# 🗺️ Plan Maestro Detallado – Proyecto Gloria (Sprints & QA) Este documento define el plan de ejecución por sprints, controles de seguridad y fases de validación colaborativa. --- ## 🟢 Sprint 1 – Cimientos, Infraestructura y Seguridad Base ### Foco Aislamiento de procesos y entorno Non-Root. ### Tareas Técnicas 1.1 Crear Dockerfile con usuario `appuser` (UID 1001). Prohibir `RUN sudo`. 1.2 Configurar `docker-compose.yml` con límites de CPU y memoria. 1.3 Configurar SQLite con permisos restringidos. 1.4 Validar `.env` con zod en arranque. ### Testing & Seguridad * Funcional: `pnpm install` y `prisma migrate` dentro del contenedor. * Manual: `docker exec -it whoami` ≠ root. * Automático: Integrar helmet.js. --- ## 🔵 Sprint 2 – Identidad Phone-First y Onboarding ### Foco Validación sin contraseñas y privacidad. ### Tareas Técnicas 2.1 Rate limiting con Redis (IP + teléfono). 2.2 Formulario multi-paso persistente. 2.3 Fidelidad visual Nano Banana. ### Testing & Seguridad * Funcional: Registro completo. * Manual: Inyección XSS en nombre. * Privacidad: IDs con UUID. --- ## 🟡 Sprint 3 – Triaje de Crisis y Agenda ### Foco Lógica sensible y disponibilidad. ### Tareas Técnicas 3.1 Motor de detección de crisis. 3.2 Sincronización Google Calendar con locks. ### Testing & Seguridad * Funcional: Alta en calendario. * Manual: Manipulación consola. * Resiliencia: Simulación fallo API. --- ## 🟠 Sprint 4 – Pagos y Roles ### Foco Integridad financiera y control de acceso. ### Tareas Técnicas 4.1 Upload seguro (tipo/tamaño). 4.2 Middleware RBAC. ### Testing & Seguridad * Funcional: Validación pago. * Manual: Bypass dashboard. * Vulnerabilidades: Archivos maliciosos. --- ## 🔴 Sprint 5 – Voz y Notas Clínicas ### Foco Privacidad extrema y ciclo de vida. ### Tareas Técnicas 5.1 Audio sandbox + Signed URLs. 5.2 Cron purga 7 días. ### Testing & Seguridad * Funcional: Audio → WhatsApp. * Manual: Acceso directo. * Purga: Ejecución forzada. --- ## 🟣 Sprint 6 – Integración Final y Stress QA ### Foco Estabilidad y cumplimiento. ### Tareas Técnicas 6.1 Recordatorios WhatsApp. 6.2 Log de auditoría. ### Testing & Seguridad * Regresión completa. * Cookies compliance. * Stress test (50 usuarios). --- ## 📝 Protocolo de Colaboración en Testing ### Entregables del Agente * Código fuente * Comando de test * Evidencia de ejecución ### Validación del Director Técnico * Ejecución manual * Prueba de seguridad * Revisión de logs ### Aprobación Solo tras validación manual se habilita la siguiente fase. --- Documento de control operativo y aseguramiento de calidad – Proyecto Gloria