong> (ícone vermelho de arquivo). O sistema renderiza o relatório com KPIs em destaque + tabela A4 e dispara o download. Útil pra apresentar pra contador, anexar a processos ou arquivar formalmente. O PDF traz a identidade visual da clínica (nome, logo se cadastrado, data de geração).$FAQ$, 2, true),
+
+    (v_doc_id, 'Como exporto pra Excel?',
+     $FAQ$Botão <strong>Excel</strong> (ícone verde) no topo da página. Gera um arquivo <code>.xlsx</code> com cabeçalho fixo (frozen header), linhas zebradas pra leitura, colunas formatadas (datas como data, valores como moeda BRL) e cabeçalho com cor da clínica. Pronto pra análise no Excel, Google Sheets ou LibreOffice.$FAQ$, 3, true),
+
+    (v_doc_id, 'Quando devo usar CSV em vez de Excel?',
+     $FAQ$Use <strong>CSV</strong> quando precisar importar os dados em outro sistema (ERP, BI, banco de dados), fazer processamento via script, ou compartilhar com alguém que não tenha Excel. O arquivo é mais leve e universal. Use <strong>Excel</strong> quando o destino final for análise humana — formatação de moeda, gráficos próprios, fórmulas. Os 2 trazem os mesmos dados.$FAQ$, 4, true),
+
+    (v_doc_id, 'Os filtros aplicados na tela também valem pra exportação?',
+     $FAQ$<strong>Sim, sempre.</strong> Se você filtrou por "Realizadas" clicando no card de KPI, só as sessões realizadas vão pro arquivo exportado. Período idem. Quer exportar todos os status? clique no card de filtro pra desfazer (ou clique em outro KPI e depois nele de novo) antes de exportar. Na dúvida, o título do PDF/Excel sempre traz os filtros aplicados na primeira linha.$FAQ$, 5, true),
+
+    (v_doc_id, 'O Excel exportado tem fórmulas ou só dados?',
+     $FAQ$Só dados. As colunas vêm formatadas (data como data, valor como moeda BRL) mas sem fórmulas pré-instaladas — você adiciona o que precisar depois (somas, médias, gráficos). Decisão de design: pra evitar conflito com diferentes locales/versões do Excel, exportamos puro e você customiza.$FAQ$, 6, true),
+
+    (v_doc_id, 'Por que o gráfico às vezes mostra dias e às vezes semanas/meses?',
+     $FAQ$Agrupamento automático conforme o período pra evitar gráfico ilegível: <strong>Semana / Mês</strong> → 7-31 colunas por dia (legível). <strong>3 meses</strong> → ~13 colunas por semana ISO. <strong>6 meses</strong> → ~26 colunas ou ~6 colunas por mês ISO. Se forçássemos 180 colunas em "6 meses", ficaria ilegível.$FAQ$, 7, true),
+
+    (v_doc_id, 'Posso filtrar o relatório por um paciente específico?',
+     $FAQ$Hoje não diretamente na página de Relatórios. Pra ver sessões de um paciente específico, vá no <strong>prontuário do paciente</strong> (aba Sessões) — lá tem timeline completa com filtros próprios. Ou exporte o relatório geral pra Excel/CSV e filtre por nome do paciente no Excel.$FAQ$, 8, true),
+
+    (v_doc_id, 'Consigo ver o relatório de outro terapeuta da clínica?',
+     $FAQ$Depende da sua permissão no tenant. Por default, cada terapeuta vê só as próprias sessões. Owners/admins do tenant podem ter acesso aos relatórios consolidados de todos os profissionais — verifique em <strong>Configurações → Equipe</strong> qual é seu papel. Pra solicitar acesso ampliado, fale com o owner do tenant.$FAQ$, 9, true),
+
+    (v_doc_id, 'Como ficam os nomes dos arquivos exportados?',
+     $FAQ$Padrão <code>relatorio_sessoes_AAAAMMDD_HHmm.{pdf|xlsx|csv}</code>. Exemplo: <code>relatorio_sessoes_20260522_1430.xlsx</code>. Timestamp garante que múltiplas exportações no mesmo dia não sobrescrevem o anterior — fica fácil organizar versões.$FAQ$, 10, true),
+
+    (v_doc_id, 'Posso agendar exportações automáticas (envio por email mensal)?',
+     $FAQ$Ainda não. Hoje a exportação é <strong>on-demand</strong> — você precisa abrir a página e clicar no botão. Exportação agendada (ex: PDF mensal enviado por email no dia 1) está no roadmap pós-MVP, depende do Módulo 6 (notifications factory channel) que ainda não foi implementado. Por enquanto, agende um lembrete pra você abrir a página todo dia 1.$FAQ$, 11, true);
+
+    RAISE NOTICE 'Doc criada: id=%, faq_itens=12', v_doc_id;
+END;
+$IMPORT$;
+
+COMMIT;

development/02-auditoria/AUDIT_BASELINE.md

@@ -0,0 +1,302 @@
+# Audit Baseline — 6 Módulos vs Blueprints
+
+> **Data:** 2026-05-20
+> **Método:** 6 agentes Explore em paralelo, cada um auditou 1 módulo contra os 3 blueprints (repository, composable, quick-create overlay)
+> **Saída:** mapa exato do trabalho da Fase 1 da Padronização Sweep
+
+---
+
+## Sumário Executivo
+
+| # | Módulo | Estado | Alta | Média | Baixa | Bloqueador |
+|---|---|---|---|---|---|---|
+| 1 | Home / Components | Parcial | 3 | 2 | 2 | — |
+| 2 | Pacientes | Parcial | 4 | 6 | 2 | — |
+| 3 | Prontuário | **Embrionário** | 3 | 3 | 0 | Schema clínico ausente |
+| 4 | Financeiro | **Órfão** | 6 | 3 | 1 | Overlap com agenda + double-billing risk |
+| 5 | Multi-tenant | Parcial | 2 | 3 | 2 | **Convites/membership inexistem** |
+| 6 | Notificações | **Embrionário** | 5 | 3 | 1 | 3 canais fragmentados, SMS envio só stub |
+
+**Totais:** 23 alta · 20 média · 8 baixa = **51 divergências catalogadas** + 4 gaps estruturais.
+
+---
+
+## Surpresas (descobertas que mudam o plano)
+
+### 🚨 1. Convites/membership de tenant — gap apenas no front (CORRIGIDO 2026-05-20)
+
+Agente Multi-tenant disse: **não existe** repository/composable pra `sendInvite(tenantId, email)`, `acceptInvite(inviteId)`, `listTenantMembers(tenantId)`. **Correção:** a tabela `public.tenant_invites` JÁ EXISTE no schema (`tenants_multi_tenant.sql:100`) com campos completos (id, tenant_id, email, role CHECK ['therapist','secretary'], token, invited_by, expires_at default 7d, accepted_at/by, revoked_at/by). Falta APENAS UI + composables/services no front.
+
+Recomendação: criar `features/tenantship/` com services + composables + página `/admin/members` usando a tabela existente. Sem migration de schema necessária. Reduz escopo de 0.5.D.
+
+### 🚨 2. Lógica de billing duplicada agenda ↔ financeiro — risco de double-billing
+
+`useAgendaFinanceiro.gerarCobrancaManual()` (composables raiz) e `useFinancialRecords.createRecord()` (composables raiz) **chamam a mesma RPC** `create_financial_record_for_session`. Sem coordenação = race condition silenciosa.
+
+`useAgendaFinanceiro.handleStatusChange()` ainda relê `financial_records` direto via `.select('id').eq('agenda_evento_id', ...)` — query que deveria viver só no useFinancialRecords.
+
+Recomendação: consolidar em 1 composable orquestrador, ou separar responsabilidades com coordenação explícita via fila.
+
+### 🚨 3. Quick-create overlay — promotion criteria atingida ANTES da hora
+
+Blueprint documentei como "agenda-only, promover quando aparecer 2º caso de uso". Agente Home descobriu **3 quick-create candidatos JÁ em produção**, fora da agenda:
+
+- `src/components/CadastroRapidoMedico.vue` (supabase direto)
+- `src/components/CadastroRapidoConvenio.vue` (supabase direto)
+- `src/components/ComponentCadastroRapido.vue` (genérico, supabase direto)
+
+São o 2º, 3º e 4º casos. **Promover agora** muda o blueprint de "agenda-only" pra universal, e dá fix em 3 componentes ao mesmo tempo.
+
+### 🚨 4. Prontuário sem schema clínico
+
+Agente Prontuário: o "Prontuário" hoje é shell de abas que reusa `usePatientSessions`. Schema vazio pra anamnese, evolução clínica, plano terapêutico. **Não dá pra padronizar antes de modelar.**
+
+Recomendação: adicionar etapa "modelagem schema clínico" como pré-requisito pro módulo 3 da Fase 1.
+
+### 🟡 5. `error = ref(null)` vs `ref('')` confirmado como divergência sistêmica
+
+Aparece em pacientes, financeiro, alguns lugares de notificações. Confirma a canonicalização do composable blueprint (`''` default). Fix mecânico, fácil de aplicar.
+
+### 🟡 6. Setup Wizard tem 8 queries supabase inline
+
+Já estava no `project_graphify_findings_20260504` ("Setup Wizard cohesion 0.05"). Agora quantificado: 8 queries (linhas 419, 429, 446, 595, 626, 656, 681, 706). Fix: criar `setupRepository.js` + `useSetupWizard.js`.
+
+---
+
+## Cross-cutting patterns (não específicos a 1 módulo)
+
+| Pattern | Onde aparece | Severidade | Fix |
+|---|---|---|---|
+| `error = ref(null)` | Pacientes, Financeiro, partes de Notificações | Média | Mecânico: `ref('')` |
+| `supabase.from(...)` em composable | Pacientes (4 composables), Financeiro (2), Notificações (3+), Multi-tenant (1) | Alta | Extrair pra repository |
+| SELECT inline em vez de constante | Pacientes (3), Financeiro, Notificações | Média | Extrair pra `<feature>Selects.js` |
+| UPDATE/DELETE sem `.eq('tenant_id', tid)` | Pacientes (2), Financeiro (3) | Alta | Defesa em profundidade |
+| `getUid()` / `useTenantStore()` duplicados | Múltiplos composables | Baixa | Helper compartilhado |
+| State em variável módulo (vaza entre instâncias) | `usePatientFinancial._lastPatientId` | Alta | Mover DENTRO da `function use*()` |
+| `_tenantGuards.js` ausente em todo módulo não-agenda | Todos | Média | Replicar pattern |
+
+---
+
+## Detalhamento por Módulo
+
+### 1. Home / Components base
+
+**Estado:** Parcial. Falta camada de repository. 3 quick-creates espalhados fazem supabase direto.
+
+**Arquivos-chave:**
+- `src/views/pages/HomeCards.vue` — roteador de perfis + RPC de auditoria interna
+- `src/layout/melissa/MelissaLayout.vue` — orquestrador (~90 imports, monolítico)
+- `src/components/CadastroRapidoMedico.vue` — quick-create supabase direto
+- `src/components/CadastroRapidoConvenio.vue` — quick-create supabase direto
+- `src/components/ComponentCadastroRapido.vue` — quick-create genérico supabase direto
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| ~~Alta~~ ✅ | quick-create | `CadastroRapidoMedico.vue:150` | ~~`supabase.from()` direto sem repository~~ | **RESOLVIDO 2026-05-20 (M1.1):** `features/medicos/services/medicosRepository.js` criado + componente refatorado pra usar `useMedicos` composable |
+| ~~Alta~~ ✅ | quick-create | `CadastroRapidoConvenio.vue:98` | ~~`supabase.from()` inline~~ | **RESOLVIDO 2026-05-20 (M1.2):** `features/insurance/services/insurancePlansRepository.js` criado + componente usa `useInsurancePlans` composable. Bônus: agenda `InsurancePlanQuickCreateDialog.vue` também migrado. |
+| ~~Alta~~ ✅ | quick-create | `ComponentCadastroRapido.vue:263` | ~~`insert()` sem validação `tenant_id`+`owner_id`~~ | **RESOLVIDO 2026-05-20 (M1.3):** componente usa `usePatients.create()`; tenant resolvido via `getMyActiveMember()` (helper novo em tenantship); repository injeta `owner_id = auth.uid()` sempre, ignora payload. |
+| ~~Média~~ ✅ | composable | `CadastroRapidoMedico.vue:49-58` | ~~`getTenantId()` via fallback query em vez de store~~ | **RESOLVIDO 2026-05-20 (M1.1):** removido — repository usa `resolveTenantId()` canônico |
+| ~~Média~~ ✅ | composable | `CadastroRapidoConvenio.vue:94-100` | ~~`loadPlans()` sem `.eq('tenant_id', tid)`~~ | **RESOLVIDO 2026-05-20 (M1.2):** repository agora filtra por tenant_id + owner_id |
+| ~~Baixa~~ ✅ | outro | `HomeCards.vue:23-33` | ~~`TEST_ACCOUNTS` hardcoded~~ | **RESOLVIDO 2026-05-20 (M1.4):** extraído pra `src/config/devTestAccounts.js` |
+| Baixa | outro | `MelissaLayout.vue:1-150` | 90+ imports, monolítico | Refactor Fase 2 (M1.6 — sessão dedicada) |
+
+### 2. Pacientes
+
+**Estado:** Parcial. `patientsRepository` é o ÚNICO repo padronizado fora da agenda (8/10 conformidade). Composables têm violações de camada.
+
+**Arquivos-chave:**
+- `src/features/patients/services/patientsRepository.js` — referência parcial
+- `src/features/patients/composables/usePatients.js` — thin wrapper (falha em error type)
+- `src/features/patients/composables/usePatientDetail.js` — supabase direto
+- `src/features/patients/composables/usePatientFinancial.js` — supabase direto + estado módulo
+- `src/features/patients/composables/usePatientSessions.js` — supabase direto
+- `src/components/ui/PatientCreatePopover.vue` — padrão OK (não é quick-create overlay)
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| ~~Alta~~ ✅ | repo | `patientsRepository.js:64` | ~~`createPatient` aceita `owner_id` do payload~~ | **RESOLVIDO 2026-05-20 (spillover M1.3):** repository sempre injeta `owner_id = await getUid()`; strip `owner_id` do payload via destructure. |
+| ~~Alta~~ ✅ | composable | `usePatientDetail.js:13-40` | ~~supabase direto em 4 funções~~ | **RESOLVIDO 2026-05-20 (M2.2):** 4 funções migradas pra patientsRepository |
+| ~~Alta~~ ✅ | composable | `usePatientFinancial.js:21,156-164` | ~~`_lastPatientId` em variável módulo + supabase direto~~ | **RESOLVIDO 2026-05-20 (M2.3):** state movido DENTRO da function; mutations via repository |
+| ~~Alta~~ ✅ | composable | `usePatientSessions.js:33-44, 127-182` | ~~supabase direto em 2 mutations~~ | **RESOLVIDO 2026-05-20 (M2.4):** list+create+updateStatus via repository (com helper findSessionByRecurrence pra materialização) |
+| ~~Média~~ ✅ | composable | `usePatients.js:22` | ~~`error = ref(null)` viola canon~~ | **RESOLVIDO 2026-05-20 (spillover M1.3):** `error = ref('')` canon do composable-blueprint. |
+| ~~Média~~ ✅ | composable | `usePatientDetail.js:69` | ~~Funções internas retornam `null` silencioso em erro~~ | **RESOLVIDO 2026-05-20 (M2.2):** repository functions throw em vez de return null |
+| Média | composable | `usePatientFinancial.js:149-191, usePatientSessions.js:140-182` | Mutations retornam `{ok, data?, error?}` em vez de throw | Padrão preservado por compat com callers; fix posterior em sessão dedicada |
+| ~~Média~~ ✅ | composable | `usePatientRecurrences.js:34` | ~~`.select('*')` inline~~ | **RESOLVIDO 2026-05-20 (M2.1):** `PATIENT_RECURRENCE_RULES_SELECT` em patientsSelects.js |
+| ~~Média~~ ✅ | composable | `usePatientMessages.js:29, usePatientDocuments.js:30, usePatientSessions.js:38` | ~~SELECT inline sem constante~~ | **RESOLVIDO 2026-05-20 (M2.1):** 5 constantes em patientsSelects.js |
+| ~~Média~~ ✅ | composable | `usePatientFinancial.js:127-130, usePatientSessions.js:211-274` | ~~Mutações sem `.eq('tenant_id', tid)`~~ | **RESOLVIDO 2026-05-20 (M2.3+M2.4):** todas mutations no repository usam `.eq('tenant_id', tid)` |
+| ~~Baixa~~ ✅ | composable | `usePatients.js:45` | ~~`remove` não re-throw~~ | **RESOLVIDO 2026-05-20 (M2.6):** Tipo A canônico completo |
+| Baixa | composable | `usePatientSessions.js:67` | Filtro de virtual occurrences encapsulado no composable | Documentar como legado pré-refactor |
+
+### 3. Prontuário/Evolução
+
+**Estado:** **Embrionário.** Mal-existe. Aba "Prontuário evolutivo" é placeholder vazio.
+
+**Arquivos-chave:**
+- `src/features/patients/prontuario/PatientProntuario.vue` (188 KB) — shell de abas
+- `src/features/patients/prontuario/PatientConversationsTab.vue` (11.8 KB) — timeline supabase direto
+- `usePatientSessions.js` reusado (não é prontuário-específico)
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| Alta | composable | `PatientProntuario.vue:29` | supabase direto pra `conversation_messages`, `agenda_eventos`, `financial_records`, `documents`, `patient_groups`, `patient_tags` | Extrair `usePatientConversations`, `usePatientFinancial`, `usePatientDocuments` |
+| Alta | repo | (não existe) | Nenhum repository pras tabelas do prontuário | Criar `patientFinancialRepository.js`, `patientDocumentsRepository.js` |
+| Alta | composable | `PatientConversationsTab.vue:8` | Query direto a `conversation_messages` | Mover pra repository |
+| Média | gap | `PatientProntuario.vue:1950` | Aba "Prontuário" é placeholder vazio — schema clínico não modelado | **Decidir modelo: `patient_notes`? `clinic_sessions`? `patient_clinical_notes`?** |
+| Média | composable | `usePatientSessions.js:38` | Queries inline a `agenda_eventos`, `recurrence` | Mover pra `patientSessionsRepository.js` |
+| Média | repo | `PatientProntuario.vue:381-384` | `updateSessionStatus` mutação inline em componente | Mover pra repository |
+
+**Gaps estruturais:**
+1. Repository layer ausente (3 repositories a criar)
+2. Composable layer incompleto (3 composables a criar)
+3. **Schema clínico inexistente** — anamnese, evolução, plano terapêutico não modelados
+4. PatientProntuario.vue é monolítico (188 KB) — refactor candidate
+
+### 4. Financeiro
+
+**Estado:** **Órfão.** Módulo existe mas sem camada repository; composables raiz fazem supabase direto.
+
+**Arquivos-chave:**
+- `src/features/financeiro/pages/FinanceiroPage.vue` — supabase direto inline
+- `src/features/financeiro/pages/FinanceiroDashboardPage.vue` — RPC direto inline
+- `src/composables/useFinancialRecords.js` — composable raiz com supabase inline (sem repository)
+- `src/composables/useAgendaFinanceiro.js` — orquestrador agenda-financeiro com lógica duplicada
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| Alta | repo | `useFinancialRecords.js:294` | UPDATE sem `.eq('tenant_id', tid)` | Defesa em profundidade |
+| Alta | repo | `useAgendaFinanceiro.js:194, 215` | UPDATE sem `.eq('tenant_id', tid)` em 2 pontos | Idem |
+| Alta | composable | `useFinancialRecords.js:58` | `error = ref(null)` | `ref('')` |
+| Alta | camada | `useFinancialRecords.js` (todo) | supabase direto viola blueprint | Extrair pra `financeiro/services/financialRecordsRepository.js` |
+| Alta | camada | `useAgendaFinanceiro.js:191, 205, 209` | supabase direto | Mover pra repository ou RPC wrapper |
+| Alta | overlap | `useAgendaFinanceiro.js:114-151` + `useFinancialRecords.js:157-189` | **Lógica duplicada de criação de cobrança** — ambos chamam mesma RPC | Consolidar em 1 composable orquestrador |
+| Média | convenção | `FinanceiroPage.vue:22-51` | supabase direto em componente | Mover pra composable |
+| Média | convenção | `FinanceiroDashboardPage.vue:68, 78, 144` | RPC inline em componente | Criar `useFinancialDashboard` |
+| Média | SELECT | `useFinancialRecords.js:40-51` | BASE_SELECT constante OK, mas sem `flatten<Feature>Row` | Adicionar helper se joins aninhados |
+| Baixa | cosmético | `FinanceiroPage.vue:27-40` | Formatadores BRL/Date duplicados na dashboard | Extrair pra `financeiro/utils/formatters.js` |
+
+**Overlap crítico com agenda:**
+- `useAgendaFinanceiro.gerarCobrancaManual()` vs `useFinancialRecords.createRecord()` chamam mesma RPC — **risco double-billing em race condition**
+- `useAgendaFinanceiro.handleStatusChange()` relê `financial_records` (linhas 191, 205) — query que pertence a `useFinancialRecords`
+- Ambos importam `useTenantStore` + `getUid()` inline (duplicação)
+
+### 5. Multi-tenant
+
+**Estado:** Parcial. Stores OK. **Gap crítico: convites/membership inexistem.** SetupWizard e SaasTenantFeaturesPage com queries inline.
+
+**Arquivos-chave:**
+- `src/stores/tenantStore.js` — Pinia store + memberships read-only via RPC
+- `src/stores/tenantFeaturesStore.js` — computed store + TTL cache + RPC
+- `src/stores/entitlementsStore.js` — view-based (`v_tenant_entitlements`, `v_user_entitlements`)
+- `src/features/setup/SetupWizardPage.vue` — 8 queries supabase inline
+- `src/views/pages/saas/SaasTenantFeaturesPage.vue` — 4 queries inline
+- `src/features/clinic/components/ModuleRow.vue` — dumb component OK
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| ~~Alta~~ ✅ | composable | `SaasTenantFeaturesPage.vue:124-129` | ~~4 queries supabase direto~~ | **RESOLVIDO 2026-05-20 (M5 quick win):** extraído pra `src/services/tenantFeatureAdminService.js`. |
+| Alta | repository | `SetupWizardPage.vue:419, 429, 446, 595, 626, 656, 681, 706` | 8 supabase queries inline em página | Criar `setupRepository.js` + `useSetupWizard.js` |
+| Média | store | `tenantFeaturesStore.js:134` | `fetchForTenant` faz `from('tenant_features')` direto | Wrapper em `tenantFeaturesRepository.js` |
+| Média | store | `entitlementsStore.js:136, 177` | Queries em views direto | Aceitar como read-only com comentário |
+| Média | convention | `SaasTenantFeaturesPage.vue:33-53` | Error pattern inconsistente | Usar toast |
+| Baixa | naming | `tenantFeaturesStore.js:52` | `loadedForTenantId` vs `tenantId` ambíguo | Renomear |
+| Baixa | cosmetic | `SetupWizardPage.vue:60` | `isClinicRole` via string matching | Usar `useRoleGuard` |
+
+**Gap crítico — convites/membership:**
+
+Grep por `tenant_members`, `tenant_invite`, `convite`, `invitation` retornou **zero** em `features/`. Não existe:
+- Repository para `sendInvite(tenantId, email)`
+- Repository para `acceptInvite(inviteId)`
+- Repository para `listTenantMembers(tenantId)`
+- Composable wrapper
+- Página `/admin/members` pra gestão
+
+**Recomendação:** criar `features/tenantship/` (ou `features/team/`) completo. Bloqueador de MVP.
+
+### 6. Notificações
+
+**Estado:** **Embrionário.** Fragmentado em 3+ canais (WhatsApp Evolution, WhatsApp Twilio, SMS Twilio, in-app, notices globais), sem padronização.
+
+**Arquivos-chave:**
+- `src/features/notices/noticeService.js` — supabase direto sem repository
+- `src/features/conversations/CRMConversasPage.vue` — página complexa, lógica não extraída
+- `src/composables/useConversations.js` — query + business logic + supabase direto
+- `src/composables/useNotifications.js` — toast + realtime + polling
+- `src/stores/notificationStore.js` — in-app puro (OK)
+- `src/stores/conversationDrawerStore.js` — mistura send WhatsApp/SMS + templates
+- `src/stores/twilioWhatsappStore.js` — estado Twilio subcontas
+- `src/views/pages/notifications/SmsChannelSetupPage.vue` — credenciais via supabase
+- `src/views/pages/therapist/NotificationsHistoryPage.vue` — sync com store
+
+**Divergências:**
+
+| Sev | Tipo | Local | Problema | Fix |
+|---|---|---|---|---|
+| Alta | repo | `noticeService.js:28-44` | SELECT inline | Criar `notices/noticeSelects.js` |
+| Alta | composable | `useConversations.js:85-91` | supabase direto, sem repository | Criar `conversations/services/conversationsRepository.js` |
+| Alta | repo | `useConversations.js:229-244` | SELECT inline em `loadThreadMessages()` | Extrair pra repository |
+| Alta | gap | `conversationDrawerStore.js:339-346` | Edge function invoke direto sem fallback/retry | Criar `sendMessageService.js` com error handling |
+| Alta | canais | `conversationDrawerStore.js:327-377` | Lógica de envio WhatsApp (Evolution + Twilio) sem abstração | Factory por canal |
+| Média | error | `useNotifications.js:117-145` | Realtime/polling sem try/catch | Wrap |
+| Média | repo | `conversationDrawerStore.js:414-449` | `loadTemplates()` sem `.eq('tenant_id', ...)` no 2º select | Adicionar guard |
+| Média | naming | `SmsChannelSetupPage.vue:84-102` | Query sem SELECT canônico | Extrair |
+| Baixa | cosmético | `useConversations.js:165-184` | Channel filter hardcoded ['whatsapp','sms','email'] | Exportar `CHANNEL_TYPES` const |
+
+**Canais identificados:**
+1. WhatsApp (Evolution API) — Parcial
+2. WhatsApp (Twilio) — Parcial
+3. SMS (Twilio) — **Stub** (só setup, sem envio)
+4. In-app (browser notifications) — Funcional
+5. Global Notices — Funcional
+
+**Gaps estruturais:**
+- Repositórios inexistem (conversas, mensagens, canais)
+- `_tenantGuards.js` ausente
+- SELECT canônico fragmentado
+- Composables fat (`useConversations` faz 3 coisas)
+- SMS envio não implementado (só credenciais)
+
+---
+
+## Próximos passos
+
+### Ajustes ao plano original
+
+**Fase 0** — concluída. Audit baseline pronto.
+
+**Fase 1** — sequenciamento revisado considerando as 4 surpresas:
+
+| Ordem | Módulo | Pré-requisito | Observação |
+|---|---|---|---|
+| 1 | **Home/Components** | — | Inclui promover quick-create blueprint (3 candidates já existem) + criar `medicos/` e `insurance/` features |
+| 1.5 | **Quick-create blueprint promotion** | — | Mover blueprint de "agenda-only" pra universal; refatorar 3 CadastroRapido components em paralelo |
+| 2 | **Pacientes** | — | `patientsRepository` já parcial; fix 4 composables com supabase direto |
+| 3 | **Prontuário (parcial)** | **Decisão de schema clínico** | Sem schema, só dá pra criar repositories pras tabelas existentes (financial_records, documents) |
+| 4 | **Financeiro** | Decisão sobre overlap com agenda | Resolver double-billing risk ANTES de refactor |
+| 5 | **Multi-tenant + Convites** | — | Criar `tenantship/` feature inteiro (gap crítico) |
+| 6 | **Notificações** | — | Pesado: 3 canais, abstração por factory |
+
+### Decisões pendentes (precisa de você)
+
+1. **Quick-create blueprint:** promover pra universal agora ou manter agenda-only? (recomendo promover — promotion criteria atingida)
+2. **Schema clínico do prontuário:** modelar agora (bloqueador) ou empurrar pra Fase 1 estendida?
+3. **Overlap billing agenda↔financeiro:** consolidar em 1 composable OU separar com coordenação via fila? (recomendo consolidar)
+4. **Convites/membership:** criar feature `tenantship/` separada OU absorver em `clinic/`? (recomendo separada — semântica diferente)
+5. **`dev_auditoria_items` no banco:** popular agora os 51 itens via SQL OU UI uma a uma? (recomendo SQL batch insert — mais rápido pra começar Fase 1)
+
+---
+
+## Referências
+
+- Blueprints: `blueprints/repository-blueprint.md`, `composable-blueprint.md`, `quick-create-overlay-blueprint.md`
+- Estratégia: `development/02-auditoria/PADRONIZACAO.md`
+- Memória: `project_padronizacao_sweep.md`, `project_graphify_findings_20260504.md`

development/02-auditoria/DESIGN_ASAAS_GATEWAY.md

@@ -0,0 +1,325 @@
+# Design — Asaas Gateway (Tier 1: Cobrança de Paciente · PIX + Boleto)
+
+> **Data:** 2026-05-21
+> **Tipo:** Design doc + foundation (sem credenciais reais ainda)
+> **Resolve:** Item #1-#3 da Fase 1 do ROADMAP (Monetização)
+> **Decisões confirmadas:** Tier 1 primeiro (paciente paga terapeuta) · PIX + Boleto · Approach foundation com stops
+
+---
+
+## 1. Estado atual
+
+### 1.1 O que JÁ EXISTE no projeto
+
+- **Edge Function `asaas-webhook`** (`supabase/functions/asaas-webhook/index.ts`) — porém só lida com `whatsapp_credit_purchases`. Token `ASAAS_WEBHOOK_TOKEN` validado.
+- **Edge Function `create-whatsapp-credit-charge`** — cria cobrança Asaas para créditos WhatsApp. Pattern de chamada à API Asaas estabelecido.
+- **Tabela `whatsapp_credit_purchases`** com coluna `asaas_payment_id`. Modelo: 1 purchase ↔ 1 Asaas payment.
+- **Coluna `financial_records.payment_link`** (migration 20260514000001) — espera o URL Asaas quando integração existir.
+- **Tabela `payment_settings`** com pix_chave, deposito_*, etc — config manual de pagamento por owner (NÃO é Asaas).
+- **Asaas mencionado em 9 arquivos client** — todos relacionados a WhatsApp credits ou docs.
+
+### 1.2 O que FALTA pra patient billing
+
+- Schema: tabelas `asaas_customers` (mapping patient → Asaas customer) e `asaas_payments` (1 row por cobrança gerada)
+- Schema: ENCRYPTED storage da API key Asaas por tenant (se modelo B — ver §3)
+- Edge Function `asaas-create-customer-patient` — upsert customer no Asaas
+- Edge Function `asaas-create-payment-record` — gera cobrança a partir de financial_record
+- Edge Function `asaas-cancel-payment` — cancela
+- Edge Function `asaas-webhook` ESTENDIDA — handler pra eventos de financial_records (atualmente só whatsapp_credit_purchases)
+- Cliente JS: `asaasGatewayService.js` em `features/financeiro/services/`
+- UI: botão "Gerar cobrança Asaas" no record do `financial_records` (não escopo desta sessão)
+
+---
+
+## 2. Arquitetura
+
+### 2.1 Camadas
+
+```
+┌─────────────────────────────────────────────────┐
+│  Browser (Vue)                                   │
+│  ├ asaasGatewayService.js                       │
+│  │   • createPaymentForRecord(recordId, opts)   │  ← invoca Edge Function via supabase.functions.invoke
+│  │   • cancelPayment(asaasPaymentId)            │
+│  │   • getPaymentInfo(asaasPaymentId)           │
+└─────────────────────────────────────────────────┘
+                       ↓
+┌─────────────────────────────────────────────────┐
+│  Supabase Edge Functions (Deno)                  │
+│  ├ asaas-create-customer-patient                │
+│  │   • Recebe patient_id                         │
+│  │   • Upsert asaas_customers (cache)            │
+│  │   • Chama Asaas POST /customers               │
+│  ├ asaas-create-payment-record                  │
+│  │   • Recebe financial_record_id + method      │
+│  │   • Garante customer existe (cascade)         │
+│  │   • Chama Asaas POST /payments                │
+│  │   • Salva asaas_payments + update financial_records.payment_link │
+│  ├ asaas-cancel-payment                          │
+│  │   • Asaas DELETE /payments/:id                │
+│  └ asaas-webhook (EXTENDER)                     │
+│      • Adiciona handler pra events linkados a  │
+│        financial_records (não só credits)        │
+└─────────────────────────────────────────────────┘
+                       ↓
+┌─────────────────────────────────────────────────┐
+│  Asaas REST API (sandbox/prod)                   │
+└─────────────────────────────────────────────────┘
+```
+
+### 2.2 Por que Edge Functions e não client-side?
+
+**Crítico:** API key do Asaas NUNCA pode chegar ao browser. Browser vê script + DevTools = key vaza = qualquer pessoa cria cobrança em nome da plataforma/tenant. Edge Functions rodam server-side, key fica em env vars do Supabase.
+
+---
+
+## 3. Modelo de negócio (DECISÃO PENDENTE)
+
+**Quem detém a conta Asaas que recebe o dinheiro?**
+
+### Opção A — Plataforma (marketplace)
+- 1 conta Asaas global da plataforma AgenciaPsi
+- Plataforma recebe TUDO + repassa pra terapeutas (split payment ou reconciliação manual)
+- Asaas tem feature de SubAccounts/Split — pode ser configurado
+- **Pros:** simples, 1 chave ENV no Supabase
+- **Cons:** plataforma fica como intermediadora financeira (regulatório + impostos + compliance)
+
+### Opção B — Tenant-level (recommended pra MVP solo-therapist)
+- Cada tenant tem SUA conta Asaas
+- API key encrypted em `payment_settings.asaas_api_key` (Supabase Vault ou pgsodium)
+- Terapeuta recebe direto na própria conta
+- Edge Function lê chave do tenant requisitante
+- **Pros:** sem complexidade regulatória pra plataforma
+- **Cons:** terapeuta precisa configurar Asaas próprio (UX onboarding)
+
+### Opção C — Híbrido
+- Plataforma cobra mensalidade SaaS via SUA Asaas (Tier 2 — fora desta sessão)
+- Terapeuta cobra paciente via SUA Asaas (Tier 1)
+- 2 contas em mundos separados
+
+**Recomendação desta sessão:** **Opção B (Tenant-level)** pra Tier 1. Tier 2 (SaaS subscriptions) decide depois — pode ser A com mesma infra.
+
+---
+
+## 4. Schema additions
+
+### 4.1 Tabela `asaas_customers`
+
+Mapping patient ↔ Asaas customer. Cacheado (não recriar a cada cobrança).
+
+```sql
+CREATE TABLE public.asaas_customers (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid NOT NULL,
+    patient_id uuid NOT NULL REFERENCES patients(id) ON DELETE CASCADE,
+    asaas_customer_id text NOT NULL,
+    -- ambiente: sandbox ou prod (mesmo patient pode ter ambos)
+    environment text NOT NULL DEFAULT 'prod' CHECK (environment IN ('sandbox', 'prod')),
+    -- dados cacheados (sincronizados quando atualizar)
+    name text NOT NULL,
+    email text,
+    cpf_cnpj text,
+    phone text,
+    address jsonb,
+    -- audit
+    created_at timestamptz DEFAULT now() NOT NULL,
+    updated_at timestamptz DEFAULT now() NOT NULL,
+    deleted_at timestamptz,
+    UNIQUE (tenant_id, patient_id, environment)
+);
+
+CREATE INDEX idx_asaas_customers_lookup
+    ON public.asaas_customers (tenant_id, patient_id)
+    WHERE deleted_at IS NULL;
+```
+
+### 4.2 Tabela `asaas_payments`
+
+1 row por cobrança Asaas gerada. Link com financial_record.
+
+```sql
+CREATE TABLE public.asaas_payments (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    tenant_id uuid NOT NULL,
+    financial_record_id uuid NOT NULL REFERENCES financial_records(id) ON DELETE CASCADE,
+    asaas_customer_id uuid REFERENCES asaas_customers(id),
+    asaas_payment_id text NOT NULL,
+    asaas_invoice_id text,
+    environment text NOT NULL DEFAULT 'prod' CHECK (environment IN ('sandbox', 'prod')),
+    billing_type text NOT NULL CHECK (billing_type IN ('PIX', 'BOLETO', 'CREDIT_CARD', 'UNDEFINED')),
+    status text NOT NULL,  -- raw Asaas status; mapeamento pra financial_records.status no JS
+    value numeric(10, 2) NOT NULL,
+    net_value numeric(10, 2),
+    due_date date NOT NULL,
+    payment_date timestamptz,
+    invoice_url text,
+    payment_url text,        -- URL pra paciente abrir e pagar
+    bank_slip_url text,      -- PDF boleto
+    pix_qr_code text,        -- base64 do QR
+    pix_copy_paste text,     -- payload PIX
+    -- audit
+    created_at timestamptz DEFAULT now() NOT NULL,
+    updated_at timestamptz DEFAULT now() NOT NULL,
+    cancelled_at timestamptz,
+    UNIQUE (asaas_payment_id, environment)
+);
+
+CREATE INDEX idx_asaas_payments_record
+    ON public.asaas_payments (financial_record_id);
+CREATE INDEX idx_asaas_payments_lookup
+    ON public.asaas_payments (tenant_id, status, due_date);
+```
+
+### 4.3 Tabela `asaas_webhook_events`
+
+Idempotência + audit. Cada webhook recebido vai aqui ANTES de processar.
+
+```sql
+CREATE TABLE public.asaas_webhook_events (
+    id uuid PRIMARY KEY DEFAULT gen_random_uuid(),
+    event_id text,                          -- id que Asaas mandar (se mandar)
+    event_type text NOT NULL,               -- PAYMENT_RECEIVED, PAYMENT_OVERDUE, etc
+    asaas_payment_id text,                  -- pra linkar com asaas_payments
+    payload jsonb NOT NULL,                 -- raw event pra debug
+    processed_at timestamptz,               -- quando processou; NULL = pendente/falha
+    processing_error text,
+    received_at timestamptz DEFAULT now() NOT NULL,
+    UNIQUE (event_id) DEFERRABLE INITIALLY DEFERRED
+);
+
+CREATE INDEX idx_asaas_webhook_events_payment
+    ON public.asaas_webhook_events (asaas_payment_id);
+```
+
+### 4.4 Coluna ENCRYPTED na `payment_settings`
+
+Tenant-level API key (Opção B). Usa pgsodium ou Supabase Vault.
+
+```sql
+-- Sandbox e prod separados — terapeuta começa em sandbox, migra pra prod quando OK.
+ALTER TABLE public.payment_settings
+    ADD COLUMN IF NOT EXISTS asaas_api_key_sandbox text,  -- prefixado com "$pgsodium-encrypted$" via trigger
+    ADD COLUMN IF NOT EXISTS asaas_api_key_prod text,
+    ADD COLUMN IF NOT EXISTS asaas_environment text DEFAULT 'sandbox' CHECK (asaas_environment IN ('sandbox', 'prod')),
+    ADD COLUMN IF NOT EXISTS asaas_webhook_token text;
+```
+
+**⚠️ Atenção:** API keys EM TEXTO NA TABELA é vulnerabilidade séria. Em produção precisa Supabase Vault (pgsodium) ou KMS externo. Pra MVP sandbox dá pra deixar plaintext + RLS restritiva, mas tem que documentar como dívida.
+
+---
+
+## 5. Status mapping Asaas → financial_records
+
+| Asaas | financial_records.status |
+|---|---|
+| PENDING | pending |
+| RECEIVED / CONFIRMED | paid |
+| RECEIVED_IN_CASH | paid (manual) |
+| OVERDUE | overdue |
+| REFUNDED / CHARGEBACK_REQUESTED | refunded |
+| DELETED / CHARGEBACK_DISPUTE | cancelled |
+
+---
+
+## 6. Flow completo (happy path) — Tier 1 PIX
+
+1. Terapeuta cria sessão na agenda → trigger gera `financial_records` row (status=pending, payment_method=null, payment_link=null)
+2. Terapeuta vê record na UI e clica **"Gerar cobrança Asaas (PIX)"**
+3. Cliente JS chama `asaasGatewayService.createPaymentForRecord(recordId, { method: 'PIX' })`
+4. Service invoca Edge Function `asaas-create-payment-record`
+5. Edge Function:
+   - Lê financial_record + patient + tenant_settings (API key)
+   - Garante asaas_customers row (chama asaas-create-customer-patient se não existe)
+   - POST `https://sandbox.asaas.com/api/v3/payments` com `customer`, `value`, `dueDate`, `billingType=PIX`, `externalReference=<financial_record_id>`
+   - Asaas retorna `id`, `invoiceUrl`, e (pra PIX) `id` de QR code
+   - Edge Function chama POST `/payments/:id/pixQrCode` pra pegar QR base64
+   - INSERT em `asaas_payments` com toda metadata
+   - UPDATE `financial_records.payment_link = invoiceUrl, payment_method = 'pix_asaas'`
+6. Service retorna `{ paymentUrl, qrCode, copyPaste }` pro cliente
+7. UI mostra QR code + link pra paciente
+8. Paciente paga via PIX
+9. Asaas dispara webhook PAYMENT_RECEIVED → Edge Function `asaas-webhook`:
+   - INSERT em `asaas_webhook_events` (idempotência via event_id)
+   - Busca `asaas_payment` por `asaas_payment_id`
+   - Se status=='paid' já: skip
+   - UPDATE `asaas_payments.status='RECEIVED'`, `payment_date=now()`
+   - UPDATE `financial_records.status='paid'`, `paid_at=now()`
+   - Marca event como `processed_at=now()`
+
+---
+
+## 7. Decisões de implementação
+
+| Decisão | Confirmada |
+|---|---|
+| Tier 1 (paciente paga terapeuta) primeiro | ✅ |
+| PIX + boleto primeiro (cartão depois) | ✅ |
+| Modelo tenant-level (Opção B) | ⚠️ PROPOSTO — confirme antes de implementar |
+| Sandbox first, prod depois | ⚠️ default — confirme |
+| Storage de API key plaintext em `payment_settings` (com RLS) pra MVP | ⚠️ DÍVIDA conhecida — vault depois |
+| `externalReference` no Asaas = financial_records.id | ⚠️ PROPOSTO — facilita reconciliação |
+| Webhook compartilha mesma Edge Function (`asaas-webhook` estendida) | ⚠️ PROPOSTO — evita duplicar token validation |
+
+---
+
+## 8. Checklist do que VOCÊ precisa fornecer
+
+Antes da Fase B (implementação real):
+
+- [ ] Criar conta Asaas (https://asaas.com)
+- [ ] Habilitar PIX (gera chave PIX automática) + Boleto na conta
+- [ ] Pegar API key de SANDBOX (Configurações → Integrações)
+- [ ] Configurar webhook no Asaas: `https://<seu-projeto>.supabase.co/functions/v1/asaas-webhook` + token
+- [ ] Setar ENV vars no Supabase (Dashboard → Edge Functions → Secrets):
+  - `ASAAS_API_URL_SANDBOX=https://sandbox.asaas.com/api/v3`
+  - `ASAAS_API_URL_PROD=https://api.asaas.com/v3`
+  - `ASAAS_WEBHOOK_TOKEN=<token-aleatorio>` (já existe? checar)
+- [ ] Decidir modelo de negócio (Opção A/B/C — §3) — recomendo **B** pra MVP solo
+
+---
+
+## 9. Phasing — entrega faseada
+
+### Fase A — Foundation (esta sessão)
+- [x] Design doc (este arquivo)
+- [ ] Migration de schema (asaas_customers + asaas_payments + asaas_webhook_events + colunas em payment_settings)
+- [ ] Client service `asaasGatewayService.js` (skeleton)
+- [ ] Edge Function stubs (3 novas + nota sobre estender webhook existente)
+- [ ] README/Checklist no service file
+
+### Fase B — Implementação real (próxima sessão, requer credenciais + decisões §7)
+- [ ] Edge Functions: chamadas reais ao Asaas
+- [ ] Webhook extension: handler pra `financial_records`
+- [ ] UI: botão "Gerar cobrança Asaas" no card do financial_record
+- [ ] UI: dialog mostrando QR code PIX + link boleto
+
+### Fase C — Onboarding (após B testar)
+- [ ] Página de config Asaas no `/configuracoes/financeiro`
+- [ ] Wizard pra terapeuta inserir API key + testar conexão
+- [ ] Migration de sandbox→prod com confirm
+
+### Fase D — Avançado (futuro)
+- [ ] Cartão on file (Asaas tokenizado)
+- [ ] Auto-billing recorrente (sessão realizada → gera Asaas automático)
+- [ ] Split payment se Opção A
+- [ ] Cobrança SaaS (Tier 2)
+
+---
+
+## 10. Riscos conhecidos
+
+1. **API key vazada** — se plaintext em `payment_settings`, qualquer breach da DB compromete. **Mitigação:** RLS restritiva + Vault em produção.
+2. **Duplicate billing** — webhook dispara 2× (retry Asaas). **Mitigação:** `asaas_webhook_events.event_id` UNIQUE + check de status atual antes de mutar.
+3. **Cancelamento race** — paciente paga enquanto terapeuta cancela. **Mitigação:** UPDATE `financial_records` só se `status='pending'` (CAS).
+4. **Reconciliação manual** — se webhook falha 3× e dá up, paciente pagou mas record fica pending. **Mitigação:** Edge Function `asaas-sync-payments` (manual trigger) que consulta `/payments` por externalReference e força update.
+5. **CPF/CNPJ obrigatório no Asaas** — paciente sem CPF não pode receber cobrança. **Mitigação:** validação client-side antes de chamar service.
+
+---
+
+## 11. Referências
+
+- Asaas API docs: https://docs.asaas.com/
+- Existing webhook pattern: `supabase/functions/asaas-webhook/index.ts`
+- Migration `financial_records.payment_link`: `20260514000001_financial_records_payment_link.sql`
+- Memory: `project_agenda_billing_decisoes` (decisões #1, #4, #5, #7, #8 confirmadas; #2/#3/#6 pendentes)
+- ROADMAP: `development/04-roadmap/ROADMAP.md` Fase 1.1 (#1-#4 Monetização)

development/02-auditoria/DESIGN_BILLING_ORCHESTRATOR.md

@@ -0,0 +1,480 @@
+# Design — useBillingOrchestrator
+
+> **Data:** 2026-05-20
+> **Tipo:** Design doc (sem código). Implementação fica pra Módulo 4 (Financeiro) da Fase 1.
+> **Resolve:** decisão 7 do PADRONIZACAO.md — overlap billing agenda ↔ financeiro com risco de double-billing.
+
+---
+
+## 1. Problema atual
+
+### 1.1 Três caminhos pra criar cobrança
+
+Cobrança de sessão hoje pode ser criada por **3 lugares diferentes**:
+
+| # | Caminho | Arquivo | Quando |
+|---|---|---|---|
+| A | Botão "Gerar cobrança" manual | `useAgendaFinanceiro.gerarCobrancaManual()` (linha 114) | User clica explicitamente em sessão sem cobrança |
+| B | Mudança de status na agenda | `useAgendaFinanceiro.handleStatusChange()` (linha 163) | User troca status (agendado→faltou, etc) |
+| C | Decisões aplicadas no Melissa | `useMelissaAgenda._applyStatusDecisions()` (linha 1450) | User confirma transição de status no fluxo Melissa |
+
+**Os 3 chamam a mesma RPC** `create_financial_record_for_session`. Sem coordenação central. Resultado: race condition silenciosa possível.
+
+### 1.2 UPDATEs diretos espalhados
+
+`handleStatusChange` também faz UPDATE/SELECT em `financial_records` direto (linhas 191, 194, 205, 208) — queries que **pertencem ao useFinancialRecords** mas são duplicadas aqui pra evitar import circular.
+
+### 1.3 State em variável de módulo (vaza)
+
+`useAgendaFinanceiro.js:38`:
+```js
+const _exceptionsCache = new Map();  // ← módulo-level, vaza entre instâncias
+```
+
+Quando user troca de tenant, cache não invalida automaticamente. Memória `useAgendaFinanceiro.invalidateExceptionsCache()` precisa ser chamada manualmente em vários lugares.
+
+### 1.4 Cenários de double-billing concretos
+
+1. **Race manual + status:** user clica "Gerar cobrança" + muda status pra "faltou" em < 200ms. Path A insere registro pending; Path B detecta sessão sem `billed` (já que ainda não chegou) e cria outro registro pela exceção.
+2. **Realizado vindo de faltou paid:** sessão estava `faltou` com multa paid. User volta pra `agendado` → `realizado`. Path B/C podem regerar cobrança em cima da multa paid existente (memória `project_rpc_idempotency_cancelled` foi um fix relacionado mas não cobre todo o problema).
+3. **Pacote saldo + adicional:** sessão de pacote `billing_contract_id` setado bloqueia Path A (linha 116). Mas Path B/C podem **não checar** esse campo em alguma branch — risco de cobrança individual em sessão de pacote.
+
+---
+
+## 2. Goals & Non-goals
+
+### Goals
+1. **Single entry point** pra qualquer mudança de billing relacionada a evento da agenda.
+2. **Idempotência garantida** — chamar 2× a mesma intenção produz o mesmo resultado.
+3. **State machine explícito** de transições de status com consequências financeiras claras.
+4. **Reverse transitions** tratadas (realizado→agendado, faltou→agendado, cancelado→agendado).
+5. **Orchestrador NUNCA toca supabase direto** — só via repository e composable de financeiro.
+6. **Cache de regras de exceção** vive na instância do composable, não em módulo.
+
+### Non-goals (fora deste escopo)
+1. Implementação — só design. Código vem na Fase 1 Módulo 4.
+2. Refator de `useFinancialRecords` em si (extrair pra repository) — vai junto no Módulo 4.
+3. Gateway de pagamento (Asaas) — Fase 3 do ROADMAP.
+4. Repasse a terapeutas — `therapist_payouts` separado.
+5. UI/UX de confirmação de reverse transitions — já mapeado em memória `project_agenda_reverse_transitions`, implementação no Módulo 4.
+
+---
+
+## 3. State machine de transições
+
+### 3.1 Status válidos
+
+Enum `status_evento_agenda` (do schema): `agendado | realizado | faltou | cancelado | remarcar`
+
+### 3.2 Matriz `from → to`
+
+|  | →agendado | →realizado | →faltou | →cancelado | →remarcar |
+|---|---|---|---|---|---|
+| **agendado→** | — | ✅ FORWARD | ✅ FORWARD | ✅ FORWARD | ✅ FORWARD |
+| **realizado→** | ⚠️ REVERSE | — | ⚠️ REVERSE | ⚠️ REVERSE | ❌ inválida |
+| **faltou→** | ⚠️ REVERSE | ⚠️ CROSS | — | ⚠️ CROSS | ❌ inválida |
+| **cancelado→** | ⚠️ REVERSE | ⚠️ CROSS | ⚠️ CROSS | — | ❌ inválida |
+| **remarcar→** | ✅ FORWARD | ✅ FORWARD | ✅ FORWARD | ✅ FORWARD | — |
+
+### 3.3 Tabela de consequências financeiras
+
+| Transição | Ação financeira default | Decisão do user (override) |
+|---|---|---|
+| `agendado→realizado` | Criar pending (se ainda não billed) com `amount = event.price` | Marcar como já recebido (forma de pagamento) |
+| `agendado→faltou` | Consultar `financial_exceptions[patient_no_show]` → criar multa OR cancelar existente | Consumir saldo de pacote (se aplicável) |
+| `agendado→cancelado` | Consultar `financial_exceptions[patient_cancellation]` + `min_hours_notice` → criar taxa de cancelamento tardio OR cancelar existente | — |
+| `realizado→agendado` | **REVERSE:** se record `paid` existe → confirm dialog (refund_paid). Se `pending` → soft-cancel. Se `paid+package`: refund + devolver saldo | Reverter manualmente sem auto |
+| `realizado→faltou` | **CROSS:** reverter realizado + aplicar regra de no-show. Se já paid → manter pago e converter em multa | — |
+| `faltou→agendado` | **REVERSE:** cancelar multa pending. Se multa paid → confirm dialog (refund) | — |
+| `cancelado→agendado` | **REVERSE:** cancelar taxa de cancelamento (se houver) | — |
+| `*→remarcar` | Manter cobrança existente, atualizar `due_date` quando reagendar | — |
+
+### 3.4 Pacote (billing_contract_id presente)
+
+**Sobre qualquer transição:** se `event.billing_contract_id` não-nulo, **não criar nem cancelar `financial_records` individual**. Em vez disso:
+- `agendado→realizado`: incrementa `billing_contracts.sessions_used`
+- `agendado→faltou` ou `agendado→cancelado` com `default_consume_on_miss=true`: incrementa `sessions_used`
+- `realizado→agendado`: decrementa `sessions_used` (refresh FRESH do DB antes, memória `project_agenda_reverse_transitions`)
+
+Memória relevante: `project_cross_week_propagation` — bulk-load tem que rodar mesmo sem reais na view + query records cross-week por recurrence_id.
+
+---
+
+## 4. API shape
+
+### 4.1 Signature do composable
+
+```js
+export function useBillingOrchestrator() {
+    // ─── State ──────────────────────────────────────────────────
+    const loading = ref(false);     // operação async em andamento
+    const error = ref('');          // string vazia default (canon do composable-blueprint)
+
+    // ─── Public actions ─────────────────────────────────────────
+
+    /**
+     * Orquestra mudança de status de um evento + consequências financeiras.
+     * Single entry point — substitui os 3 caminhos atuais.
+     *
+     * @param {Object} params
+     * @param {Object} params.event              - row de agenda_eventos completa
+     * @param {string} params.fromStatus
+     * @param {string} params.toStatus
+     * @param {Object} [params.decisions]        - overrides do user (ver decisões pendentes seção 5)
+     * @returns {Promise<{ok, actions: Array<BillingAction>, error?}>}
+     */
+    async function applyStatusChange(params) { ... }
+
+    /**
+     * Gera cobrança manual pra evento sem cobrança ainda. Idempotente.
+     * Bloqueia se billing_contract_id presente.
+     */
+    async function generateChargeForEvent(event, options = {}) { ... }
+
+    /**
+     * Lista records financeiros vinculados ao evento.
+     */
+    async function fetchRecordsForEvent(eventId) { ... }
+
+    /**
+     * Cancela TODOS os records pending/overdue de um evento (soft).
+     * Use APENAS em reverse transitions confirmadas pelo user.
+     */
+    async function cancelRecordsForEvent(eventId, reason) { ... }
+
+    /**
+     * Lê regra de exceção financeira com cache local (instância).
+     */
+    async function getExceptionRule(tenantId, exceptionType) { ... }
+
+    function invalidateRules() { ... }  // chama em troca de tenant
+
+    return {
+        loading, error,
+        applyStatusChange, generateChargeForEvent,
+        fetchRecordsForEvent, cancelRecordsForEvent,
+        getExceptionRule, invalidateRules
+    };
+}
+```
+
+### 4.2 Tipos relevantes
+
+```js
+/** @typedef {Object} BillingAction
+ *  Resultado de uma operação. Compõe o array `actions` retornado por applyStatusChange.
+ * @property {string} type           - 'created' | 'updated' | 'cancelled' | 'paid' | 'package_consumed' | 'package_returned' | 'noop'
+ * @property {string} [recordId]
+ * @property {number} [amount]
+ * @property {string} [reason]
+ */
+
+/** @typedef {Object} BillingDecisions
+ *  Overrides explícitos do user. Quando ausente, orchestrator decide via regras.
+ * @property {boolean} [consumePackageSession]    - faltou/cancelado: consumir saldo de pacote
+ * @property {'auto'|'always'|'never'} [applyNoShowFee]  - aplicar multa em faltou
+ * @property {'cancel_pending'|'refund_paid'|'manual'} [reverseCleanup]  - reverse: como tratar records existentes
+ */
+```
+
+### 4.3 Exemplo de uso (caller)
+
+```js
+// Em AgendaEventDialog.vue (ou onde quer que aplique status change)
+import { useBillingOrchestrator } from '@/features/financeiro/composables/useBillingOrchestrator';
+
+const billing = useBillingOrchestrator();
+
+async function onStatusChange(novoStatus, decisoes) {
+    const result = await billing.applyStatusChange({
+        event: eventoAtual.value,
+        fromStatus: eventoAtual.value.status,
+        toStatus: novoStatus,
+        decisions: decisoes  // pode ser undefined — orchestrator usa regras default
+    });
+
+    if (!result.ok) {
+        toast.add({ severity: 'error', summary: 'Falha', detail: result.error });
+        return;
+    }
+
+    // result.actions é narrativa do que aconteceu — use pra UI feedback
+    for (const action of result.actions) {
+        if (action.type === 'created') showCreatedToast(action.amount);
+        else if (action.type === 'cancelled') showCancelledToast();
+        // ...
+    }
+}
+```
+
+---
+
+## 5. Arquitetura interna
+
+### 5.1 Dependências (camadas)
+
+```
+useBillingOrchestrator
+        │
+        ├──> useFinancialRecords (thin wrapper)
+        │       │
+        │       └──> financialRecordsRepository
+        │               │
+        │               └──> supabase (RPC + tabela)
+        │
+        ├──> useBillingContracts (composable a criar — pacotes)
+        │       │
+        │       └──> billingContractsRepository
+        │
+        ├──> useFinancialExceptions (composable — regras de exceção)
+        │       │
+        │       └──> financialExceptionsRepository
+        │
+        └──> useAgendaEvents (THIN — só pra propagação reativa, não pra writes)
+                │
+                └──> agendaRepository (já existe)
+```
+
+**Regra absoluta:** orchestrator não importa `supabase` diretamente. Só dos composables/repositories acima.
+
+### 5.2 Internals
+
+```js
+// PRIVATE — não exportado
+const _rulesCache = new Map();  // ← agora DENTRO da function, vive com a instância
+
+async function _resolveBillingState(eventId) {
+    // Snapshot completo: records[], contract?, exceptionRule?
+    // Pra decidir transição sem race conditions.
+    const records = await financialRecords.fetchByEvent(eventId);
+    const packageInfo = event.billing_contract_id
+        ? await billingContracts.fetch(event.billing_contract_id)
+        : null;
+    return { records, packageInfo };
+}
+
+async function _runTransition(event, fromStatus, toStatus, decisions, state) {
+    const key = `${fromStatus}→${toStatus}`;
+    const handler = TRANSITION_HANDLERS[key];
+    if (!handler) {
+        throw new Error(`Transição inválida: ${key}`);
+    }
+    return handler({ event, decisions, state });
+}
+
+const TRANSITION_HANDLERS = {
+    'agendado→realizado': _handleRealizado,
+    'agendado→faltou': _handleFaltou,
+    // ... 1 handler por transição válida
+};
+
+async function _handleRealizado({ event, decisions, state }) {
+    if (event.billing_contract_id) {
+        return _consumePackageSession(event);
+    }
+
+    // Sessão avulsa — criar pending se não tem record ativo
+    const hasActive = state.records.some(r => ['pending','overdue','paid'].includes(r.status));
+    if (hasActive) {
+        return [{ type: 'noop', reason: 'Record já existe' }];
+    }
+    const record = await financialRecords.create({
+        patient_id: event.patient_id,
+        agenda_evento_id: event.id,
+        amount: event.price,
+        due_date: _eventDateISO(event)
+    });
+    return [{ type: 'created', recordId: record.id, amount: event.price }];
+}
+
+async function _handleFaltou({ event, decisions, state }) {
+    if (event.billing_contract_id) {
+        return decisions?.consumePackageSession ?? state.exceptionRule?.default_consume_on_miss
+            ? _consumePackageSession(event)
+            : [{ type: 'noop' }];
+    }
+
+    const rule = await getExceptionRule(event.tenant_id, 'patient_no_show');
+    if (!rule || rule.charge_mode === 'none') {
+        return _cancelExistingPending(state.records);
+    }
+    // ... lógica completa
+}
+```
+
+### 5.3 Idempotência — como o orchestrator garante
+
+Antes de criar record:
+```js
+// 1. Snapshot da state ANTES da decisão (já feito em _resolveBillingState)
+// 2. Verificar se record ativo já existe pro evento+intenção
+const existingActive = state.records.find(r =>
+    ['pending', 'overdue', 'paid'].includes(r.status)
+);
+if (existingActive) {
+    // Decidir: noop, update, ou criar segundo (raro — multa em cima de sessão paid)
+}
+
+// 3. Locks otimistas via UPDATE com .eq('status', expectedStatus)
+//    Se conflito, refresh + re-decide
+```
+
+Antes de update/cancel:
+```js
+// Sempre filtra .eq('tenant_id', tid) defesa em profundidade
+// (corrige divergências do audit baseline)
+```
+
+Para mudanças de pacote:
+```js
+// REFRESH FRESH do banco antes do UPDATE (memória project_agenda_reverse_transitions)
+const currentContract = await billingContracts.fetch(id);
+await billingContracts.update(id, {
+    sessions_used: currentContract.sessions_used - 1
+});
+```
+
+### 5.4 RPC `create_financial_record_for_session` — usar como single insert path
+
+A RPC já existe e tem idempotência (memória `project_rpc_idempotency_cancelled` foi fix recente). Orchestrator usa ela como **única forma de criar record de sessão**. INSERT direto fica APENAS pra `createManualRecord` (lançamento avulso sem evento), que continua em `useFinancialRecords.createManualRecord`.
+
+---
+
+## 6. Plano de migração (faseado, Módulo 4)
+
+### Fase A — Foundation (preparar terreno)
+1. Criar `features/financeiro/services/` com:
+   - `_tenantGuards.js` (copy do agenda)
+   - `financialSelects.js` (extrair `BASE_SELECT` atual)
+   - `financialRecordsRepository.js` (extrair queries do `useFinancialRecords`)
+   - `financialExceptionsRepository.js` (novo — pra `financial_exceptions`)
+   - `billingContractsRepository.js` (novo — pra `billing_contracts`)
+2. Adicionar `.eq('tenant_id', tid)` em todas operações (fix do audit alta sev).
+
+### Fase B — Composables refatorados (sem mudar callers)
+1. Mover `useFinancialRecords.js` pra `features/financeiro/composables/`.
+2. Refatorar pra usar repository (thin wrapper). Aplicar canon `error = ref('')`.
+3. Criar `features/financeiro/composables/useFinancialExceptions.js`.
+4. Criar `features/financeiro/composables/useBillingContracts.js`.
+5. Criar `features/financeiro/composables/useBillingOrchestrator.js` com signature acima.
+6. Callers ainda usam `useFinancialRecords` direto + `useAgendaFinanceiro` — **nada quebra ainda**.
+
+### Fase C — Migração de callers (1 por vez)
+1. Migrar `AgendaEventDialog.vue` pra `useBillingOrchestrator.applyStatusChange` em vez de `useAgendaFinanceiro.handleStatusChange`.
+2. Migrar `useMelissaAgenda._applyStatusDecisions` (linha 1450-1505) pra orchestrator.
+3. Migrar todos os callers de `useAgendaFinanceiro.gerarCobrancaManual` → `useBillingOrchestrator.generateChargeForEvent`.
+
+### Fase D — Cleanup
+1. Deletar `src/composables/useAgendaFinanceiro.js` (callers todos migrados).
+2. Deletar `src/composables/useFinancialRecords.js` raiz (versão refatorada vive em `features/financeiro/composables/`).
+3. Remover `_exceptionsCache` módulo-level (já estava no novo composable).
+
+### Sanity checks pós-migração
+- E2E Playwright: criar sessão → realizar com pagamento → mudar pra faltou → confirmar reverse → verificar contract.sessions_used. **NUNCA double-billing.**
+- Memory `project_agenda_billing_decisoes` — confirmar 5 decisões mantidas (#1 híbrido, #4 semi-auto no-show, #5 bloqueia edit cobrada, #7 credit note, #8 pagamento separado).
+
+---
+
+## 7. Decisões resolvidas (2026-05-20)
+
+### 7.1 ✅ `applyStatusChange` faz APENAS financeiro
+
+Signature final: `applyStatusChange({ event, fromStatus, toStatus, decisions })` retorna `{ ok, actions[], needsConfirmation?, error? }`. Caller é responsável por atualizar a agenda separadamente (`agendaRepository.update()`).
+
+**Consequência:** orchestrator stateless quanto à agenda. Caller faz wrapping:
+```js
+await agendaEvents.update(event.id, { status: novoStatus });
+const billing = await billingOrchestrator.applyStatusChange({ ... });
+// Se billing.needsConfirmation, mostrar dialog. Se erro, considerar rollback do status.
+```
+
+### 7.2 ✅ Reverse confirm via `needsConfirmation` no return
+
+Quando orchestrator detecta reverse com record paid (realizado paid → agendado) ou pacote saldo consumido:
+
+```js
+// Primeira chamada — sem decisions
+const r = await billingOrchestrator.applyStatusChange({ event, fromStatus: 'realizado', toStatus: 'agendado' });
+// r = { ok: false, needsConfirmation: true, options: [
+//   { key: 'cancel_pending', label: 'Cancelar cobrança pendente', amount: 200 },
+//   { key: 'refund_paid', label: 'Estornar pagamento', amount: 200 },
+//   { key: 'manual', label: 'Resolver manualmente depois' }
+// ] }
+
+// Caller mostra dialog → user escolhe → re-chama
+const r2 = await billingOrchestrator.applyStatusChange({
+    event, fromStatus: 'realizado', toStatus: 'agendado',
+    decisions: { reverseCleanup: 'refund_paid' }
+});
+// r2 = { ok: true, actions: [{ type: 'refunded', recordId, amount }] }
+```
+
+### 7.3 ✅ Transação via RPC `apply_billing_status_transition`
+
+Toda mudança financeira de transição roda em RPC dedicada. Tudo ou nada. RPC entra como migration durante Módulo 4. Composable orchestrator faz apenas:
+1. Resolve state atual (snapshot read-only)
+2. Calcula decisões (state machine no JS)
+3. Chama RPC com plano completo (`p_actions jsonb`)
+4. RPC executa em ordem dentro de uma transação SQL
+
+Signature proposta da RPC:
+```sql
+CREATE FUNCTION public.apply_billing_status_transition(
+    p_tenant_id uuid,
+    p_event_id uuid,
+    p_actions jsonb  -- [{ kind: 'create_record', amount, due_date }, { kind: 'cancel_record', record_id }, ...]
+) RETURNS jsonb;  -- { ok, applied: [...], failed?: { kind, reason } }
+```
+
+### 7.4 ✅ Decisões #2/#3/#6 de billing — sessão dedicada antes do Módulo 4
+
+Marcar sessão dedicada (~1h) pra fechar memória `project_agenda_billing_decisoes` antes da implementação. **Bloqueador parcial do Módulo 4** — orchestrator pode ser parcialmente implementado, mas a state machine só fica completa após resolver essas 3 decisões.
+
+> ⚠️ **Pendência rastreada:** adicionar item em `dev_auditoria_items` ou agenda recorrente. Vai aparecer como **TODO inicial** na sessão de implementação do Módulo 4.
+
+---
+
+## 8. Open questions (não-bloqueantes pro design)
+
+1. **`patient_timeline` integration:** quando orchestrator cria/cancela record, devia emitir evento `pagamento_recebido` / `pagamento_vencido` em `patient_timeline`? Hoje o enum suporta, mas não vejo inserts. **Sugestão:** adicionar como trigger no banco (não no orchestrator) — fica resiliente a chamadas que escapam do orchestrator.
+
+2. **Gateway webhook (Asaas):** quando Asaas dispara webhook "paid", quem processa? Edge function dedicada que chama `financialRecords.markAsPaid(id, 'pix')`, sem passar por orchestrator (orchestrator é só pra mudanças via agenda). Documentar como caminho separado válido.
+
+3. **Repasse a terapeuta (`therapist_payouts`):** quando record fica `paid`, gera entrada em `therapist_payout_records`? Hoje não. Decisão: trigger no banco que escuta UPDATE em `financial_records.status` → cria payout. Fora do escopo do orchestrator.
+
+4. **`patient_assessments` (Fase 2):** notas clínicas com escalas têm relação com billing? Improvável — assessments são clínicos, não-monetizados. Confirmar quando implementar.
+
+---
+
+## 9. Cross-references
+
+- Memórias relevantes:
+  - `project_rpc_idempotency_cancelled.md` — RPCs ignoram cancelled
+  - `project_billing_contracts_no_updated_at.md` — gotcha de UPDATE silently failing
+  - `project_agenda_billing_decisoes.md` — 5 decisões base
+  - `project_agenda_reverse_transitions.md` — confirm dialogs pra reverter
+  - `project_cross_week_propagation.md` — pacote upfront cross-week
+  - `project_c12_antecipar_iterar.md` — antecipar pacote (Watch sync resolveu snapshot stale)
+- Audit baseline divergências Financeiro: ver `AUDIT_BASELINE.md` seção 4
+- Blueprints: `repository-blueprint.md` + `composable-blueprint.md`
+- ROADMAP: Fase 1 itens 1-4 (Monetização)
+
+---
+
+## 10. Checklist pra implementação (Módulo 4 da Fase 1)
+
+- [ ] 5 repositories criados em `features/financeiro/services/`
+- [ ] 4 composables criados em `features/financeiro/composables/`
+- [ ] `useBillingOrchestrator` com signature acima
+- [ ] State machine completa (todas transições da matriz 3.2)
+- [ ] Cache de regras dentro da instância (não módulo-level)
+- [ ] Idempotência testada (chamada 2× = noop)
+- [ ] `.eq('tenant_id', tid)` em todas mutações (defesa em profundidade)
+- [ ] RPC `apply_billing_status_transition` (decisão 7.3 opção B)
+- [ ] AgendaEventDialog migrado pra orchestrator
+- [ ] useMelissaAgenda._applyStatusDecisions migrado
+- [ ] gerarCobrancaManual callers migrados
+- [ ] useAgendaFinanceiro.js deletado
+- [ ] useFinancialRecords.js raiz deletado
+- [ ] E2E test cobrindo reverse transition (realizado paid → agendado)
+- [ ] Confirm dialogs UI implementados (memória project_agenda_reverse_transitions)

development/02-auditoria/PADRONIZACAO.md

@@ -0,0 +1,177 @@
+# Padronização — Sweep estrutural pré-MVP
+
+> **Iniciado:** 2026-05-20
+> **Deadline MVP:** 3+ meses (lançamento limpo, sem usuários)
+> **Escopo MVP:** Pacientes + Agenda + Billing + Prontuário + Financeiro avançado + Multi-tenant
+
+---
+
+## Diagnóstico
+
+Sistema tem ~487 arquivos Vue, ~75-80% MVP-ready, padronização irregular. **Agenda passou por C1-C13 + análise sênior** — é o único módulo com profundidade arquitetural. Outros módulos têm divergências (composables sem `tenant_id` consistente, SELECTs inline, page layouts inconsistentes, dialogs que não seguem o blueprint).
+
+Sem padronizar antes de escalar features novas (Fase 1 do ROADMAP), cada gap vira dívida composta.
+
+---
+
+## Estratégia em 1 frase
+
+**Agenda é a referência madura.** Extrair seus padrões em blueprints → propagar módulo a módulo → tracking em `dev_auditoria_items` com tag `padronizacao:<modulo>`. **Não tocar agenda** até a Fase 4 (apenas pendências residuais).
+
+---
+
+## Fases
+
+### Fase 0 — Fundação (3-5 dias)
+
+Extrair os blueprints faltantes a partir da agenda:
+
+- [x] `melissa-page-blueprint.md` — já existe
+- [x] `melissa-table-page-blueprint.md` — já existe
+- [x] `dialog-blueprint.md` — já existe
+- [x] `repository-blueprint.md` — entregável 1 (2026-05-20)
+- [x] `composable-blueprint.md` — entregável 2 (2026-05-20)
+- [x] `quick-create-overlay-blueprint.md` — entregável 3 (2026-05-20). Documentado como **agenda-only** com promotion criteria explícito.
+
+E baseline:
+
+- [x] Update graphify do código atual (`graphify update src/` rodou 2026-05-20)
+- [x] Audit baseline por módulo → ver `development/02-auditoria/AUDIT_BASELINE.md` (2026-05-20). 51 divergências catalogadas + 4 surpresas estruturais. **Pendente:** popular `dev_auditoria_items` no banco (decisão de batch insert vs UI).
+
+### Fase 0.5 — Pré-Fase 1 setups (pós-audit baseline)
+
+Decisões 6-9 introduzem 4 entregáveis novos antes da Fase 1:
+
+- [x] **0.5.A** Atualizar `quick-create-overlay-blueprint.md` de "agenda-only" pra universal (2026-05-20) — header reescrito, seção 9 virou "Promotion History", path convention adicionada, checklist generalizado, memória `feedback_agenda_inline_quick_create` marcada como superseded
+- [x] **0.5.B** Schema clínico modelado (2026-05-20). 4 migrations + 1 seed escritos em `database-novo/migrations/20260520000001..4_clinical_notes_*.sql` e `database-novo/seeds/seed_040_clinical_note_templates.sql`. **Não executado** — aguardando review do user pra rodar `node db.cjs migrate`. Tabelas: `clinical_notes` + `clinical_note_versions` (audit trail via trigger snapshot) + `clinical_note_templates` (6 templates do sistema: anamnese, SOAP, DAP, BIRP, evolução livre, plano padrão). FK órfã `documents.session_note_id` renomeada pra `clinical_note_id` com constraint. RLS: owner-only (CFP sigilo).
+- [x] **0.5.C** Design doc `useBillingOrchestrator` (2026-05-20) — `development/02-auditoria/DESIGN_BILLING_ORCHESTRATOR.md`. State machine de 10 transições, dependências em 4 composables/5 repositories, plano de migração faseado em 4 fases (A/B/C/D), checklist de implementação. **4 decisões resolvidas:** (1) `applyStatusChange` só financeiro, agenda separada; (2) reverse confirm via `needsConfirmation` no return; (3) transação via RPC dedicada `apply_billing_status_transition`; (4) sessão dedicada pra decisões billing #2/#3/#6 antes do Módulo 4.
+- [x] **0.5.D** Scaffold da feature `tenantship/` (2026-05-20). 7 arquivos criados em `src/features/tenantship/`: `_tenantGuards.js`, `tenantInvitesSelects.js` + `Repository.js`, `tenantMembersSelects.js` + `Repository.js`, `useTenantInvites.js`, `useTenantMembers.js`. Funções funcionais (não-stub) usando tabela existente `tenant_invites` + view `v_tenant_members_with_profiles`. **2 pendências documentadas no código:** (1) `acceptInvite()` é stub PT-BR explicando que precisa de RPC `accept_tenant_invite(p_token uuid)` — migration a criar; (2) `sendInvite()` só insere row — envio de email/WhatsApp fica pra Módulo 6 (Notificações).
+
+### Fase 1 — Padronização módulo a módulo (4-6 semanas) — **em andamento**
+
+Ordem confirmada com usuário:
+
+| # | Módulo | Por que aqui | Status |
+|---|---|---|---|
+| 1 | **Home/Dashboard + Components base** | Alta visibilidade. Inclui refactor dos 3 quick-creates promovidos (decisão 6). | ✅ **Concluído 2026-05-20** (exceto M1.6 — MelissaLayout decomposition, deferida) |
+| 2 | **Pacientes** | Núcleo de dados — alimenta agenda, prontuário, financeiro. | ✅ **Concluído 2026-05-20** (aguarda teste batch) |
+| 3 | **Prontuário/Evolução** | Schema clínico já modelado (decisão 7). | ✅ **Foundation 2026-05-20** — repositories + composables prontos. Ativa quando migrations 0.5.B rodarem. UI da aba "Prontuário evolutivo" fica pra sessão dedicada. |
+| 4 | **Financeiro/Billing** | `useBillingOrchestrator` desenhado (decisão 8). | ✅ **Foundation 2026-05-20** — 3 repositories + 4 composables novos. State machine completa + migração dos 3 callers BLOQUEADA pelas decisões #2/#3/#6 — fica pra sessão dedicada. Old `useAgendaFinanceiro.js` + `useFinancialRecords.js` continuam em paralelo. |
+| 5 | **Multi-tenant + Tenantship** | Inclui implementar feature `tenantship/` (decisão 9). | ✅ **Concluído 2026-05-20.** MembersPage em `src/views/pages/admin/MembersPage.vue` (CRUD de membros + convites) + rota `/admin/members` registrada em `routes.clinic.js`. Migration `20260520000005_accept_tenant_invite_rpc.sql` criada (RPC SECURITY DEFINER com lock FOR UPDATE anti-race). `tenantInvitesRepository.acceptInvite` agora chama RPC real (não mais stub). SaasTenantFeaturesPage refatorada — 4 queries inline + 1 RPC extraídos pra `src/services/tenantFeatureAdminService.js`. **SetupWizardPage (2648 linhas) deferido** — refator de arquivo monolítico precisa sessão dedicada. |
+| 6 | **Notificações (WhatsApp/Email)** | Depende de tudo acima. | ✅ **Foundation 2026-05-20** — `noticesSelects.js` criado + `noticeService.js` refatorado pra usar constantes. `features/conversations/services/` com repository + selects. Channel factory + refactor de `useConversations.js` (fat composable) deferidos — sessão dedicada. SMS send ainda stub. |
+
+#### Módulo 1 — sub-entregáveis
+
+- [x] **M1.1** Criar `features/medicos/` (`_tenantGuards.js`, `medicosSelects.js`, `medicosRepository.js`, `useMedicos.js`) + refatorar `CadastroRapidoMedico.vue` pra usar repository (2026-05-20). Caller único (PatientsCadastroPage) — props/emits preservados. Zero referências `supabase`/`useTenantStore`/`getOwnerId`/`getTenantId` legacy no componente. **Testado pelo user ✅**
+- [x] **M1.2** Criar `features/insurance/` (`_tenantGuards.js`, `insurancePlansSelects.js`, `insurancePlansRepository.js` com `findByName` pra uniqueness check, `useInsurancePlans.js`) + refatorar `CadastroRapidoConvenio.vue` + `InsurancePlanQuickCreateDialog.vue` (bônus da agenda) (2026-05-20). Repository agora faz duplicate check case-insensitive antes de criar — quick-create blueprint compliance. Aguardando teste.
+- [x] **M1.3** Refatorado `ComponentCadastroRapido.vue` pra usar `usePatients` composable + `getMyActiveMember()` (novo helper em `tenantship/services/tenantMembersRepository.js`) (2026-05-20). Path NÃO mudou (continua em `src/components/`) — move pra `features/patients/components/` fica pra cleanup de M2. Props deprecated mantidas pra backwards-compat dos 8 callers. **Spillover M2:** fix `patientsRepository.createPatient` (audit alta — sempre injeta owner_id do uid logado, ignora payload) + `usePatients.error: ref('')` (audit média — canon). Aguardando teste.
+- [x] **M1.4** Extraído `TEST_ACCOUNTS` de `HomeCards.vue` pra `src/config/devTestAccounts.js` (2026-05-20). HomeCards importa do novo arquivo; 6 usages funcionam idênticos.
+- [x] **M1.5** Deletado `AgendaEventDialog.vue.bak` (não estava no git, 155KB órfão no disco) (2026-05-20).
+- [ ] **M1.6** Decomposição parcial `MelissaLayout.vue` (sessão dedicada — pode ficar pra depois)
+
+#### Módulo 2 — sub-entregáveis (2026-05-20, sem pausas de teste)
+
+- [x] **M2.1** Criar `patientsSelects.js` (11 constantes — PATIENTS_SELECT_BASE + cross-feature: sessões, financial, documents, messages, recurrences, support_contacts, groups, tags). Estender `patientsRepository.js` com 15 funções novas + `resolveTenantId` helper local. Cross-feature reads ficam no patients até M4/M6 padronizarem (documentado nos comments).
+- [x] **M2.2** `usePatientDetail.js` refatorado — 4 funções internas (getPatientById, getPatientRelations, getGroupsByIds, getTagsByIds) movidas pra repository. Composable agora é thin wrapper.
+- [x] **M2.3** `usePatientFinancial.js` refatorado — `_lastPatientId` movido DENTRO da function (audit alta resolvida: state não vaza mais entre instâncias). 4 mutations (load/markPaid/markUnpaid/createRecord) delegam ao repository.
+- [x] **M2.4** `usePatientSessions.js` refatorado — list+create+updateStatus via repository. Pattern virtual→materialize preservado usando `findSessionByRecurrence` + `createPatientSession` com recurrence_id/date. Recurrence expansion (useRecurrence) intacta. `supabase.auth.getUser()` mantido como context resolution (não é data query).
+- [x] **M2.5** Quatro composables simples refatorados em paralelo: `usePatientMessages`, `usePatientDocuments`, `usePatientRecurrences`, `usePatientSupportContacts`. Cada um delega list+mutations ao repository.
+- [x] **M2.6** Cleanups: `usePatients.js` upgraded pra Tipo A canônico completo (load/getById/create/update/remove com loading/error/re-throw consistente).
+
+**Resultado:** zero `supabase.from(...)` em qualquer composable de `features/patients/composables/`. Todos os 8 composables seguem Tipo A do blueprint. `_lastPatientId` não vaza mais.
+| 2 | **Pacientes** | Núcleo de dados — alimenta agenda, prontuário, financeiro. |
+| 3 | **Prontuário/Evolução** | Schema clínico já modelado (decisão 7). Migration já aplicada. |
+| 4 | **Financeiro/Billing** | `useBillingOrchestrator` já desenhado (decisão 8). |
+| 5 | **Multi-tenant + Tenantship** | Inclui implementar feature `tenantship/` (decisão 9). |
+| 6 | **Notificações (WhatsApp/Email)** | Depende de tudo acima. |
+
+**Por módulo, sempre:**
+1. Ler estado atual
+2. Diff vs blueprints
+3. Listar divergências em `dev_auditoria_items` (tag `padronizacao:<modulo>` + severidade)
+4. Plano de fix
+5. Executar
+6. Testar (persistir HANDOFF+wiki+memória **antes** do teste manual)
+7. Commit
+8. Atualizar tracker
+9. Log no wiki
+
+### Fase 2 — Hotspots Graphify (paralela)
+
+Do `project_graphify_findings_20260504`:
+- [ ] `convertToPatient` duplicado
+- [ ] Supabase client triplo
+- [ ] 348 nós fracos
+- [ ] Setup Wizard cohesion 0.05
+
+### Fase 3 — Gaps de MVP (Fase 1 do ROADMAP)
+
+- [🟡] **Gateway Asaas (Fase A foundation 2026-05-21)** — Design doc + 2 migrations (tables + RLS) + client service + 3 Edge Function stubs (create-payment-record, cancel-payment, sync-payment). Schema: `asaas_customers`, `asaas_payments`, `asaas_webhook_events` + 5 colunas em `payment_settings`. Fase B (implementação real) depende de credenciais + decisão modelo negócio (A/B/C). Ver `development/02-auditoria/DESIGN_ASAAS_GATEWAY.md`.
+- [x] **Compliance CFP (#5/#6/#7/#8/#9 todos done · 2026-05-21)** —
+  - #5 (registro profissional): migration `20260521000003_profiles_professional_registration.sql` — adiciona `professional_registration_type` (CHECK 8 conselhos) + `_number` + `_uf`.
+  - #6 (consent forms editáveis): migration `20260521000005_document_templates_consent_types.sql` estende CHECK com `termo_lgpd` + `autorizacao_gravacao`. `seed_060_consent_forms_extra.sql` insere 2 templates novos (LGPD + Gravação) + UPDATE no `tcle_online` adicionando cláusula LGPD. Biblioteca completa: TCLE base, tcle_online (telehealth), autorizacao_menor, termo_sigilo, termo_lgpd, autorizacao_gravacao + UI já existente (`DocumentTemplatesPage` + `DocumentTemplateEditor`).
+  - #7 (assinatura eletrônica no portal): 2 migrations RPC — `20260521000006` cria `sign_document_by_signature_id` + `sign_document_by_token` + `get_signable_document_by_token` (IP/UA capturados server-side via `inet_client_addr()` + `current_setting('request.headers')`); `20260521000007` cria `list_my_signatures` (cruzamento auth.uid() por 3 caminhos). `DocumentSignatures.service` estendido. `useDocumentSignatures` composable novo. `PortalDocumentos.vue` lista pendências do paciente logado. `SharedDocumentPage.vue` estendida com painel azul de assinatura (aviso LGPD + checkbox aceite + Assinar/Recusar). `DocumentSignatureDialog` (terapeuta-side, já existia) ganha checkbox "Gerar link público" + select de validade + bloco com URL gerado/copy.
+  - #8 (nome social): JÁ INTEGRADO — `patients.nome_social` schema existia + UI em 7 arquivos.
+  - #9 (especialidades): `20260521000004_specialties.sql` (tabela + profile_specialties M:N + RLS) + `seed_050_specialties.sql` (33 specialties) + `src/services/specialtiesService.js`.
+- [x] **Recibo profissional PDF (#14 · 2026-05-21)** — `valorExtenso.js` helper pt-BR. `DocumentGenerate.service` puxa registro profissional do profile (auto-formato `CRP 12345/SP`), formata `cpf_cnpj` do tenant, computa `valor`+`valor_extenso`, mapeia `templateTipo` → `tipo_documento` (recibo_pagamento → 'recibo'). Migration `20260521000008` substitui `{{terapeuta_crp}}` por `{{terapeuta_registro}}` no template — universal pra qualquer conselho. `emitirReciboParaSessao(eventoId, opts)` é quick path one-call. Botão "Emitir recibo" no `AgendaEventoFinanceiroPanel` quando `record.status === 'paid'`. #15 NFS-e ainda em aberto.
+- [x] **§1.3 UX block 3/4 (#10 + #11 + #13 · 2026-05-21)** —
+  - #10 Busca global: `GlobalSearch.vue` (RPC `search_global`) já estava completo no AppTopbar/Rail. **MelissaBusca promovida** de client-side preview pra RPC com debounce 200ms + searchSeq. 3 grupos novos (rpc-appointments, rpc-documents, rpc-intakes). `@paciente` no MelissaLayout corrigido pra navegar pro paciente clicado (era bug — ignorava payload).
+  - #11 Recently viewed: `composables/useRecentPatients.js` (localStorage por user_id, max 5, dedup, eventos sync entre instâncias). `registerPatientVisit` chamado em `MelissaPaciente.loadAll` + `PatientProntuario.loadDetail`. Grupo "Acessados recentemente" no GlobalSearch + MelissaBusca quando query vazia.
+  - #13 Relatórios export: `services/reportExport.service.js` com 3 funções (PDF via pdf.service, Excel via exceljs com import dinâmico, CSV vanilla). 3 botões no header de `RelatoriosPage.vue` e `MelissaRelatorios.vue`.
+- [ ] **#12 Papel timbrado (BLOQUEADO)** — código no UniaoApp (projeto externo). Quando user importar o código, plugar como variável `cabecalho_html`/`rodape_html` global em `document_templates` ou criar setting `tenants.letterhead_html`.
+- [ ] NFS-e emissão (#15) — Esforço L, decisão de provider pendente (Focus NF-e vs prefeitura direta).
+- [ ] E2E Playwright crítico (#16)
+- [ ] Sentry (#18)
+
+### Fase 4 — Agenda residual
+
+- [x] **Popover snapshot stale** (commit `f83315b` durante C11) — watch em `MelissaLayout` cobre virtual→materializada.
+- [x] **Reverse transition confirm dialogs** (commit `5684297` durante C11) — `ctx.reverseArtifacts` + dialog.
+- [x] **Decomposição agenda (Fases A+B1+B2 · 2026-05-21)** — `useMelissaAgenda.js` saiu de 3033L → 2042L (-991L, ~33%). 3 utils + 1 service novo (`agendaBilling.service`).
+  - Fase A: `features/agenda/utils/{eventoTipo,dbFields,timeHelpers,colors}.js`
+  - Fase B1 (commit `e7e3d1b`): service ganha `computeSeriePrice`, `generateOccurrenceDates`, `loadStatusChangeContext`, `needsStatusConfirmDialog`.
+  - Fase B2 (commit `049dd91`): service ganha `applyStatusDecisions`, `createPackageContract`, `materializeAndChargePerSession`.
+- [x] **Replicação Rail + Clínica (Fases C+D · 2026-05-21)** —
+  - Composable novo `useAgendaStatusChange` (Tipo A wrapper) reusável em qualquer page.
+  - Fase C (commit `034c2c0`): `AgendaTerapeutaPage.onUpdateSeriesEvent` refatorado + `AgendaStatusChangeConfirmDialog` plugado. Antes era `update(id, {status})` cru; agora cobre multa + pacote saldo + reverse.
+  - Fase D (commit `6807b44`): `AgendaClinicaPage` espelha Fase C com adaptações (`updateClinic`+`createClinic` recebem `tenantId` arg).
+- [x] **C12 antecipar UX iter** (commits `9c518a2` + `b7f3c23`) — "Trocar método" pattern (UPDATE em vez de cancel cycle) + filtro cancelled no dialog Lançamentos.
+- [ ] **Indicadores visuais 3 canais** (barra esquerda verde / badge $ amber / neutro) — replicar no Rail/Clínica. Custom event classNames do FullCalendar, requer `_paymentStateMap` bulk-load igual ao Melissa.
+- [ ] **Popover Rail antecipar/revogar/trocar método** — Rail não tem popover separado (usa AgendaEventDialog direto), precisa refactor maior pra acomodar.
+- [ ] **Doc de ajuda completa** — user enviará prompt específico.
+
+---
+
+## Decisões tomadas
+
+### Estratégicas iniciais (2026-05-20)
+1. **Ordem dos módulos** ✅ Confirmada acima
+2. **Tracker** ✅ Reusar `dev_auditoria_items` com tag `padronizacao:<modulo>`. Zero migration. View materializada agrupa por módulo se virar útil pra UI.
+3. **Cadência** ✅ Validação por entregável (cada blueprint vira sessão antes de propagar)
+4. **Agenda intocada** ✅ Até Fase 4
+5. **Skills novas** Só `/audit-module <nome>` — minimalista. Outras só se emergir necessidade.
+
+### Pós-audit baseline (2026-05-20)
+6. **Quick-create blueprint** ✅ **Promover pra universal** (3 candidates já existem fora da agenda). Refatorar `CadastroRapidoMedico.vue` + `CadastroRapidoConvenio.vue` + `ComponentCadastroRapido.vue` em paralelo no módulo 1.
+7. **Schema clínico do prontuário** ✅ **Modelar agora** (sessão dedicada antes da Fase 1). Sai com migration pronta de `patient_notes`/`clinic_sessions`/anamnese/evolução/plano terapêutico.
+8. **Overlap billing agenda ↔ financeiro** ✅ **Consolidar em 1 composable orquestrador** (`useBillingOrchestrator`). Resolve risco double-billing antes do refactor de Financeiro.
+9. **Convites/membership** ✅ **Feature separada `tenantship/`** com services + composables + página `/admin/members`. Semântica clara: gestão de membership.
+
+---
+
+## Antipadrão a evitar
+
+- ❌ Refatorar tudo de uma vez (= nunca lançar)
+- ❌ Tocar agenda durante a sweep (= regressão garantida)
+- ❌ Pular o tracking em `dev_auditoria_items` (= perder rastreabilidade)
+- ❌ Aplicar blueprint sem antes auditar divergências (= refazer trabalho)
+
+---
+
+## Referências
+
+- Blueprints: `D:\leonohama\AgenciaPsi.com.br\Sistema\agenciapsi-primesakai\blueprints/`
+- Agenda canônica: `src/features/agenda/services/` + `src/features/agenda/composables/useAgendaEvents.js`
+- Tracker: tabela `dev_auditoria_items` (UI em `/saas/desenvolvimento`)
+- Memória: `project_padronizacao_sweep.md`
+- ROADMAP de features (não confundir): `development/04-roadmap/ROADMAP.md`

src/components/AjudaDrawer.vue

@@ -15,7 +15,7 @@
 |--------------------------------------------------------------------------
 -->
 <script setup>
-import { ref, computed } from 'vue';
+import { ref, computed, watch, onBeforeUnmount } from 'vue';
 import { useRoute, useRouter } from 'vue-router';
 import { useAjuda } from '@/composables/useAjuda';
 
@@ -73,6 +73,24 @@ function fechar() {
     faqAbertos.value = {};
     closeDrawer();
 }
+
+// ── Fechar ao clicar fora ─────────────────────────────────────
+// Listener so existe enquanto o drawer esta aberto. Clique nos botoes
+// que abrem/fecham o drawer (marcados com data-ajuda-toggle) sao
+// ignorados — senao fecha aqui e o @click reabre.
+function onDocMouseDown(e) {
+    if (!drawerOpen.value) return;
+    const t = e.target;
+    if (!(t instanceof Element)) return;
+    if (t.closest('.ajuda-panel')) return;        // dentro do drawer
+    if (t.closest('[data-ajuda-toggle]')) return; // botao trigger
+    closeDrawer();
+}
+watch(drawerOpen, (open) => {
+    if (open) document.addEventListener('mousedown', onDocMouseDown, true);
+    else document.removeEventListener('mousedown', onDocMouseDown, true);
+});
+onBeforeUnmount(() => document.removeEventListener('mousedown', onDocMouseDown, true));
 // ── Highlight de elemento na página ──────────────────────────
 async function handleDocClick(e) {
     const anchor = e.target.closest('a[data-highlight]');

src/components/AppOfflineOverlay.vue

@@ -17,31 +17,61 @@
 <script setup>
 import { ref, onMounted, onBeforeUnmount } from 'vue';
 
-const isOnline = ref(true); // começa como true; detecta em onMounted
+// ── Estado ────────────────────────────────────────────────────
+// Começa otimista (true) — só marca offline com confirmação dupla.
+const isOnline = ref(true);
 const wasOffline = ref(false);
 const showReconnected = ref(false);
 
 let pollTimer = null;
 let reconnectedTimer = null;
+let consecutiveFailures = 0;
 
-// ── Detecção real: tenta buscar um recurso minúsculo ──────────
+// Em DEV, ignora completamente o polling: Vite HMR + dev server podem
+// disparar falhas pontuais que geram falso positivo constante. Em DEV,
+// só confia em navigator.onLine + eventos nativos (mais conservador).
+const IS_DEV = import.meta.env?.DEV === true;
+
+// Tolerância: precisa N falhas seguidas pra considerar offline. Evita
+// falso positivo de slow request / HMR rebuild / network blip.
+const FAILURE_THRESHOLD = 2;
+const POLL_INTERVAL = IS_DEV ? 60_000 : 30_000;
+const FETCH_TIMEOUT = 8_000;
+
+// ── Detecção: navigator.onLine primeiro, fetch como confirmação ──
+//
+// navigator.onLine é a fonte autoritativa do browser. Se for true,
+// quase certo que tem rede física. Se for false, com certeza offline.
+// O fetch só serve pra detectar "rede funciona mas servidor parado".
 async function checkConnectivity() {
+    // 1) Browser offline = confia direto, sem fetch
+    if (typeof navigator !== 'undefined' && navigator.onLine === false) {
+        consecutiveFailures = FAILURE_THRESHOLD;
+        setOffline();
+        return;
+    }
+
+    // 2) Browser online — confirma com HEAD no favicon (rápido, cacheável)
     try {
-        // favicon do próprio app (cache busted) — não depende de rede externa
         await fetch('/favicon.ico?_t=' + Date.now(), {
             method: 'HEAD',
             cache: 'no-store',
-            signal: AbortSignal.timeout(4000)
+            signal: AbortSignal.timeout(FETCH_TIMEOUT)
         });
+        consecutiveFailures = 0;
         setOnline();
     } catch {
-        setOffline();
+        consecutiveFailures++;
+        // Só marca offline após N falhas consecutivas — evita falso positivo
+        // de slow request, HMR rebuild, transient blip.
+        if (consecutiveFailures >= FAILURE_THRESHOLD) {
+            setOffline();
+        }
     }
 }
 
 function setOnline() {
     if (!isOnline.value && wasOffline.value) {
-        // acabou de reconectar
         showReconnected.value = true;
         if (reconnectedTimer) clearTimeout(reconnectedTimer);
         reconnectedTimer = setTimeout(() => {
@@ -59,19 +89,25 @@ function setOffline() {
 }
 
 // ── Eventos nativos do browser ────────────────────────────────
+// navigator.onLine + offline/online events são SUPER confiáveis pra
+// estado real (sem rede física, wifi caiu, etc). Outros falsos
+// positivos vinham só do fetch agressivo.
 function onBrowserOffline() {
+    consecutiveFailures = FAILURE_THRESHOLD;
     setOffline();
 }
 function onBrowserOnline() {
+    consecutiveFailures = 0;
     checkConnectivity();
-} // confirma antes de marcar online
+}
 
 onMounted(() => {
     window.addEventListener('offline', onBrowserOffline);
     window.addEventListener('online', onBrowserOnline);
 
-    // Polling a cada 10 s — captura quedas que não disparam evento
-    pollTimer = setInterval(checkConnectivity, 10_000);
+    // Polling defensivo — captura quedas que não disparam evento
+    // (raras, ex: DNS travado em wifi público).
+    pollTimer = setInterval(checkConnectivity, POLL_INTERVAL);
 
     // Verifica estado atual ao montar (útil se já começou offline)
     checkConnectivity();

src/components/CadastroRapidoConvenio.vue

@@ -24,8 +24,7 @@
 <script setup>
 import { ref, computed, watch } from 'vue'
 import { useToast } from 'primevue/usetoast'
-import { supabase } from '@/lib/supabase/client'
-import { useTenantStore } from '@/stores/tenantStore'
+import { useInsurancePlans } from '@/features/insurance/composables/useInsurancePlans'
 
 // ─────────────────────────────────────────────────────────
 const props = defineProps({
@@ -34,35 +33,13 @@ const props = defineProps({
 })
 const emit = defineEmits(['update:modelValue', 'update:visible', 'selected'])
 
-const toast       = useToast()
-const tenantStore = useTenantStore()
-
-// ─────────────────────────────────────────────────────────
-// Auth / tenant helpers
-// ─────────────────────────────────────────────────────────
-async function getOwnerId () {
-  const { data, error } = await supabase.auth.getUser()
-  if (error) throw error
-  const uid = data?.user?.id
-  if (!uid) throw new Error('Sessão inválida.')
-  return uid
-}
-async function getTenantId () {
-  const tid = tenantStore.tenantId || tenantStore.currentTenantId || tenantStore.tenant?.id
-  if (tid) return tid
-  const ownerId = await getOwnerId()
-  const { data, error } = await supabase
-    .from('tenant_members').select('tenant_id')
-    .eq('user_id', ownerId).eq('status', 'active')
-    .order('created_at', { ascending: false }).limit(1).single()
-  if (error) throw error
-  return data?.tenant_id
-}
+const toast = useToast()
+const insuranceStore = useInsurancePlans()
 
 // ─────────────────────────────────────────────────────────
 // Estado
 // ─────────────────────────────────────────────────────────
-const plans      = ref([])
+const plans      = insuranceStore.rows  // alias reativo da lista do composable
 const loading    = ref(false)
 const searchTerm = ref('')
 
@@ -93,19 +70,11 @@ const selectedPlan = computed(() =>
 // ─────────────────────────────────────────────────────────
 async function loadPlans () {
   loading.value = true
-  try {
-    const ownerId = await getOwnerId()
-    const { data, error } = await supabase
-      .from('insurance_plans')
-      .select('id, name, notes, default_value, active')
-      .eq('owner_id', ownerId)
-      .eq('active', true)
-      .order('name', { ascending: true })
-    if (error) throw error
-    plans.value = data || []
-  } catch (e) {
-    toast.add({ severity: 'error', summary: 'Erro', detail: e?.message || 'Falha ao carregar convênios.', life: 3500 })
-  } finally { loading.value = false }
+  await insuranceStore.loadForOwner()
+  if (insuranceStore.error.value) {
+    toast.add({ severity: 'error', summary: 'Erro', detail: insuranceStore.error.value, life: 3500 })
+  }
+  loading.value = false
 }
 
 watch(() => props.visible, (v) => {
@@ -143,26 +112,17 @@ async function savePlan () {
   if (!name) { formErr.value = 'Informe o nome do convênio.'; return }
   saving.value = true; formErr.value = ''
   try {
-    const ownerId  = await getOwnerId()
-    const tenantId = await getTenantId()
-    const payload = {
-      owner_id:      ownerId,
-      tenant_id:     tenantId,
+    // Repository injeta owner_id + tenant_id, sanitiza strings, faz uniqueness check (case-insensitive).
+    const data = await insuranceStore.create({
       name,
-      notes:         String(newPlan.value.notes || '').trim() || null,
-      default_value: newPlan.value.default_value !== '' ? Number(newPlan.value.default_value) : null,
-      active:        true,
-    }
-    const { data, error } = await supabase
-      .from('insurance_plans').insert(payload)
-      .select('id, name, notes, default_value, active').single()
-    if (error) throw error
-    plans.value = [...plans.value, data].sort((a, b) => a.name.localeCompare(b.name))
+      notes: newPlan.value.notes || null,
+      default_value: newPlan.value.default_value !== '' ? newPlan.value.default_value : null,
+    })
     toast.add({ severity: 'success', summary: 'Convênio criado', detail: `"${data.name}" adicionado.`, life: 2500 })
     selectPlan(data)
   } catch (e) {
     const msg = e?.message || ''
-    formErr.value = /duplicate/i.test(msg) ? 'Já existe um convênio com esse nome.' : (msg || 'Falha ao criar.')
+    formErr.value = msg || 'Falha ao criar.'
   } finally { saving.value = false }
 }
 

src/components/CadastroRapidoMedico.vue

@@ -22,9 +22,8 @@
 <script setup>
 import { ref, computed, watch } from 'vue'
 import { useToast }      from 'primevue/usetoast'
-import { supabase }      from '@/lib/supabase/client'
-import { useTenantStore } from '@/stores/tenantStore'
 import { digitsOnly, fmtPhone } from '@/utils/validators'
+import { useMedicos } from '@/features/medicos/composables/useMedicos'
 
 // ─────────────────────────────────────────────────────────
 const props = defineProps({
@@ -33,37 +32,15 @@ const props = defineProps({
 })
 const emit = defineEmits(['update:visible', 'created', 'selected'])
 
-const toast       = useToast()
-const tenantStore = useTenantStore()
-
-// ─────────────────────────────────────────────────────────
-// Auth / tenant
-// ─────────────────────────────────────────────────────────
-async function getOwnerId () {
-  const { data, error } = await supabase.auth.getUser()
-  if (error) throw error
-  const uid = data?.user?.id
-  if (!uid) throw new Error('Sessão inválida.')
-  return uid
-}
-async function getTenantId () {
-  const tid = tenantStore.tenantId || tenantStore.currentTenantId || tenantStore.tenant?.id
-  if (tid) return tid
-  const ownerId = await getOwnerId()
-  const { data, error } = await supabase
-    .from('tenant_members').select('tenant_id')
-    .eq('user_id', ownerId).eq('status', 'active')
-    .order('created_at', { ascending: false }).limit(1).single()
-  if (error) throw error
-  return data?.tenant_id
-}
+const toast = useToast()
+const medicosStore = useMedicos()
 
 // ─────────────────────────────────────────────────────────
 // Views: 'list' | 'create' | 'edit'
 // ─────────────────────────────────────────────────────────
 const view       = ref('list')
-const medicos    = ref([])
-const loading    = ref(false)
+const medicos    = medicosStore.rows  // alias reativo da lista carregada pelo composable
+const loading    = ref(false)         // local — só pra UI da list view (composable usa loading próprio internamente)
 const searchTerm = ref('')
 const editingId  = ref(null)   // uuid do médico sendo editado
 
@@ -134,19 +111,11 @@ const filteredMedicos = computed(() => {
 // ─────────────────────────────────────────────────────────
 async function loadMedicos () {
   loading.value = true
-  try {
-    const ownerId = await getOwnerId()
-    const { data, error } = await supabase
-      .from('medicos')
-      .select('id, nome, crm, especialidade, telefone_profissional, clinica, cidade, estado')
-      .eq('owner_id', ownerId)
-      .eq('ativo', true)
-      .order('nome', { ascending: true })
-    if (error) throw error
-    medicos.value = data || []
-  } catch (e) {
-    toast.add({ severity: 'error', summary: 'Erro', detail: e?.message || 'Falha ao carregar médicos.', life: 3500 })
-  } finally { loading.value = false }
+  await medicosStore.loadForOwner()
+  if (medicosStore.error.value) {
+    toast.add({ severity: 'error', summary: 'Erro', detail: medicosStore.error.value, life: 3500 })
+  }
+  loading.value = false
 }
 
 watch(() => props.visible, async (v) => {
@@ -166,31 +135,28 @@ watch(() => props.visible, async (v) => {
 })
 
 async function loadMedicoForEdit (id) {
-  try {
-    const ownerId = await getOwnerId()
-    const { data, error } = await supabase
-      .from('medicos').select('*').eq('id', id).eq('owner_id', ownerId).single()
-    if (error) throw error
-    form.value = {
-      nome:                data.nome || '',
-      crm:                 data.crm || '',
-      especialidade:       data.especialidade || '',
-      especialidade_outra: '',
-      telefone_profissional: data.telefone_profissional ? fmtPhone(data.telefone_profissional) : '',
-      telefone_pessoal:      data.telefone_pessoal      ? fmtPhone(data.telefone_pessoal)      : '',
-      email:               data.email || '',
-      clinica:             data.clinica || '',
-      cidade:              data.cidade || '',
-      estado:              data.estado || 'SP',
-      observacoes:         data.observacoes || '',
-    }
-    editingId.value = id
-    view.value = 'edit'
-  } catch (e) {
-    toast.add({ severity: 'error', summary: 'Erro', detail: e?.message || 'Falha ao carregar médico.', life: 3000 })
+  const data = await medicosStore.fetchById(id)
+  if (!data) {
+    toast.add({ severity: 'error', summary: 'Erro', detail: medicosStore.error.value || 'Médico não encontrado.', life: 3000 })
     view.value = 'list'
     loadMedicos()
+    return
   }
+  form.value = {
+    nome:                data.nome || '',
+    crm:                 data.crm || '',
+    especialidade:       data.especialidade || '',
+    especialidade_outra: '',
+    telefone_profissional: data.telefone_profissional ? fmtPhone(data.telefone_profissional) : '',
+    telefone_pessoal:      data.telefone_pessoal      ? fmtPhone(data.telefone_pessoal)      : '',
+    email:               data.email || '',
+    clinica:             data.clinica || '',
+    cidade:              data.cidade || '',
+    estado:              data.estado || 'SP',
+    observacoes:         data.observacoes || '',
+  }
+  editingId.value = id
+  view.value = 'edit'
 }
 
 // ─────────────────────────────────────────────────────────
@@ -229,44 +195,31 @@ async function saveMedico () {
   const isUpdate = !!editingId.value
 
   try {
-    const ownerId  = await getOwnerId()
-    const tenantId = await getTenantId()
-
+    // Payload: owner_id e tenant_id são injetados pelo repository.
+    // Repository sanitiza trim/nullif em strings; componente só normaliza telefones (digits-only).
     const payload = {
-      owner_id:  ownerId,
-      tenant_id: tenantId,
       nome,
-      crm:                   String(form.value.crm || '').trim() || null,
+      crm:                   form.value.crm || null,
       especialidade:         especialidadeFinal.value,
       telefone_profissional: form.value.telefone_profissional ? digitsOnly(form.value.telefone_profissional) : null,
       telefone_pessoal:      form.value.telefone_pessoal      ? digitsOnly(form.value.telefone_pessoal)      : null,
-      email:                 String(form.value.email || '').trim() || null,
-      clinica:               String(form.value.clinica || '').trim() || null,
-      cidade:                String(form.value.cidade || '').trim() || null,
-      estado:                String(form.value.estado || '').trim() || null,
-      observacoes:           String(form.value.observacoes || '').trim() || null,
-      ativo: true,
+      email:                 form.value.email || null,
+      clinica:               form.value.clinica || null,
+      cidade:                form.value.cidade || null,
+      estado:                form.value.estado || null,
+      observacoes:           form.value.observacoes || null,
     }
 
-    let data
-    if (isUpdate) {
-      const { data: d, error } = await supabase
-        .from('medicos').update({ ...payload, updated_at: new Date().toISOString() })
-        .eq('id', editingId.value).eq('owner_id', ownerId)
-        .select('id, nome, crm, especialidade, telefone_profissional, clinica, cidade, estado')
-        .single()
-      if (error) throw error
-      data = d
-      toast.add({ severity: 'success', summary: 'Médico atualizado', detail: `Dr(a). ${data.nome} atualizado.`, life: 2500 })
-    } else {
-      const { data: d, error } = await supabase
-        .from('medicos').insert(payload)
-        .select('id, nome, crm, especialidade, telefone_profissional, clinica, cidade, estado')
-        .single()
-      if (error) throw error
-      data = d
-      toast.add({ severity: 'success', summary: 'Médico cadastrado', detail: `Dr(a). ${data.nome} adicionado.`, life: 2500 })
-    }
+    const data = isUpdate
+      ? await medicosStore.update(editingId.value, payload)
+      : await medicosStore.create(payload)
+
+    toast.add({
+      severity: 'success',
+      summary: isUpdate ? 'Médico atualizado' : 'Médico cadastrado',
+      detail: `Dr(a). ${data.nome} ${isUpdate ? 'atualizado' : 'adicionado'}.`,
+      life: 2500
+    })
 
     emit(isUpdate ? 'selected' : 'created', data)
     emit('selected', data)

src/components/ComponentCadastroRapido.vue

@@ -25,10 +25,13 @@ import { useToast } from 'primevue/usetoast';
 import InputMask from 'primevue/inputmask';
 import Message from 'primevue/message';
 
-import { supabase } from '@/lib/supabase/client';
+// Audit alta (2026-05-20): substituir supabase direto por repository pattern.
+import { usePatients } from '@/features/patients/composables/usePatients';
+import { getMyActiveMember } from '@/features/tenantship/services/tenantMembersRepository';
 const { canSee } = useRoleGuard();
 const route = useRoute();
 const router = useRouter();
+const patientsStore = usePatients();
 
 const isOnPatientsPage = computed(() => {
     const p = String(route.path || '');
@@ -90,7 +93,13 @@ const props = defineProps({
     initialData: { type: Object, default: () => ({}) },
 
     closeOnCreated: { type: Boolean, default: true },
-    resetOnOpen: { type: Boolean, default: true }
+    resetOnOpen: { type: Boolean, default: true },
+
+    // Quando true (uso "in-flow", ex: dentro do AgendaEventDialog),
+    // esconde o botao "Salvar e ver pacientes" — navegar pra lista
+    // abandonaria o fluxo onde o cadastro foi aberto. Default false
+    // mantem o botao visivel pra usos standalone (sidebar, menu).
+    hideViewListButton: { type: Boolean, default: false }
 });
 
 const emit = defineEmits(['update:modelValue', 'created']);
@@ -139,31 +148,6 @@ function normalizePhoneDigits(v) {
     return sanitizeDigits(v);
 }
 
-async function getOwnerId() {
-    const { data, error } = await supabase.auth.getUser();
-    if (error) throw error;
-    const user = data?.user;
-    if (!user?.id) throw new Error('Usuário não encontrado. Faça login novamente.');
-    return user.id;
-}
-
-/**
- * Pega tenant_id + member_id do usuário logado.
- */
-async function resolveTenantContextOrFail() {
-    const { data: authData, error: authError } = await supabase.auth.getUser();
-    if (authError) throw authError;
-    const uid = authData?.user?.id;
-    if (!uid) throw new Error('Sessão inválida.');
-
-    const { data, error } = await supabase.from('tenant_members').select('id, tenant_id').eq('user_id', uid).eq('status', 'active').order('created_at', { ascending: false }).limit(1).single();
-
-    if (error) throw error;
-    if (!data?.tenant_id || !data?.id) throw new Error('Responsible member not found');
-
-    return { tenantId: data.tenant_id, memberId: data.id };
-}
-
 /* ----------------------------
  * Gerador (nome/email/telefone)
  * ---------------------------- */
@@ -213,8 +197,17 @@ function generateUser() {
     });
 }
 
-function patientsListRoute() {
+// Rota de destino do "Salvar e ver paciente". Em melissa, prefere a
+// view individual do paciente recém-criado (id vem de data.id no
+// emit('created')); fallback pra lista.
+function patientViewRoute(patientId) {
     const p = String(route.path || '');
+    if (p.startsWith('/melissa') && patientId) {
+        return { path: '/melissa/paciente', query: { id: String(patientId) } };
+    }
+    if (p.startsWith('/melissa')) {
+        return '/melissa/pacientes';
+    }
     return p.startsWith('/therapist') ? '/therapist/patients' : '/admin/pacientes';
 }
 
@@ -234,29 +227,30 @@ async function submit(mode = 'only') {
 
     saving.value = true;
     try {
-        const ownerId = await getOwnerId();
-        const { tenantId, memberId } = await resolveTenantContextOrFail();
+        // Resolve tenant_member ativo via repository (audit: não mais supabase direto)
+        const member = await getMyActiveMember();
+        if (!member?.id || !member?.tenant_id) {
+            throw new Error('Responsible member not found');
+        }
 
-        // extraPayload antes; tenant/responsible forçados depois (não podem ser sobrescritos sem querer)
+        // Payload canônico — campos hardcoded da tabela patients.
+        // Props deprecated (tableName/ownerField/etc) são ignoradas internamente.
+        // owner_id é injetado pelo repository (auth.uid()) — não passamos aqui.
+        // extraPayload pode trazer status, observações, etc.
         const payload = {
             ...props.extraPayload,
-
-            [props.ownerField]: ownerId,
-            [props.tenantField]: tenantId,
-            [props.responsibleMemberField]: memberId,
-
-            [props.nameField]: nome,
-            [props.emailField]: email.toLowerCase(),
-            [props.phoneField]: normalizePhoneDigits(tel)
+            tenant_id: member.tenant_id,
+            responsible_member_id: member.id,
+            nome_completo: nome,
+            email_principal: email.toLowerCase(),
+            telefone: normalizePhoneDigits(tel)
         };
 
         Object.keys(payload).forEach((k) => {
             if (payload[k] === undefined) delete payload[k];
         });
 
-        const { data, error } = await supabase.from(props.tableName).insert(payload).select().single();
-
-        if (error) throw error;
+        const data = await patientsStore.create(payload);
 
         toast.add({
             severity: 'success',
@@ -267,7 +261,10 @@ async function submit(mode = 'only') {
 
         emit('created', data);
         if (props.closeOnCreated) close();
-        if (mode === 'view') await router.push(patientsListRoute());
+        if (mode === 'view') {
+            const pid = data?.id || null;
+            await router.push(patientViewRoute(pid));
+        }
     } catch (err) {
         const msg = err?.message || err?.details || 'Não foi possível criar o paciente.';
         errorMsg.value = msg;
@@ -346,12 +343,13 @@ async function submit(mode = 'only') {
         <template #footer>
             <div class="flex justify-end gap-2">
                 <Button label="Cancelar" severity="secondary" text :disabled="saving" @click="close" />
-                <!-- Na rota de pacientes: só "Salvar" -->
+                <!-- Na rota de pacientes OU em fluxo (hideViewListButton): só "Salvar" / "Salvar e fechar" -->
                 <Button v-if="isOnPatientsPage" label="Salvar" :loading="saving" :disabled="saving" @click="submit('only')" />
-                <!-- Fora da rota de pacientes: "Salvar e fechar" + "Salvar e ver pacientes" -->
+                <Button v-else-if="hideViewListButton" label="Salvar e fechar" :loading="saving" :disabled="saving" @click="submit('only')" />
+                <!-- Standalone fora da lista: "Salvar e fechar" + "Salvar e ver paciente" -->
                 <template v-else>
                     <Button label="Salvar e fechar" severity="secondary" outlined :loading="saving" :disabled="saving" @click="submit('only')" />
-                    <Button label="Salvar e ver pacientes" :loading="saving" :disabled="saving" @click="submit('view')" />
+                    <Button label="Salvar e ver paciente" :loading="saving" :disabled="saving" @click="submit('view')" />
                 </template>
             </div>
         </template>

src/components/agenda/AgendaEventoFinanceiroPanel.vue

@@ -36,6 +36,7 @@ import { useConfirm } from 'primevue/useconfirm';
 
 import { supabase } from '@/lib/supabase/client';
 import { useAgendaFinanceiro } from '@/composables/useAgendaFinanceiro';
+import { emitirReciboParaSessao } from '@/services/DocumentGenerate.service';
 
 // ── props / emits ─────────────────────────────────────────────────────────────
 const props = defineProps({
@@ -56,6 +57,7 @@ const { gerarCobrancaManual, loading: finLoading, error: finError } = useAgendaF
 const record = ref(null); // financial_record vinculado
 const fetching = ref(false);
 const generating = ref(false);
+const emittingRecibo = ref(false);
 
 // ── opções de método de pagamento ─────────────────────────────────────────────
 const PAYMENT_METHODS = [
@@ -100,16 +102,35 @@ const scenario = computed(() => {
 
 const canAct = computed(() => record.value && (record.value.status === 'pending' || record.value.status === 'overdue'));
 
+// Sessão encerrada (não rolou) — bloqueia geração de cobrança nova.
+// Multa em cancelado/faltou deve passar pelo AgendaStatusChangeConfirmDialog,
+// não por "Gerar cobrança" solto que ignora o motivo.
+const isSessaoEncerrada = computed(() => {
+    const s = String(props.evento?.status || '').toLowerCase();
+    return s === 'cancelado' || s === 'cancelada' || s === 'faltou';
+});
+const semCobrancaLabel = computed(() => {
+    const s = String(props.evento?.status || '').toLowerCase();
+    if (s === 'cancelado' || s === 'cancelada') return 'Sessão cancelada · sem cobrança ativa';
+    if (s === 'faltou') return 'Sessão não realizada · sem cobrança ativa';
+    return 'Sem cobrança gerada';
+});
+
 // ── buscar financial_record pelo evento ───────────────────────────────────────
 async function fetchRecord() {
     if (!props.evento.id) return;
 
     fetching.value = true;
     try {
+        // Ignora records cancelados — permite que o user gere nova cobrança
+        // após cancelar (caso comum: cancelou sem querer ou quer recobrar).
+        // Sem esse filtro, o scenario ficava em 'com-cobranca' mostrando
+        // o cancelado, e o botão "Gerar cobrança" sumia.
         const { data, error } = await supabase
             .from('financial_records')
             .select('id, amount, discount_amount, final_amount, status, due_date, paid_at, payment_method')
             .eq('agenda_evento_id', props.evento.id)
+            .neq('status', 'cancelled')
             .order('created_at', { ascending: false })
             .limit(1)
             .maybeSingle();
@@ -205,6 +226,27 @@ function requestCancel() {
         }
     });
 }
+
+// ── Emitir recibo PDF da sessão ─────────────────────────────────────────────
+// Gera, salva (Storage + documents/document_generated) e baixa um recibo
+// pré-preenchido com paciente/sessão/valor/forma de pagamento + registro
+// profissional do terapeuta (CRP/CRM/CRFa etc — auto-formatado).
+async function onEmitirRecibo() {
+    if (emittingRecibo.value) return;
+    emittingRecibo.value = true;
+    try {
+        await emitirReciboParaSessao(props.evento.id, {
+            patientId: props.evento.patient_id || props.evento.paciente_id,
+            valor: record.value?.final_amount ?? record.value?.amount ?? props.evento.price,
+            formaPagamento: paymentLabel(record.value?.payment_method)
+        });
+        toast.add({ severity: 'success', summary: 'Recibo emitido', detail: 'PDF baixado e salvo nos documentos do paciente.', life: 3000 });
+    } catch (e) {
+        toast.add({ severity: 'error', summary: 'Erro ao emitir recibo', detail: e?.message || 'Tente novamente.', life: 4500 });
+    } finally {
+        emittingRecibo.value = false;
+    }
+}
 </script>
 
 <template>
@@ -230,10 +272,13 @@ function requestCancel() {
             <div v-else-if="scenario === 'sem-cobranca'" class="fin-panel__body fin-panel__body--empty">
                 <div class="flex items-center gap-2 text-[var(--text-color-secondary)]">
                     <i class="pi pi-minus-circle text-sm opacity-50" />
-                    <span class="text-sm">Sem cobrança gerada</span>
+                    <span class="text-sm">{{ semCobrancaLabel }}</span>
                 </div>
-                <Button label="Gerar cobrança" icon="pi pi-plus" size="small" class="rounded-full mt-2" :loading="generating || finLoading" @click="onGerarCobranca" />
-                <div v-if="props.evento.price" class="text-xs text-[var(--text-color-secondary)] mt-1">Valor da sessão: {{ fmtBRL(props.evento.price) }}</div>
+                <!-- Botão "Gerar cobrança" só aparece em status ativo (agendado/realizado).
+                     Pra cancelado/faltou: sessão não aconteceu → cobrança nova não cabe
+                     aqui. Pra registrar multa, usar o dialog de status change. -->
+                <Button v-if="!isSessaoEncerrada" label="Gerar cobrança" icon="pi pi-plus" size="small" class="rounded-full mt-2" :loading="generating || finLoading" @click="onGerarCobranca" />
+                <div v-if="props.evento.price && !isSessaoEncerrada" class="text-xs text-[var(--text-color-secondary)] mt-1">Valor da sessão: {{ fmtBRL(props.evento.price) }}</div>
             </div>
 
             <!-- ── Carregando o financial_record ────────────────────────────────── -->
@@ -270,6 +315,20 @@ function requestCancel() {
                     <Button label="Receber" icon="pi pi-check" size="small" class="rounded-full flex-1" @click="openPayDialog" />
                     <Button icon="pi pi-times" size="small" severity="danger" outlined class="rounded-full h-7 w-7" v-tooltip.top="'Cancelar cobrança'" @click="requestCancel" />
                 </div>
+
+                <!-- Ação: pago — emitir recibo PDF -->
+                <div v-else-if="record.status === 'paid'" class="flex gap-1.5 mt-3">
+                    <Button
+                        label="Emitir recibo"
+                        icon="pi pi-file-pdf"
+                        size="small"
+                        outlined
+                        class="rounded-full flex-1"
+                        :loading="emittingRecibo"
+                        v-tooltip.top="'Gera PDF e salva nos documentos do paciente'"
+                        @click="onEmitirRecibo"
+                    />
+                </div>
             </div>
         </div>
 

src/components/search/GlobalSearch.vue

@@ -15,9 +15,11 @@ import InputText from 'primevue/inputtext';
 import { supabase } from '@/lib/supabase/client';
 import { useTenantStore } from '@/stores/tenantStore';
 import { searchPages } from './pagesIndex';
+import { useRecentPatients } from '@/composables/useRecentPatients';
 
 const router = useRouter();
 const tenantStore = useTenantStore();
+const { items: recentPatients, hasItems: hasRecentPatients } = useRecentPatients();
 
 // ────────────────────────────────────────────────────────────
 // State
@@ -67,9 +69,14 @@ const filteredPages = computed(() => {
 // ────────────────────────────────────────────────────────────
 // Flat list pra navegação por teclado
 // ────────────────────────────────────────────────────────────
+// Recently-viewed só aparece quando a query está vazia — não polui resultados de busca.
+const showRecent = computed(() => !query.value.trim() && hasRecentPatients.value);
+const recentItems = computed(() => showRecent.value ? (recentPatients.value || []).slice(0, 5) : []);
+
 const flatList = computed(() => {
     const out = [];
     filteredActions.value.forEach((a, i)         => out.push({ group: 'actions',      item: a, idx: i }));
+    recentItems.value.forEach((p, i)             => out.push({ group: 'recent',       item: p, idx: i }));
     results.value.patients.forEach((p, i)        => out.push({ group: 'patients',     item: p, idx: i }));
     results.value.intakes.forEach((r, i)         => out.push({ group: 'intakes',      item: r, idx: i }));
     results.value.appointments.forEach((a, i)    => out.push({ group: 'appointments', item: a, idx: i }));
@@ -195,6 +202,16 @@ function onInputKeydown(e) {
 }
 
 async function goTo(entry) {
+    // Recent patients: usa id pra navegar pro prontuário do paciente
+    if (entry?.group === 'recent' && entry?.item?.id) {
+        showPanel.value = false;
+        query.value = '';
+        resetResults();
+        activeIndex.value = -1;
+        await router.push({ path: '/therapist/patients/' + entry.item.id });
+        return;
+    }
+
     const target = entry?.item?.to || entry?.item?.deeplink || entry?.item?.path;
     if (!target) return;
     showPanel.value = false;
@@ -266,6 +283,27 @@ const kbdModifier = kbdIsMac ? '⌘' : 'Ctrl';
             </div>
 
             <template v-else>
+                <!-- Acessados recentemente (só quando query vazia) -->
+                <div v-if="showRecent" class="gs-group">
+                    <div class="gs-group__title">Acessados recentemente</div>
+                    <button
+                        v-for="(p, i) in recentItems"
+                        :key="'rp-' + p.id"
+                        type="button"
+                        class="gs-item"
+                        :class="{ 'is-active': findFlatIndex('recent', i) === activeIndex }"
+                        @mouseenter="activeIndex = findFlatIndex('recent', i)"
+                        @click="goTo({ group: 'recent', item: p, idx: i })"
+                    >
+                        <span class="gs-item__icon"><i class="pi pi-history" /></span>
+                        <span class="gs-item__main">
+                            <span class="gs-item__label">{{ p.nome }}</span>
+                            <span class="gs-item__sub">{{ p.extras?.telefone || p.extras?.email || 'Abrir prontuário' }}</span>
+                        </span>
+                        <i class="gs-item__go pi pi-arrow-right" />
+                    </button>
+                </div>
+
                 <!-- Ações -->
                 <div v-if="filteredActions.length" class="gs-group">
                     <div class="gs-group__title">{{ query.trim() ? 'Ações' : 'Atalhos' }}</div>

src/components/search/pagesIndex.js

@@ -34,7 +34,7 @@ export const PAGES = [
     { id: 'p_t_medicos',          label: 'Médicos referenciadores',       icon: 'pi pi-user-edit',    sublabel: 'Médicos que encaminham pacientes',    path: '/therapist/patients/medicos',              roles: ['therapist'],                       keywords: kw('medicos','encaminhadores','referenciadores','indicacao') },
     { id: 'p_t_link_externo',     label: 'Link de cadastro externo',      icon: 'pi pi-link',         sublabel: 'Link público pra pacientes',          path: '/therapist/patients/link-externo',         roles: ['therapist'],                       keywords: kw('link','externo','publico','cadastro paciente','convite') },
     { id: 'p_t_cad_recebidos',    label: 'Cadastros recebidos',           icon: 'pi pi-inbox',        sublabel: 'Pacientes aguardando aceite',         path: '/therapist/patients/cadastro/recebidos',   roles: ['therapist'],                       keywords: kw('recebidos','pendentes','aceitar','intake','novos') },
-    { id: 'p_t_doc_templates',    label: 'Templates de documentos',       icon: 'pi pi-file-edit',    sublabel: 'Modelos reutilizáveis',               path: '/therapist/documents/templates',           roles: ['therapist'],                       keywords: kw('templates','modelos','contratos','documentos') },
+    { id: 'p_cfg_doc_templates',  label: 'Modelos de documentos',         icon: 'pi pi-file-edit',    sublabel: 'Configurações → Documentos',          path: '/configuracoes/documentos/templates',      roles: ['therapist','admin'],               keywords: kw('templates','modelos','contratos','documentos','recibo','atestado','laudo','tcle','lgpd','consent') },
     { id: 'p_t_online_sched',     label: 'Agendamento online',            icon: 'pi pi-globe',        sublabel: 'Página pública de agendamento',       path: '/therapist/online-scheduling',             roles: ['therapist'],                       keywords: kw('online','publico','agendar','landing','pagina','site') },
     { id: 'p_t_ag_recebidos',     label: 'Agendamentos recebidos',        icon: 'pi pi-calendar-plus',sublabel: 'Solicitações da agenda pública',      path: '/therapist/agendamentos-recebidos',        roles: ['therapist'],                       keywords: kw('solicitacoes','recebidos','publico','pedidos') },
     { id: 'p_t_fin_lanc',         label: 'Lançamentos financeiros',       icon: 'pi pi-list',         sublabel: 'Entradas e saídas',                   path: '/therapist/financeiro/lancamentos',        roles: ['therapist'],                       keywords: kw('lancamentos','entradas','saidas','fluxo de caixa','receitas','despesas') },

src/components/ui/JoditEmailEditor.vue

@@ -117,14 +117,14 @@ function buildConfig() {
     ];
 
     // Toolbar completa para o corpo do e-mail
+    // Botões hr (linha horizontal), eraser (apagar formatação) e source (HTML)
+    // foram removidos — não funcionavam de forma esperada.
     const bodyButtons = [
         'bold', 'italic', 'underline', 'strikethrough', '|',
         'ul', 'ol', '|',
         'font', 'fontsize', 'brush', 'paragraph', '|',
         'align', '|',
-        'link', 'table', '|',
-        'hr', 'eraser', '|',
-        'source'
+        'link', 'table'
     ];
 
     return {
@@ -194,7 +194,24 @@ watch(
 
 // ── API exposta ───────────────────────────────────────────────
 defineExpose({
-    insertHTML: (html) => jodit?.selection.insertHTML(html)
+    insertHTML: (html) => jodit?.selection.insertHTML(html),
+    // Salva markers da seleção atual antes do foco sair do editor
+    // (ex: usuário abre drawer e perde o cursor). Retorna o array de
+    // markers que pode ser passado pra restoreSelection depois.
+    saveSelection: () => {
+        if (!jodit) return null;
+        try { return jodit.selection.save(); }
+        catch { return null; }
+    },
+    // Restaura selection a partir dos markers salvos. Re-foca o editor.
+    restoreSelection: (markers) => {
+        if (!jodit) return;
+        try {
+            jodit.focus();
+            if (markers) jodit.selection.restore(markers);
+        } catch { /* silencioso */ }
+    },
+    focus: () => jodit?.focus()
 });
 </script>
 

src/components/ui/PatientCadastroDialog.vue

@@ -33,7 +33,13 @@ import PatientsCadastroPage from '@/features/patients/cadastro/PatientsCadastroP
 
 const props = defineProps({
     modelValue: { type: Boolean, default: false },
-    patientId: { type: String, default: null }
+    patientId: { type: String, default: null },
+
+    // Quando true (uso "in-flow", ex: aberto de dentro do AgendaEventDialog),
+    // esconde o botao "Salvar e ver pacientes" — navegar pra lista
+    // abandonaria o fluxo onde o cadastro foi aberto. Default false
+    // mantem o botao visivel pra usos standalone (Pacientes, Melissa).
+    hideViewListButton: { type: Boolean, default: false }
 });
 const emit = defineEmits(['update:modelValue', 'created']);
 
@@ -59,11 +65,22 @@ const router = useRouter();
 
 const isOnPatientsPage = computed(() => {
     const p = String(route.path || '');
-    return p.includes('/patients') || p.includes('/pacientes');
+    // /melissa/paciente (singular — prontuário) é página de paciente.
+    // /melissa/pacientes (plural — lista) também.
+    return p.includes('/patients') || p.includes('/pacientes') || p.startsWith('/melissa/paciente');
 });
 
-function patientsListRoute() {
+// Rota de destino quando o usuário pede "Salvar e ver paciente":
+// — no Melissa, abre o prontuário do paciente (singular, via query id)
+// — no Therapist/Admin, volta pra lista (não há rota dedicada de view).
+function patientViewRoute(patientId) {
     const p = String(route.path || '');
+    if (p.startsWith('/melissa') && patientId) {
+        return { path: '/melissa/paciente', query: { id: String(patientId) } };
+    }
+    if (p.startsWith('/melissa')) {
+        return '/melissa/pacientes';
+    }
     return p.startsWith('/therapist') ? '/therapist/patients' : '/admin/pacientes';
 }
 
@@ -76,7 +93,9 @@ async function onCreated(data) {
     isOpen.value = false;
     emit('created', data);
     if (pendingMode.value === 'view') {
-        await router.push(patientsListRoute());
+        // data.id vem do PatientsCadastroPage (criação ou edição)
+        const pid = data?.id || props.patientId || null;
+        await router.push(patientViewRoute(pid));
     }
 }
 </script>
@@ -188,12 +207,13 @@ async function onCreated(data) {
         <template #footer>
             <div class="flex justify-end gap-2">
                 <Button label="Cancelar" severity="secondary" text :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="isOpen = false" />
-                <!-- Na rota de pacientes: só "Salvar" -->
+                <!-- Na rota de pacientes OU em fluxo (hideViewListButton): só um botao -->
                 <Button v-if="isOnPatientsPage" label="Salvar" :loading="!!pageRef?.saving?.value" :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="submitWith('only')" />
-                <!-- Fora da rota de pacientes: "Salvar e fechar" + "Salvar e ver pacientes" -->
+                <Button v-else-if="hideViewListButton" label="Salvar e fechar" :loading="!!pageRef?.saving?.value" :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="submitWith('only')" />
+                <!-- Standalone fora da lista: "Salvar e fechar" + "Salvar e ver paciente" -->
                 <template v-else>
                     <Button label="Salvar e fechar" severity="secondary" outlined :loading="pendingMode === 'only' && !!pageRef?.saving?.value" :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="submitWith('only')" />
-                    <Button label="Salvar e ver pacientes" :loading="pendingMode === 'view' && !!pageRef?.saving?.value" :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="submitWith('view')" />
+                    <Button label="Salvar e ver paciente" :loading="pendingMode === 'view' && !!pageRef?.saving?.value" :disabled="!!pageRef?.saving?.value || !!pageRef?.deleting?.value" @click="submitWith('view')" />
                 </template>
             </div>
         </template>

src/composables/useAgendaFinanceiro.js

@@ -56,7 +56,7 @@ const STATUS_TO_EXCEPTION = {
 function calcChargeAmount(originalAmount, rule) {
     if (!rule || rule.charge_mode === 'none') return 0;
     if (rule.charge_mode === 'full') return originalAmount;
-    if (rule.charge_mode === 'fixed') return rule.charge_value ?? 0;
+    if (rule.charge_mode === 'fixed_fee') return rule.charge_value ?? 0;
     if (rule.charge_mode === 'percentage') {
         const pct = rule.charge_pct ?? 0;
         return parseFloat(((originalAmount * pct) / 100).toFixed(2));

src/composables/useFinancialRecords.js

@@ -39,9 +39,9 @@ async function getUid() {
 
 const BASE_SELECT = `
   id, tenant_id, owner_id, patient_id, agenda_evento_id,
-  amount, discount_amount, final_amount,
-  status, due_date, paid_at, payment_method,
-  notes, created_at, updated_at,
+  type, amount, discount_amount, final_amount,
+  status, due_date, paid_at, payment_method, payment_link,
+  description, notes, created_at, updated_at,
   patients!patient_id (
     id, nome_completo, identification_color
   ),

src/composables/useRecentPatients.js

@@ -0,0 +1,171 @@
+/*
+|--------------------------------------------------------------------------
+| Agência PSI
+|--------------------------------------------------------------------------
+| Arquivo: src/composables/useRecentPatients.js
+|
+| Tracking dos últimos pacientes acessados pelo usuário logado.
+| Armazenado em localStorage por user_id pra isolar sessões diferentes
+| no mesmo browser (multi-conta).
+|
+| Usado pelo GlobalSearch.vue / MelissaBusca.vue como "recently viewed"
+| quando o input está vazio, e pode ser embedido em dashboards.
+|--------------------------------------------------------------------------
+*/
+import { ref, computed, onMounted, onBeforeUnmount } from 'vue';
+import { supabase } from '@/lib/supabase/client';
+
+const MAX_ITEMS = 5;          // top N exibido
+const STORAGE_PREFIX = 'agpsi:recent-patients:';
+const STORAGE_EVENT = 'agpsi:recent-patients:changed';
+
+function storageKey(userId) {
+    return `${STORAGE_PREFIX}${userId || 'anon'}`;
+}
+
+function loadFromStorage(userId) {
+    try {
+        const raw = localStorage.getItem(storageKey(userId));
+        if (!raw) return [];
+        const parsed = JSON.parse(raw);
+        return Array.isArray(parsed) ? parsed : [];
+    } catch {
+        return [];
+    }
+}
+
+function saveToStorage(userId, items) {
+    try {
+        localStorage.setItem(storageKey(userId), JSON.stringify(items));
+        // Notifica outras instâncias do composable nesta mesma aba
+        window.dispatchEvent(new CustomEvent(STORAGE_EVENT, { detail: { userId } }));
+    } catch {
+        // Quota cheia / modo privado — silenciar
+    }
+}
+
+/**
+ * @returns composable reativo com `items` (array de pacientes recentes),
+ *          `addVisit(patient)` e `clear()`.
+ *
+ * Forma do patient esperado em addVisit:
+ *   { id: string, nome: string, ... } — extras (avatar, telefone, etc) são opt-in
+ *
+ * Forma do item armazenado:
+ *   { id, nome, visited_at: ISO, extras: {} }
+ */
+export function useRecentPatients() {
+    const userId = ref(null);
+    const items = ref([]);
+
+    async function resolveUserId() {
+        if (userId.value) return userId.value;
+        const { data } = await supabase.auth.getUser();
+        userId.value = data?.user?.id || 'anon';
+        return userId.value;
+    }
+
+    async function refresh() {
+        const uid = await resolveUserId();
+        items.value = loadFromStorage(uid);
+    }
+
+    async function addVisit(patient) {
+        if (!patient?.id) return;
+        const uid = await resolveUserId();
+        const current = loadFromStorage(uid);
+
+        const entry = {
+            id: String(patient.id),
+            nome: patient.nome_completo || patient.nome_social || patient.nome || '(sem nome)',
+            visited_at: new Date().toISOString(),
+            extras: {
+                nome_social: patient.nome_social || null,
+                avatar_url: patient.avatar_url || null,
+                telefone: patient.telefone || null,
+                email: patient.email_principal || patient.email || null
+            }
+        };
+
+        // Remove duplicata + insere no topo + limita a MAX_ITEMS
+        const dedup = current.filter(x => x.id !== entry.id);
+        dedup.unshift(entry);
+        const trimmed = dedup.slice(0, MAX_ITEMS);
+
+        saveToStorage(uid, trimmed);
+        items.value = trimmed;
+    }
+
+    async function remove(patientId) {
+        const uid = await resolveUserId();
+        const current = loadFromStorage(uid);
+        const filtered = current.filter(x => String(x.id) !== String(patientId));
+        saveToStorage(uid, filtered);
+        items.value = filtered;
+    }
+
+    async function clear() {
+        const uid = await resolveUserId();
+        saveToStorage(uid, []);
+        items.value = [];
+    }
+
+    // Sincroniza entre instâncias do composable na mesma aba
+    function onChange() {
+        refresh();
+    }
+    function onStorage(ev) {
+        if (typeof ev?.key === 'string' && ev.key.startsWith(STORAGE_PREFIX)) {
+            refresh();
+        }
+    }
+
+    onMounted(() => {
+        refresh();
+        window.addEventListener(STORAGE_EVENT, onChange);
+        window.addEventListener('storage', onStorage);
+    });
+
+    onBeforeUnmount(() => {
+        window.removeEventListener(STORAGE_EVENT, onChange);
+        window.removeEventListener('storage', onStorage);
+    });
+
+    const hasItems = computed(() => items.value.length > 0);
+
+    return {
+        items,
+        hasItems,
+        addVisit,
+        remove,
+        clear,
+        refresh
+    };
+}
+
+// ── Stateless helpers — usáveis fora de componentes (ex: action handlers) ──
+
+/**
+ * Registra uma visita SEM usar Vue reactivity. Útil pra hooks que não
+ * estão dentro de setup() (ex: router.beforeEach, navigation guards).
+ */
+export async function registerPatientVisit(patient) {
+    if (!patient?.id) return;
+    const { data } = await supabase.auth.getUser();
+    const uid = data?.user?.id || 'anon';
+    const current = loadFromStorage(uid);
+    const entry = {
+        id: String(patient.id),
+        nome: patient.nome_completo || patient.nome_social || patient.nome || '(sem nome)',
+        visited_at: new Date().toISOString(),
+        extras: {
+            nome_social: patient.nome_social || null,
+            avatar_url: patient.avatar_url || null,
+            telefone: patient.telefone || null,
+            email: patient.email_principal || patient.email || null
+        }
+    };
+    const dedup = current.filter(x => x.id !== entry.id);
+    dedup.unshift(entry);
+    saveToStorage(uid, dedup.slice(0, MAX_ITEMS));
+}

src/composables/useTopbarDevMenuExtras.js

@@ -0,0 +1,134 @@
+/*
+|--------------------------------------------------------------------------
+| Agência PSI
+|--------------------------------------------------------------------------
+| Arquivo: src/composables/useTopbarDevMenuExtras.js
+|
+| Extras DEV-only que aparecem dentro do mesmo botão "sliders" do topbar
+| (junto com o switcher de planos do useTopbarPlanMenu). Adiciona:
+|
+|   1) Switcher de layout (rail | melissa) — UPDATE em user_settings +
+|      localStorage + hard reload pra router decidir redirect.
+|
+|   2) Atalhos rápidos pra testar M1.3 (ComponentCadastroRapido nos
+|      diversos callers) e M1.1/M1.2 (CadastroRapidoMedico/Convenio).
+|
+| Visibilidade: assume que o caller só renderiza o menu se `showPlanDevMenu`
+| já estiver true (DEV + permissão). Não duplica essa lógica aqui.
+|
+| Uso em AppTopbar.vue / MelissaLayout.vue:
+|   const { devExtrasModel } = useTopbarDevMenuExtras();
+|   const combinedDevMenuModel = computed(() => [
+|       ...planMenuModel.value,
+|       { separator: true },
+|       ...devExtrasModel.value
+|   ]);
+|   <Menu :model="combinedDevMenuModel" ... />
+|--------------------------------------------------------------------------
+*/
+import { computed } from 'vue';
+import { useRouter } from 'vue-router';
+import { useToast } from 'primevue/usetoast';
+import { supabase } from '@/lib/supabase/client';
+import { useLayout } from '@/layout/composables/layout';
+
+export function useTopbarDevMenuExtras() {
+    const router = useRouter();
+    const toast = useToast();
+    const { layoutConfig } = useLayout();
+
+    const currentVariant = computed(() => layoutConfig.variant || 'classic');
+    const isRailLike = computed(() => currentVariant.value === 'rail' || currentVariant.value === 'classic');
+    const isMelissa = computed(() => currentVariant.value === 'melissa');
+
+    async function setLayoutAndReload(variant) {
+        try {
+            const { data, error: authErr } = await supabase.auth.getUser();
+            if (authErr) throw authErr;
+            const uid = data?.user?.id;
+            if (!uid) throw new Error('Sem sessão.');
+
+            const { error } = await supabase
+                .from('user_settings')
+                .upsert(
+                    {
+                        user_id: uid,
+                        layout_variant: variant,
+                        updated_at: new Date().toISOString()
+                    },
+                    { onConflict: 'user_id' }
+                );
+            if (error) throw error;
+
+            // Fast path: router.beforeEach/guards lêem localStorage antes do fetch
+            try {
+                localStorage.setItem('layout_variant', variant);
+            } catch (_) {
+                // ignore (Safari private mode etc.)
+            }
+
+            toast.add({ severity: 'success', summary: `Layout: ${variant}`, life: 1200 });
+
+            // Hard reload pra router redirecionar pra raiz correta
+            setTimeout(() => window.location.assign('/'), 250);
+        } catch (e) {
+            toast.add({
+                severity: 'error',
+                summary: 'Erro ao trocar layout',
+                detail: e?.message || 'Falha desconhecida.',
+                life: 4500
+            });
+        }
+    }
+
+    function goto(path) {
+        // router.push em vez de location.assign — mantém SPA + dev tools abertos.
+        // Se o guard redirecionar (ex: Melissa mode bloqueia /therapist/...),
+        // o usuário verá o redirect — sinal de que precisa trocar layout primeiro.
+        router.push(path).catch(() => {});
+    }
+
+    const devExtrasModel = computed(() => [
+        // ─── Layout ────────────────────────────────────────
+        { label: 'Layout (DEV)', icon: 'pi pi-th-large', disabled: true },
+        {
+            label: isRailLike.value ? 'Rail (atual)' : 'Rail',
+            icon: isRailLike.value ? 'pi pi-check' : 'pi pi-bars',
+            disabled: isRailLike.value,
+            command: () => setLayoutAndReload('rail')
+        },
+        {
+            label: isMelissa.value ? 'Melissa (atual)' : 'Melissa',
+            icon: isMelissa.value ? 'pi pi-check' : 'pi pi-window-maximize',
+            disabled: isMelissa.value,
+            command: () => setLayoutAndReload('melissa')
+        },
+
+        { separator: true },
+
+        // ─── Atalhos pra testar Módulo 1 ───────────────────
+        { label: 'Testar Módulo 1 (DEV)', icon: 'pi pi-bullseye', disabled: true },
+        {
+            label: '→ Cadastro Paciente (M1.1 + M1.2)',
+            icon: 'pi pi-user-plus',
+            command: () => goto('/therapist/patients/cadastro')
+        },
+        {
+            label: '→ Lista de Pacientes (M1.3-E)',
+            icon: 'pi pi-list',
+            command: () => goto('/therapist/patients')
+        },
+        {
+            label: '→ Melissa Agenda (M1.3-B)',
+            icon: 'pi pi-calendar',
+            command: () => goto('/melissa/agenda')
+        },
+        {
+            label: '→ Melissa Pacientes (M1.3-B)',
+            icon: 'pi pi-users',
+            command: () => goto('/melissa/pacientes')
+        }
+    ]);
+
+    return { devExtrasModel };
+}