Simulado para certificação SK0-005 CompTIA Server+ Simulado Online Grátis

Explicação: Conceito Básico: Na governança de IA, cada função possui responsabilidades distintas. Compreender essas funções é fundamental para o Domínio 4 do CompTIA SecAI+ (Governança, Risco e Conformidade de IA). Por que D está correto: O cientista de dados é responsável por traduzir casos de uso de negócios em modelos funcionais de IA/ML. Eles analisam os requisitos de negócios, identificam a abordagem apropriada de aprendizado de máquina e desenvolvem modelos que atendem a objetivos de negócios específicos. De acordo com o Guia de Estudo CompTIA SecAI+, os cientistas de dados unem dados brutos e soluções de IA acionáveis, construindo e validando modelos derivados de necessidades impulsionadas pelos negócios. Por que A está errado: Um arquiteto de plataforma projeta e gerencia a infraestrutura e as plataformas técnicas que hospedam sistemas de IA. Seu foco é o projeto arquitetônico do ambiente, e não o desenvolvimento de modelos a partir de casos de uso de negócios. Por que B está errado: um analista de risco de IA identifica, avalia e mitiga os riscos associados à adoção de IA. O seu papel é a governação e a orientação para o risco, e não a criação de modelos. Por que C está errado: um engenheiro de MLOps operacionaliza, implanta, monitora e mantém modelos de IA em produção. Eles pegam modelos já construídos por cientistas de dados e garantem uma operação confiável em escala, e não os desenvolvem a partir de casos de uso de negócios.

Explicação: Conceito Básico: Diferentes paradigmas de aprendizagem de ML lidam com diferentes situações de dados. A disponibilidade de dados rotulados e não rotulados determina qual abordagem de aprendizagem é apropriada. A construção de modelos de clustering requer especificamente o aprendizado com dados sem rótulos de categoria predefinidos. O Guia de estudo CompTIA SecAI + cobre paradigmas de aprendizagem de ML sob conceitos básicos de IA. Por que C está correto: o aprendizado não supervisionado funciona com dados não rotulados, descobrindo padrões, estruturas e agrupamentos inerentes aos dados sem categorias predefinidas. Clustering é a tarefa canônica de aprendizagem não supervisionada, onde algoritmos como k-means, clustering hierárquico ou DBSCAN agrupam pontos de dados semelhantes com base na similaridade de recursos. Como o cientista de dados possui dados não rotulados e deseja encontrar agrupamentos naturais, o aprendizado não supervisionado é a técnica apropriada e correta. Por que A está errado: o aprendizado supervisionado requer dados de treinamento rotulados, onde cada exemplo possui um rótulo de saída correto correspondente. O cientista de dados possui explicitamente dados não rotulados, tornando o aprendizado supervisionado inaplicável sem primeiro concluir a trabalhosa tarefa de rotular manualmente todos os exemplos. Por que B está errado: O aprendizado por reforço treina os agentes para realizar ações em um ambiente para maximizar recompensas cumulativas por meio de tentativa e erro. Ele foi projetado para problemas de tomada de decisão sequencial, não para encontrar agrupamentos em conjuntos de dados estáticos e não rotulados. Por que D está errado: o aprendizado semissupervisionado combina uma pequena quantidade de dados rotulados com uma grande quantidade de dados não rotulados. Requer pelo menos alguns rótulos para orientar o aprendizado. O cenário especifica o trabalho apenas com dados não rotulados, tornando o aprendizado não supervisionado o ajuste perfeito.

Explicação: Conceito Básico: Dados em repouso referem-se a dados inativos armazenados em bancos de dados ou mídias de armazenamento. Protegê-lo contra divulgação não autorizada é um princípio fundamental de segurança de dados abordado no Guia de estudo CompTIA SecAI+ em segurança de pipelines de dados de IA. Por que C está correto: A criptografia protege os dados em repouso, tornando-os ilegíveis para partes não autorizadas sem a chave de descriptografia apropriada. Numa instituição financeira com dados sensíveis, a criptografia em repouso (por exemplo, AES-256) é o principal controle contra a divulgação de dados. Mesmo que a mídia de armazenamento esteja fisicamente comprometida, os dados criptografados permanecem ininteligíveis. Os objetivos do exame CompTIA SecAI+ destacam a criptografia como o principal controle de confidencialidade para dados de IA armazenados. Por que A está errado: a linhagem de dados rastreia a origem e a movimentação dos dados ao longo de seu ciclo de vida. Melhora a rastreabilidade e a auditabilidade, mas não impede a divulgação não autorizada de dados em repouso. Por que B está errado: Os limites de taxa controlam o número de solicitações de API em um período de tempo. Eles protegem contra cenários de abuso e negação de serviço, e não contra a confidencialidade de dados em repouso. Por que D está errado: o mascaramento de dados substitui valores confidenciais por substitutos fictícios, úteis durante o desenvolvimento ou teste. Para dados de produção reais armazenados em sistemas de IA que lidam com registros financeiros reais, a criptografia fornece uma confidencialidade mais forte e abrangente.

Explicação: Conceito Básico: Os chatbots de IA são projetados com diretrizes de segurança e políticas de conteúdo que os impedem de gerar conteúdo prejudicial, ofensivo ou impróprio. Quando os usuários encontram maneiras de contornar essas restrições por meio de prompts elaborados, eles "desbloqueiam" o modelo. O Guia de Estudo CompTIA SecAI+ cobre o jailbreak como uma categoria chave de vulnerabilidade de IA. Por que C está correto: Jailbreaking é o processo de usar prompts habilmente elaborados para contornar as restrições de segurança, políticas de conteúdo e proteções comportamentais integradas de um modelo de IA, fazendo com que ele produza resultados que foi projetado para recusar. O cenário descreve um chatbot que foi projetado para assistência na configuração de automóveis, mas que está produzindo respostas ofensivas após as solicitações dos clientes, indicando que os clientes conseguiram fazer com que o modelo contornasse suas restrições de segurança e gerasse conteúdo proibido. Por que A está errado: A distorção do modelo refere-se a ataques ou preconceitos que fazem com que um modelo favoreça sistematicamente determinados resultados ou perspectivas ao longo do tempo, muitas vezes através da manipulação de dados. Ele descreve uma distorção gradual do comportamento do modelo, não um desvio direto das restrições de segurança solicitado pelo usuário em uma única interação. Por que B está errado: O roubo de modelo envolve extrair ou replicar a funcionalidade ou arquitetura de um modelo proprietário por meio de consultas repetidas. É um ataque à propriedade intelectual que visa roubar o conhecimento do modelo, e não um ataque que faz com que o modelo produza conteúdo ofensivo. Por que D está errado: O tratamento inseguro de saída ocorre quando um aplicativo não consegue validar ou higienizar adequadamente as saídas geradas por IA antes de usá-las de maneiras que possam causar danos, como passar a saída de IA diretamente para um comando do sistema ou consulta de banco de dados. Ele descreve uma vulnerabilidade de implementação do desenvolvedor, não o ato de um usuário solicitar que um modelo contorne suas restrições de segurança.

Explicação: Conceito Básico: Monitorar o comportamento interno do tempo de execução de um sistema de IA requer uma observação profunda do que o sistema está fazendo no nível de execução do código e da função, não apenas no perímetro. O Guia de Estudo CompTIA SecAI+ aborda a observabilidade do sistema de IA e o monitoramento do tempo de execução sob a proteção da infraestrutura de IA. Por que D está correto: habilitar a chamada de pilha e os rastreamentos de nível de depuração no nível da função fornece a mais alta granularidade de visibilidade nas operações internas. Esta abordagem expõe quais funções são chamadas, em que ordem, com quais entradas e o que é retornado, oferecendo uma visão genuína da atividade interna do sistema de IA em tempo de execução, exatamente como o engenheiro exige. Por que A está errado: Um SIEM agrega e correlaciona dados de log e eventos de diversas fontes. Embora seja útil para alertas de segurança, ele não fornece visibilidade inerente às operações internas em nível de função de um modelo de IA em tempo de execução. Por que B está errado: Um WAF com registro de cabeçalho monitora e filtra o tráfego HTTP no limite do aplicativo. Ele captura dados externos de solicitação e resposta, não a mecânica interna de tempo de execução do sistema de IA. Por que C está errado: Confiar nos controles do fornecedor e monitorar as entradas imediatas é uma abordagem passiva e focada externamente. Ele não fornece visibilidade de cálculos intermediários ou operações internas dentro do próprio modelo de IA.

Explicação: Conceito básico: quando alterações não autorizadas em um pipeline de treinamento de ML causam degradação do modelo, a causa raiz é controle de acesso e gerenciamento de alterações insuficientes em todo o pipeline. A prevenção de ocorrências futuras requer a implementação de controles de governança que garantam que todas as alterações no pipeline sejam revisadas e aprovadas antes da execução. O Guia de Estudo CompTIA SecAI+ cobre os controles de gerenciamento de mudanças MDLC. Por que B está correto: habilitar fluxos de trabalho de revisão e aprovação humana no repositório cria uma porta obrigatória que exige que revisores autorizados examinem e aprovem quaisquer alterações no código do pipeline de treinamento antes que possam ser mescladas e executadas. Isso evita que modificações não autorizadas cheguem ao pipeline, aplicando um processo de revisão onde quaisquer alterações suspeitas ou não autorizadas serão detectadas e rejeitadas antes que afetem o treinamento e o desempenho do modelo. Por que A está errado: a verificação estática de código analisa o código em busca de vulnerabilidades e violações dos padrões de codificação. Embora melhore a qualidade e a segurança do código, não impede que indivíduos não autorizados enviem e mesclem alterações maliciosas no pipeline sem a devida revisão. Por que C está errado: O retreinamento com mais dados e épocas aborda a restauração do desempenho do modelo após o fato, mas não evita futuras modificações não autorizadas no pipeline. Se o pipeline permanecer desprotegido, o mesmo ataque poderá ocorrer novamente no novo modelo. Por que D está errado: manter várias cópias de modelo permite a restauração rápida de uma versão anterior quando um modelo implantado está comprometido. Embora útil para recuperação, é uma medida reativa que não impede que alterações não autorizadas no pipeline ocorram e afetem o treinamento futuro do modelo.

Explicação: Conceito Básico: Vários quadros regulamentares regem a utilização da IA ​​em diferentes contextos. Para auditar a conformidade legal em aplicações de IA de alto risco, como emprego e RH, a legislação regulamentar vinculativa tem precedência sobre as normas voluntárias. Os objetivos do exame CompTIA SecAI+ cobrem estruturas de governança e conformidade de IA no Domínio 4. Por que C está correto: A Lei de IA da UE é a primeira regulamentação de IA abrangente e juridicamente vinculativa do mundo. Classifica explicitamente os sistemas de IA utilizados no emprego, na gestão de trabalhadores e no recrutamento como sistemas de IA de alto risco, submetendo-os a requisitos de conformidade rigorosos, incluindo avaliações de conformidade, obrigações de transparência e mandatos de supervisão humana. Um auditor que revise a IA de RH em busca de não conformidade legal deve fazer referência a esta legislação vinculativa. Por que A está errado: Os Princípios de IA da OCDE são diretrizes internacionais não vinculativas que promovem uma IA responsável. Eles oferecem orientação política, mas não possuem poder de aplicação legal para auditoria de conformidade. Por que B está errado: O NIST AI RMF é uma estrutura voluntária focada na gestão de riscos. Não é um padrão de conformidade legal e não pode ser usado para avaliar a não conformidade legal. Por que D está errado: Os padrões ISO, como o ISO 42001, são padrões voluntários de melhores práticas internacionais. Não são instrumentos de conformidade legal com penalidades aplicáveis ​​para sistemas de IA de RH.

Explicação: Conceito Básico: A redução de vulnerabilidades pós-implantação requer a detecção de problemas de segurança o mais cedo possível no fluxo de trabalho de desenvolvimento. Ferramentas assistidas por IA que analisam o código durante o desenvolvimento fornecem o ponto de intervenção mais precoce possível. O Guia de Estudo CompTIA SecAI+ cobre a integração de IA no desenvolvimento seguro sob segurança assistida por IA. Por que A está correto: o linting de código assistido por IA analisa o código-fonte em tempo real durante o desenvolvimento para identificar vulnerabilidades de segurança, padrões de codificação inseguros, violações de políticas e problemas de qualidade antes que o código seja compilado ou confirmado. Ao detectar vulnerabilidades no estágio de codificação – o ponto mais inicial possível no fluxo de trabalho de desenvolvimento – o linting de código de IA evita que o código vulnerável progrida para teste, preparação ou produção, reduzindo diretamente as vulnerabilidades pós-implantação em sua origem. Por que B está errado: O gerenciamento de incidentes trata de eventos e incidentes de segurança após terem ocorrido na produção. É uma capacidade reativa focada na resposta e na recuperação, em vez da identificação de vulnerabilidades em estágio inicial no fluxo de trabalho de desenvolvimento. Por que C está errado: a implantação/reversão automatizada automatiza o processo de enviar código para produção e reverter para versões anteriores quando problemas são detectados após a implantação. É um mecanismo de segurança de implantação e não uma ferramenta de detecção precoce durante a fase de desenvolvimento. Por que D está errado: A auditoria do sistema analisa e registra atividades e configurações do sistema para verificação de conformidade. É principalmente uma detecção e controle de conformidade para sistemas que já estão implantados, e não uma ferramenta de identificação de vulnerabilidades na fase inicial de desenvolvimento.

Explicação: Conceito Básico: Chatbots baseados em LLM que aceitam arquivos enviados por usuários enfrentam duas categorias críticas de risco: injeção maliciosa de entrada e abuso de recursos ou custos. O Guia de Estudo CompTIA SecAI+ destaca controles imediatos de segurança e gerenciamento de recursos como principais camadas defensivas para aplicativos LLM voltados ao público. Por que A está correto: as proteções de prompt interceptam e filtram as entradas do usuário e as saídas do modelo, bloqueando prompts maliciosos, tentativas de injeção de prompt e conteúdo de arquivo prejudicial antes de afetar o comportamento do modelo. Como os usuários podem fazer upload de arquivos, as proteções são essenciais para higienizar e validar esse conteúdo antes do processamento. Por que D está correto: As cotas de token modelo limitam diretamente quanto da capacidade de processamento do LLM um usuário pode consumir. Isso evita abusos além do SLA, incluindo ataques de negação de carteira ou esgotamento de recursos por meio de entradas excessivamente grandes ou solicitações repetidas. Por que B está errado: Os controles de acesso baseados em funções gerenciam quem pode acessar quais recursos. Embora úteis para sistemas internos, eles não abordam conteúdo de entrada mal-intencionado nem impõem limites de consumo de recursos LLM para um chatbot voltado ao público. Por que C está errado: As regras de firewall operam na camada de rede e podem bloquear IPs ou portas não autorizados, mas não podem inspecionar ou filtrar o conteúdo semântico de prompts ou controlar o uso de LLM em nível de token.

Explicação: Conceito Básico: A IA responsável abrange um conjunto de princípios concebidos para garantir que os sistemas de IA operem de forma ética, justa e responsável. Esses princípios orientam o desenvolvimento e a implantação da IA ​​para minimizar os danos e maximizar a confiabilidade. Os objetivos do exame CompTIA SecAI+ listam transparência e explicabilidade como princípios fundamentais de IA responsável no Domínio 4. Por que B está correto: Transparência e explicabilidade são princípios fundamentais da IA ​​responsável. Transparência significa que os sistemas de IA são abertos quanto à sua natureza, capacidades, limitações e como tomam decisões. Explicabilidade significa que o sistema pode articular as razões por trás das suas decisões em termos compreensíveis para os humanos. Juntos, eles permitem a responsabilização, apoiam a conformidade regulatória, permitem a detecção de preconceitos e constroem a confiança do usuário. O Guia de Estudo CompTIA SecAI+ e estruturas de IA responsáveis, incluindo OCDE e NIST AI RMF, identificam consistentemente isso como um princípio fundamental. Por que A está errado: O uso de dados protegidos para treinamento violaria a privacidade e os direitos de propriedade intelectual. Este não é um princípio de IA responsável – a IA responsável, na verdade, exige garantir que os dados de treinamento respeitem a privacidade, o consentimento e as proteções legais. Por que C está errado: Human-in-the-loop é uma prática operacional importante para decisões de IA de alto risco, mas é um padrão de design e não o princípio fundamental e abrangente da IA ​​responsável. Nem todos os sistemas de IA responsáveis ​​exigem operação humana em cada decisão. Por que D está errado: Maximizar a segurança do modelo é um objetivo de segurança cibernética para sistemas de IA. Embora importante, é uma preocupação de segurança operacional e não um princípio de governação responsável da IA ​​centrado na justiça, na responsabilização e na fiabilidade na tomada de decisões da IA.

Explicação: Conceito Básico: Os modelos de ML são excelentes em tarefas de classificação, aprendendo a atribuir pontos de dados recebidos a categorias predefinidas com base em padrões em dados de treinamento. Em um contexto SOC, a classificação de alertas é a função de triagem de maior valor que o ML pode executar. Os objetivos do exame CompTIA SecAI+ abordam operações de segurança assistidas por IA no domínio 3. Por que C está correto: a classificação de alerta baseada em ML analisa automaticamente as características de cada alerta e o atribui a uma categoria de gravidade, como crítica, alta, média ou baixa, ou a um tipo de ameaça, como malware ou tentativa de intrusão. Isso reduz drasticamente a carga de trabalho do analista e acelera a triagem, priorizando quais alertas exigem atenção humana imediata, resolvendo diretamente o problema de alto volume. Por que A está errado: a aplicação de filtros em alertas específicos é uma operação baseada em regras que pode ser alcançada sem ML, usando ferramentas simples de gerenciamento de log. Não requer capacidade de aprendizagem e não se adapta a ameaças novas ou em evolução. Por que B está errado: A correção automática de sistemas é uma ação de remediação que requer processos validados e controlados. Ter um sistema de ML corrigindo sistemas de produção de forma autônoma, sem supervisão humana, representa um risco operacional e de segurança inaceitável. Por que D está errado: resumir o conteúdo do alerta é uma função generativa de IA útil, mas não fornece valor de priorização para triagem. A classificação diz aos analistas o que fazer primeiro; o resumo apenas reformula as informações existentes.

Explicação: Conceito Básico: O conteúdo gerado por IA, incluindo texto personalizado, voz sintética e vídeo deepfake, aumentou drasticamente a eficácia e a escalabilidade dos ataques de engenharia social. Compreender como a IA amplifica tipos de ataque específicos é fundamental para os conceitos básicos de IA do CompTIA SecAI+ no contexto de segurança cibernética. Por que B está correto: Os ataques de phishing são possibilitados de forma mais dramática por conteúdo gerado por IA. A IA pode gerar e-mails de phishing altamente personalizados e gramaticalmente perfeitos, adaptados a alvos individuais, usando informações disponíveis publicamente. Ele pode criar áudio e vídeo deepfake convincentes para phishing de voz (vishing) e phishing de vídeo, replicar estilos de comunicação executiva para comprometimento de e-mail comercial e gerar campanhas de phishing em grande escala. A qualidade e a personalização que anteriormente exigiam engenheiros sociais humanos qualificados agora podem ser automatizadas com IA. Por que A está errado: O envenenamento de modelo é um ataque específico contra sistemas de IA que corrompe dados de treinamento para manipular o comportamento do modelo. Embora sofisticado, é um ataque direcionado à segurança de IA, em vez de um crime cibernético amplo possibilitado por conteúdo gerado por IA em grande escala. Por que C está errado: Ransomware é um malware que criptografa os dados das vítimas e exige pagamento pelas chaves de descriptografia. Embora a IA possa ajudar no desenvolvimento de ransomware, a implantação de ransomware depende mais da execução de código e de técnicas de propagação de rede do que de conteúdo gerado por IA. Por que D está errado: A execução remota de código envolve a exploração de vulnerabilidades para executar código arbitrário em um sistema de destino. Baseia-se na exploração de vulnerabilidades técnicas em vez de conteúdo gerado por IA. A IA pode ajudar a encontrar vulnerabilidades, mas o RCE não é habilitado principalmente pela geração de conteúdo.

Explicação: Conceito Básico: O preço da API LLM é baseado principalmente no consumo de tokens – o número de tokens processados ​​em prompts de entrada e respostas de saída. Controlar o uso de tokens é a alavanca mais direta para gerenciar e reduzir custos de API LLM. O Guia de estudo CompTIA SecAI+ cobre o gerenciamento de custos de IA e controles de recursos na segurança de sistemas de IA. Por que D está correto: O ajuste dos limites de token limita diretamente o número máximo de tokens usados ​​por solicitação para entrada e saída. Ao definir limites de tokens apropriados, a organização evita que prompts excessivamente longos ou respostas detalhadas consumam tokens desnecessários, o que se traduz diretamente em custos de API mais baixos e fornece controle rígido do orçamento. Por que A está errado: os modelos de prompt padronizam a forma como as consultas são estruturadas, o que pode melhorar indiretamente a eficiência. No entanto, eles não impõem um limite rígido ao uso de tokens e não podem impedir que os custos aumentem com grandes volumes ou respostas detalhadas. Por que B está errado: O aumento da CPU e da memória aborda o desempenho da infraestrutura computacional no lado do cliente. Os custos da API LLM são cobrados pelo provedor de API com base no uso do token, não nos recursos de hardware do cliente. Por que C está errado: Reduzir o tamanho do modelo significa usar uma versão de modelo menor e menos potente. Embora isto possa reduzir o custo por token, é uma decisão de seleção de modelo, e não um controle operacional contínuo que pode ser ajustado para gerenciar custos em tempo real.

Explicação: Conceito Básico: Ferramentas de segurança baseadas em IA para detectar sites maliciosos e links de phishing operam analisando URLs, conteúdo de páginas e características de links em relação a padrões maliciosos conhecidos e assinaturas comportamentais. O Guia de Estudo CompTIA SecAI+ cobre o reconhecimento de padrões e a correspondência de assinaturas como técnicas fundamentais de detecção de ameaças assistidas por IA. Por que B está correto: O reconhecimento de padrões e a correspondência de assinaturas são as principais técnicas usadas na detecção de sites maliciosos e links de phishing. O plug-in de IA usa reconhecimento de padrões para identificar características de páginas de phishing, como estruturas de formulários de login que imitam sites legítimos, padrões de domínio suspeitos e comportamentos de redirecionamento. A correspondência de assinatura compara URLs e conteúdo de páginas com bancos de dados de sites maliciosos conhecidos e infraestrutura de phishing. Juntas, essas técnicas permitem a detecção precisa de ameaças em links de e-mail antes que os usuários cliquem neles. Por que A está errado: O teste de qualidade do código analisa o código-fonte em busca de bugs, vulnerabilidades e adesão aos padrões de codificação durante o desenvolvimento do software. Não possui aplicativo para detectar sites maliciosos ou links de phishing na verificação de e-mail em tempo real. Por que C está errado: Os testes de penetração automatizados exploram vulnerabilidades de forma proativa para avaliar a postura de segurança. É uma técnica ofensiva de avaliação de segurança, não uma técnica de detecção de ameaças em tempo real para identificar links maliciosos em e-mails. Por que D está errado: a resposta automatizada a incidentes executa ações de resposta predefinidas quando incidentes de segurança são detectados, como isolar endpoints ou bloquear usuários. Ele opera após a detecção de ameaças, não durante a fase de detecção que identifica sites e links maliciosos.

Explicação: Conceito Básico: O reconhecimento de padrões é uma técnica de IA que permite a um sistema identificar sequências ou estruturas recorrentes nos dados. Na segurança cibernética, a detecção de padrões comportamentais, como sequências consistentes de falhas de pré-login seguidas de acesso bem-sucedido, é fundamental para a detecção de ameaças. Os objetivos do exame CompTIA SecAI+ cobrem isso na segurança assistida por IA. Por que B está correto: O cenário descreve um padrão comportamental altamente regular e repetitivo – duas falhas seguidas de sucesso em um intervalo de tempo específico, de forma consistente durante o horário comercial. O reconhecimento de padrões permite que o modelo de IA aprenda essa sequência e a sinalize como indicativo de preenchimento de credenciais ou de um ataque automatizado de força bruta com controles de tempo. O reconhecimento de padrões baseado em ML foi projetado especificamente para essa detecção de anomalias comportamentais. Por que A está errado: O gerenciamento de acesso controla quem pode fazer login e em que condições. Ele impõe políticas de autorização, mas não analisa nem detecta sequências comportamentais suspeitas em logs de autenticação. Por que C está errado: a correspondência de assinaturas compara assinaturas de ataques conhecidos com dados observados. O padrão descrito é comportamental e baseado no tempo, e não um malware conhecido ou assinatura de exploração, tornando esta técnica inadequada. Por que D está errado: a análise de vulnerabilidade identifica pontos fracos em sistemas e códigos. Ele não analisa sequências de log de autenticação nem detecta padrões de comportamento nos dados de atividade do usuário.