docs: registrar v2.4.0 — integração Logo.dev; atualizar screenshots

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
chore(deps): separar radix-ui em pacotes individuais e atualizar dependências; bump 2.4.0
2026-05-09 11:01:45 +00:00 · 2026-04-14 00:27:03 +00:00 · 2026-04-14 00:26:56 +00:00 · 2026-04-14 00:26:48 +00:00 · 2026-04-12 18:45:19 +00:00 · 2026-04-12 18:45:15 +00:00
334 changed files with 15150 additions and 5952 deletions
--- a/.env.example
+++ b/.env.example
@@ -3,10 +3,10 @@
 # ============================================
 # === Database ===
-# PostgreSQL local (Docker): use host "db"
+# Desenvolvimento local (pnpm dev): use host "localhost" (padrão abaixo)
-# PostgreSQL local (sem Docker): use host "localhost"
+# Docker Compose completo: o compose.yml define DATABASE_URL automaticamente com host "db"
 # PostgreSQL remoto: use URL completa do provider
-DATABASE_URL=postgresql://openmonetis:openmonetis_dev_password@db:5432/openmonetis_db
+DATABASE_URL=postgresql://openmonetis:openmonetis_dev_password@localhost:5432/openmonetis_db
 # Credenciais do PostgreSQL (apenas para Docker local) - Alterar
 POSTGRES_USER=openmonetis
@@ -44,8 +44,21 @@ GOOGLE_CLIENT_SECRET=
 # Se não definido, todas as rotas ficam acessíveis.
 # PUBLIC_DOMAIN=openmonetis.com
 # === Analytics (Opcional) ===
 # Umami: https://umami.is — self-hosted ou cloud
 UMAMI_URL=
 UMAMI_WEBSITE_ID=
 UMAMI_DOMAINS=
 # === AI Providers (Opcional) ===
 ANTHROPIC_API_KEY=
 OPENAI_API_KEY=
 GOOGLE_GENERATIVE_AI_API_KEY=
 OPENROUTER_API_KEY=
 # === Logo.dev (Opcional) ===
 # Logos automáticos de estabelecimentos. Cadastre em https://www.logo.dev
 # NEXT_PUBLIC_LOGO_DEV_TOKEN — token público (aparece no frontend, ok por design)
 # LOGO_DEV_SECRET_KEY       — chave secreta (apenas server-side, nunca expor)
 NEXT_PUBLIC_LOGO_DEV_TOKEN=
 LOGO_DEV_SECRET_KEY=
--- a/.gitattributes
+++ b/.gitattributes
@@ -0,0 +1,4 @@
 # Força LF para arquivos que precisam de line endings Unix no container
 *.sh text eol=lf
 docker-entrypoint.sh text eol=lf
 Dockerfile text eol=lf
--- a/.github/copilot-instructions.md
+++ b/.github/copilot-instructions.md
@@ -1,58 +0,0 @@
 # AI Coding Assistant Instructions for OpenMonetis
 ## Project Overview
 OpenMonetis is a self-hosted personal finance management application built with Next.js 16, TypeScript, PostgreSQL, and Drizzle ORM. It provides manual transaction tracking, account management, budgeting, and financial insights with a Portuguese interface.
 ## Architecture
 - **Frontend**: Next.js App Router with React 19, shadcn/ui components, Tailwind CSS
 - **Backend**: Server actions in Next.js, API routes for auth/health
 - **Database**: PostgreSQL with Drizzle ORM, schema in `db/schema.ts`
 - **Auth**: Better Auth (OAuth + email magic links)
 - **Deployment**: Docker multi-stage build, health checks
 ## Key Patterns
 - **Server Actions**: Use `"use server"` for mutations, validate with Zod schemas, handle errors with `handleActionError`
 - **Database Queries**: Use Drizzle's query API with relations, e.g., `db.query.lancamentos.findMany({ with: { categoria: true } })`
 - **Authentication**: Import from `lib/auth/server`, redirect on failure
 - **Revalidation**: Call `revalidateForEntity("lancamentos")` after mutations
 - **Portuguese Naming**: DB fields like `nome`, `tipo_conta`, `pagador` (payer), `lancamento` (transaction)
 - **Component Structure**: Feature-based folders in `components/`, shared UI in `components/ui/`
 ## Development Workflow
 - **Start Dev**: `pnpm dev` (Turbopack), `docker compose up db -d` for DB
 - **Database**: `pnpm db:push` to sync schema, `pnpm db:studio` for visual editor
 - **Build**: `pnpm build`, `pnpm start` for production
 - **Docker**: `pnpm docker:up` for full stack, `pnpm docker:logs` for monitoring
 ## Common Tasks
 - **Add Transaction**: Create server action in `app/(dashboard)/lancamentos/actions.ts`, validate with Zod, insert via Drizzle
 - **New Entity**: Add to `db/schema.ts`, define relations, create CRUD actions in `lib/[entity]/actions.ts`
 - **UI Component**: Use shadcn/ui, place in `components/[feature]/`, export from `components/ui/`
 - **API Route**: Add to `app/api/`, use `getUserSession()` for auth
 ## Conventions
 - **Imports**: Absolute paths with `@/`, group by external/internal
 - **Error Handling**: Return `{ success: false, error: string }` from actions
 - **Currency**: Store as decimal strings (e.g., "123.45"), convert to cents for calculations
 - **Periods**: Format as "YYYY-MM", use `parsePeriodParam()` for URL params
 - **Notifications**: Send emails via `sendPagadorAutoEmails()` for payer updates
 ## External Integrations
 - **Better Auth**: Config in `lib/auth/config.ts`, session handling
 - **Drizzle**: Migrations in `drizzle/`, studio at `pnpm db:studio`
 - **AI Features**: Use `@ai-sdk/*` for insights, configured in environment
 - **Email**: Resend for notifications, configured via `RESEND_API_KEY`
 ## File Examples
 - Schema: `db/schema.ts` (relations, indexes)
 - Actions: `app/(dashboard)/lancamentos/actions.ts` (CRUD with validation)
 - Components: `components/lancamentos/page/lancamentos-page.tsx` (client component)
 - Utils: `lib/lancamentos/page-helpers.ts` (data transformation)
--- a/.github/workflows/docker-publish.yml
+++ b/.github/workflows/docker-publish.yml
@@ -13,10 +13,35 @@ on:
 env:
  DOCKER_IMAGE_NAME: openmonetis
  FORCE_JAVASCRIPT_ACTIONS_TO_NODE24: true
 jobs:
  quality:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout repository
        uses: actions/checkout@v4
      - name: Setup pnpm
        uses: pnpm/action-setup@v4
        with:
          version: 10.33.0
      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: 22
          cache: 'pnpm'
      - name: Install dependencies
        run: pnpm install --frozen-lockfile
      - name: Lint
        run: pnpm run lint
  build-and-push:
    runs-on: ubuntu-latest
    needs: quality
    permissions:
      contents: read
      packages: write
--- a/.github/workflows/release.yml
+++ b/.github/workflows/release.yml
@@ -5,6 +5,9 @@ on:
    branches:
      - main
 env:
  FORCE_JAVASCRIPT_ACTIONS_TO_NODE24: true
 jobs:
  release:
    runs-on: ubuntu-latest
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@@ -7,6 +7,198 @@ e este projeto adere ao [Versionamento Semântico](https://semver.org/lang/pt-BR
 ## [Unreleased]
 ## [2.4.0] - 2026-04-13
 ### Adicionado
 - Estabelecimentos: integração com Logo.dev — logos automáticos de marcas exibidos na coluna de estabelecimentos nos lançamentos
 - Estabelecimentos: picker de logo por estabelecimento — clique no avatar para buscar e fixar um domínio Logo.dev específico (salvo por usuário no banco)
 - API: rotas `/api/logo/search` e `/api/logo/mapping` — proxy seguro para Logo.dev Brand Search API (secret key server-side) e consulta de mapeamentos salvos
 - Schema: tabela `establishment_logos` com PK composta `(user_id, name_key)` para persistir preferências de logo por usuário
 ### Corrigido
 - Dev: `.env.example` usava host `db` no `DATABASE_URL`, causando erro `EAI_AGAIN` ao rodar `pnpm dev` localmente — corrigido para `localhost`
 ### Documentação
 - README: tabela comparativa entre Perfil 1 (Usar) e Perfil 2 (Desenvolver) com diferenças de setup, `DATABASE_URL` e instruções de atualização
 - README: seção "Variáveis de Ambiente" esclarecida — distingue contexto Docker (Perfil 1) de desenvolvimento local (Perfil 2)
 - Logo.dev: crie uma conta em logo.dev para obter as chaves `NEXT_PUBLIC_LOGO_DEV_TOKEN` e `LOGO_DEV_SECRET_KEY` — plano gratuito inclui 500.000 requisições/mês
 ## [2.3.8] - 2026-04-12
 ### Alterado
 - Docker: `docker-compose.yml` refatorado — removidos profiles, build e dependência de arquivo externo; compose agora é standalone (basta `curl` + `docker compose up -d`)
 - Docker: `docker-entrypoint.sh` simplificado — extensão `pgcrypto` criada via Node.js antes das migrations; loop de retry reescrito; removido hack `@localhost → @db`
 - Docker: scripts reduzidos de 10 para 5 — `docker:up`, `docker:db`, `docker:down`, `docker:logs`, `docker:update`
 - Docs: README reestruturado em dois perfis claros — **Usar** (só Docker) e **Desenvolver** (hot-reload)
 ## [2.3.7] - 2026-04-11
 ### Adicionado
 - Dashboard: novos widgets configuráveis — Anexos (resumo de arquivos do período), Inbox (snapshot de pré-lançamentos pendentes) e Tendências de Categoria
 - Lançamentos: filtro por status de pagamento (somente pagos / somente não pagos) e filtro por presença de anexo
 - Lançamentos: indicador visual no status de liquidação para lançamentos de cartão de crédito com fatura paga — exibe ícone verde com tooltip explicativo
 - Scripts: `scripts/install-deps.sh` — script de preparação para servidores Ubuntu 24.04 limpos (instala Docker, Node.js 22, pnpm via Homebrew)
 - Docker: variáveis `PUBLIC_DOMAIN`, `UMAMI_URL`, `UMAMI_WEBSITE_ID` e `UMAMI_DOMAINS` passadas ao container da aplicação no `docker-compose.yml`
 ### Alterado
 - Fonte: substituída fonte local `America` por `Inter` (Google Fonts, self-hosted pelo Next.js) — elimina arquivos `.woff2` do repositório
 - Tipografia: peso tipográfico padronizado de `font-medium` para `font-semibold` em títulos, rótulos e valores monetários em toda a interface
 - Parcelas: redesenho do card de grupo de parcelas — expandindo para dialog de detalhes com parcelas pagas/pendentes separadas
 - Inbox: redesenho do card de pré-lançamento — logo maior, hierarquia tipográfica melhorada
 - Lançamentos: filtros de tipo, condição e forma de pagamento agora usam slugs em URL (ex: `receita` em vez do valor literal com acentos)
 - Estabelecimento: popover de autocomplete agora respeita a largura do input ao abrir
 - CSP: adicionado `frame-src` para permitir preview de anexos PDF via S3
 ### Corrigido
 - Docker: corrigido crash loop no container com mensagem `exec /app/docker-entrypoint.sh: no such file or directory` causado por CRLF no `docker-entrypoint.sh` em ambientes Windows/WSL2 — adicionado `sed -i 's/\r$//'` no Dockerfile e `.gitattributes` com `eol=lf` para scripts shell
 - S3: corrigido `Error: Region is missing` ao usar o app sem S3 configurado — `S3_REGION` vazio (string vazia) não era tratado pelo operador `??`; substituído por `||` em todo o `s3-client.ts`
 - i18n: corrigidas mensagens de erro que exibiam "Payer" em inglês em vez de "Pagador"
 - Logos: corrigido modal seletor de logos de cartões e contas para renderizar miniaturas sem avisos de proporção
 - Scripts: `install-deps.sh` — spinner travava o script por `wait` retornar código não-zero com `set -e` ativo; corrigido com `|| true`
 - Scripts: `install-deps.sh` — prompt interativo do corepack suprimido com `COREPACK_ENABLE_DOWNLOAD_PROMPT=0`
 - Scripts: `install-deps.sh` — PATH do Homebrew não estava configurado na seção de resumo
 ### Removido
 - Scripts: removidos arquivos órfãos `scripts/dev.ts` e `scripts/setup-env.sh` (substituídos pelo `setup.mjs`)
 - Docker: `docker-compose.yml` agora funciona sem arquivo `.env` — `DATABASE_URL` tem valor padrão com credenciais de desenvolvimento
 - Docker: `docker-entrypoint.sh` converte automaticamente `@localhost:` para `@db:` na `DATABASE_URL` ao iniciar o container, eliminando a necessidade de usar hosts diferentes no `.env` para desenvolvimento local e Docker
 ## [2.3.6] - 2026-04-09
 ### Corrigido
 - Docker: adicionado `NODE_PATH=/app/migrate/node_modules` no entrypoint para que o `drizzle-kit` consiga resolver `drizzle-orm` ao executar as migrations no container
 ## [2.3.5] - 2026-04-07
 ### Corrigido
 - CSP: movido `Content-Security-Policy` do `next.config.ts` (build time) para `proxy.ts` (runtime), corrigindo bloqueio de upload de anexos quando `S3_ENDPOINT` não estava disponível durante o build do Docker
 ## [2.3.4] - 2026-04-05
 ### Corrigido
 - Anexos: corrigido upload que falhava com `NetworkError` — CSP `connect-src` bloqueava fetch para o Storage
 ## [2.3.3] - 2026-04-05
 ### Corrigido
 - Tokens: corrigido `/api/auth/device/verify` que rejeitava tokens criados via Settings (revertido de JWT para hash lookup)
 ### Alterado
 - Tokens: prefixo renomeado de `os_` para `opm_` (OpenMonetis); tokens existentes precisam ser recriados
 - Tokens: removidas rotas JWT não utilizadas (`/api/auth/device/token` e `/api/auth/device/refresh`)
 - Tokens: `api-token.ts` simplificado para conter apenas `hashToken` e `extractBearerToken`
 ## [2.3.2] - 2026-04-04
 ### Segurança
 - Tokens: removido aceite de tokens sem expiração (`expiresAt NULL`); tokens criados via settings agora expiram em 1 ano
 - Tokens: corrigido refresh que sobrescrevia hash e invalidava access token anterior; verify agora valida JWT por assinatura
 - xlsx: desabilitado parsing de fórmulas (`cellFormula: false`) para mitigar CVE-2024-44294
 - CSP: expandida Content-Security-Policy com `default-src`, `script-src`, `style-src`, `img-src`, `font-src` e `connect-src`
 - Headers: adicionados `Referrer-Policy` e `X-Permitted-Cross-Domain-Policies`
 - API: rotas autenticadas agora retornam `401 JSON` em vez de redirect `302` para clientes não autenticados
 - Health: removido campo `version` da resposta do `/api/health`
 - robots.txt: simplificado para não expor mapa de rotas internas
 - Sitemap: corrigida URL com protocolo duplicado (`https://https://`)
 - Criado `security.txt` (RFC 9116)
 ## [2.3.1] - 2026-04-03
 ### Corrigido
 - Infraestrutura: deps do drizzle-kit agora são instaladas em `/app/migrate/` separado do `node_modules` do standalone, corrigindo erro `Cannot find module 'next'` no startup do container
 ## [2.3.0] - 2026-04-03
 ### Adicionado
 - Dependências: adiciona `@tanstack/react-query` e um provider global para padronizar cache, deduplicação e invalidação de leituras client-side
 - Dashboard: widget "Minhas Contas" ganha preferência persistida para mostrar ou ocultar contas marcadas como não consideradas no saldo total
 - Dashboard: cards de métricas ganham botão de ajuda com explicação do cálculo exibido no app
 - Versionamento: menu do usuário na navbar passa a avisar quando existe release mais recente publicada no GitHub
 - Qualidade: adiciona `knip` ao projeto com o script `pnpm run lint:deadcode` para auditar arquivos, exports e tipos sem uso
 - Infraestrutura: imagem Docker passa a rodar migrations automaticamente via `docker-entrypoint.sh` antes de iniciar a aplicação
 ### Alterado
 - Anexos: listagem no modal de edição/detalhes, URLs temporárias da galeria e preview deixam de depender de `useEffect` para data fetching direto no componente e passam a usar React Query sobre rotas GET dedicadas
 - Insights: carregamento de análises salvas passa a usar React Query com cache por período, mantendo estado draft local apenas para análises recém-geradas ou removidas
 - Parcelamentos: histórico de antecipações no diálogo passa a usar React Query com invalidação automática após cancelamento
 - Dashboard, insights e relatórios passam a excluir movimentações de contas marcadas como não consideradas no saldo total; balanço e previsto também passam a considerar ajustes de transferências entre contas consideradas e não consideradas
 - UX: boletos e faturas passam a exibir labels relativas como "vence hoje", "vence amanhã" e "pago ontem", com tooltip para a data completa
 - Lançamentos: diálogo foi reorganizado em blocos mais claros; a criação passa a aceitar múltiplos anexos e a edição em lote preserva `purchaseDate` e `period` ao propagar alterações por série
 - Inbox e tabela de lançamentos foram componentizados em partes menores, mantendo paginação e ações em lote mais simples de evoluir
 - Infraestrutura: workflow de publish ganha etapa obrigatória de qualidade; `docker-compose` passa a suportar perfil local ou banco remoto; build fixa `pnpm@10.33.0`; projeto atualizado para `Next.js 16.2.2`, `Biome 2.4.10` e dependências correlatas
 - Qualidade: `knip` ganha configuração inicial para reduzir falsos positivos, ignorando `src/shared/components/ui/**`, o worker público de PDF, `setup.mjs` e o falso positivo de `postcss`
 ### Corrigido
 - Segurança: criação de antecipações agora valida se `payerId` e `categoryId` informados pertencem ao usuário autenticado antes de persistir referências cruzadas
 - Segurança: histórico de antecipações endurece os joins de `transactions`, `payers` e `categories` com filtro por `userId`, evitando exposição de nomes relacionados caso exista referência inconsistente no banco
 - Segurança: domínio público deixa de responder rotas `/api/*`, e o Better Auth passa a aplicar rate limits explícitos para login e cadastro por e-mail
 - APIs privadas: rotas de anexos, insights salvos, histórico de antecipações e presign de download passam a responder com `Cache-Control: private, no-store`; a rota de antecipações também deixa de devolver mensagens internas de erro ao cliente
 - Build: rotas web de tokens do Companion passam a ser explicitamente dinâmicas, removendo o warning de prerender no `next build`
 - Lançamentos: edição em série de compras parceladas volta a persistir `purchaseDate` e `period`, permitindo mover parcelas para a fatura ou competência correta conforme o escopo escolhido
 - Lançamentos: edições que tentam mover compras de cartão para faturas já pagas agora são bloqueadas com mensagem clara também no fluxo de atualização e propagação em lote
 - Imagens: logos institucionais, avatares padrão e componentes com `next/image` em modo `fill` passam a usar containers fixos com `sizes`, removendo avisos de proporção e performance
 - Gráficos: `ChartContainer` passa a definir `initialDimension` no `ResponsiveContainer` do Recharts, evitando avisos `width(-1)` e `height(-1)` durante a medição inicial em widgets e relatórios
 ## [2.2.1] - 2026-04-01
 ### Corrigido
 - Docker: imagem de produção deixa de executar `chown -R /app` no stage final; as permissões passam a ser definidas nos `COPY --chown`, reduzindo o risco de travamento e lentidão excessiva no build/push da GitHub Action
 ## [2.2.0] - 2026-04-01
 ### Adicionado
 - Anexos: nova página de galeria em `/attachments` com miniaturas, visualização inline de imagem e PDF, download direto e acesso a partir do lançamento
 - Anexos: suporte a visualização de PDF diretamente no app via `pdfjs-dist`
 - Autenticação: sidebar redesenhado com mockup de faturas e três itens de funcionalidade; páginas de login e cadastro ganham gradiente decorativo e logo visível no mobile
 - Notificações: alertas de vencimento para boletos e faturas do período seguinte exibidos quando o vencimento está dentro de 5 dias
 - Documentação: novo arquivo público `public/llms.txt` com resumo do projeto e links curados para documentação, setup e arquitetura
 ### Alterado
 - Performance: queries de cache do dashboard migradas de `unstable_cache` para a diretiva `use cache` com `cacheTag` e `cacheLife`; todas as páginas do dashboard passam a chamar `connection()` para renderização dinâmica; `next.config.ts` adota `cacheComponents: true`
 - Tipografia: adicionada fonte America Medium (weight 500); pesos tipográficos padronizados para `font-medium` em títulos, valores e rótulos em todos os componentes
 - Anexos: `AttachmentPreview` foi simplificado para exibir apenas nome da transação, nome do arquivo, navegação entre anexos e ações de download, abrir em nova aba e fechar com ícone `X`
 ### Corrigido
 - Lançamentos: uploads e remoções de anexo agora funcionam para todos os lançamentos, não apenas os pertencentes a séries
 ## [2.1.2] - 2026-03-30
 ### Adicionado
 - Preferências: nova configuração de tamanho máximo por arquivo de anexo (5, 10, 25, 50 ou 100 MB), persistida no banco e respeitada em todos os pontos de upload
 - Lançamentos: novo escopo `"period"` na ação em lote, que aplica a alteração a todos os lançamentos do período sem sobrescrever o pagador individual de cada um
 ### Corrigido
 - Lançamentos: ao editar um lançamento de série, uploads e remoções de anexo agora aguardam a escolha de escopo da ação em lote antes de serem executados, evitando que o anexo fosse aplicado no lançamento errado
 - Lançamentos: ação em lote com escopo `"period"` não sobrescreve mais o `payerId` individual de cada lançamento ao alterar o pagador
 ### Alterado
 - Configurações: redesign visual da página com separadores entre seções e títulos maiores
 - Configurações: seção "Extrato e lançamentos" renomeada para "Lançamentos"
 ## [2.1.1] - 2026-03-29
 ### Adicionado
--- a/CLAUDE.md
+++ b/CLAUDE.md
@@ -16,9 +16,10 @@
 3. **Periods** usam formato `YYYY-MM` (ex: `"2025-11"`). Utils em `src/shared/utils/period/`.
 4. **Moeda**: R$ com 2 decimais. DB: `numeric(12, 2)`. Utils em `src/shared/utils/currency.ts`.
 5. **Revalidation**: usar `revalidateForEntity("entity")` de `src/shared/lib/actions/helpers.ts` apos mutations.
-6. **Versionamento**: registrar mudancas no `CHANGELOG.md` seguindo Keep a Changelog.
+6. **Versionamento**: registrar mudancas no `CHANGELOG.md` seguindo Keep a Changelog, também altere o `package.json` e `readme.md` (Badges do README.md).
 7. **Comunicacao**: responder em portugues clara e direta com o time.
 8. **Commit messages**: agrupar por natureza. em pt-br. seguindo o padrao do sistema.
 9. **README.md**: sempre que fizer alteracoes significativas, atualize o README.md.
 ---
@@ -44,6 +45,10 @@ Use esta pergunta:
 Se um contrato cruza dominios, ele deve morar em `src/shared/`.
 **Excecao intencional: `attachments` depende de `transactions`**
 `src/features/attachments` importa `TransactionDialog`, `TransactionDetailsDialog` e `TransactionItem` diretamente de `src/features/transactions`. Isso e uma dependencia explicita e aceita: anexos sao semanticamente uma extensao de lancamentos — existem por causa deles e nao fazem sentido sem esse contexto. Mover esses componentes para `shared/` seria errado (eles pertencem a transactions). Nao tratar isso como bug a corrigir.
 Exemplos comuns:
 - auth: `src/shared/lib/auth/*`
@@ -80,6 +85,7 @@ src/
 │   │   ├── insights/
 │   │   ├── calendar/
 │   │   ├── inbox/
 │   │   ├── attachments/
 │   │   ├── changelog/
 │   │   ├── reports/
 │   │   │   ├── category-trends/
@@ -106,6 +112,7 @@ src/
 │   ├── insights/
 │   ├── calendar/
 │   ├── inbox/
 │   ├── attachments/
 │   ├── reports/
 │   └── settings/
 ├── shared/
@@ -302,18 +309,29 @@ export async function fetchData(userId: string, period: string) {
 ---
-## Response Style
+## Security Rules
-Quando o time pedir avaliacao de plano ou feature:
+Regras aplicadas automaticamente ao gerar codigo.
-1. Responder em portugues simples.
+### Secrets
-2. Listar 3-5 problemas principais.
+Nunca colocar API keys, credenciais de banco ou tokens em codigo frontend. Evitar variaveis prefixadas com `NEXT_PUBLIC_` para dados sensiveis — estas sao bundladas no cliente. Usar variaveis server-side apenas. `.env` deve estar no `.gitignore` antes do primeiro commit. `.env.example` deve ter apenas placeholders.
 3. Fechar com decisao pratica:
   - aprova agora
   - nao aprova agora
   - o que ajustar antes de comecar codigo
-Exemplo:
+### Autenticacao & Autorizacao
 Toda rota protegida em `src/app/api/` requer `getUser()` ou `getOptionalUserSession()` antes de qualquer logica, retornando 401 para nao autenticados. Rotas com IDs de recursos devem verificar ownership: `eq(table.userId, userId)`. Rotas admin devem checar role e retornar 403 para nao-admins. Session cookies em Better Auth ja tem `httpOnly`, `secure` e `sameSite` configurados — nao alterar.
- "Nao aprovaria para comecar codigo imediatamente."
+### Input & Output
- "Primeiro ajustaria o doc com estes 5 pontos."
+Usar Drizzle ORM (parametrizado por padrao) — nunca concatenar input de usuario em SQL. Validar todo input com Zod antes de usar. Upload de arquivos: usar whitelist de MIME types (`ALLOWED_MIME_TYPES`), presigned URLs para S3, token de upload assinado com verificacao pos-upload. Nunca usar `dangerouslySetInnerHTML` com conteudo de usuario.
 ### Headers & CSP
 CSP definida em `src/proxy.ts` via middleware — alterar la, nao em `next.config.ts`. Headers de seguranca (HSTS, X-Frame-Options, etc.) definidos em `next.config.ts`. Nao remover nem enfraquecer essas configuracoes.
 ### Rate Limiting
 Login: 5 tentativas/min. Signup: 3 tentativas/min. API tokens: 100 req/min (inbox), 20 req/min (batch). Configurado em `src/shared/lib/auth/config.ts` e nas rotas de inbox. Nao remover.
 ### Tratamento de Erros
 Erros nao devem expor stack traces, paths ou nomes de bibliotecas ao cliente. Usar mensagens genericas: `"Algo deu errado"`. Logar detalhes apenas no servidor com `console.error()`.
 ### Dependencias
 Verificar pacotes novos sugeridos pela IA em npmjs.com antes de instalar. Red flags: menos de 1.000 downloads/semana, publicado nos ultimos 30 dias, nome muito parecido com pacote popular. Rodar `pnpm audit` periodicamente.
 ---
--- a/58
+++ b/58
@@ -5,14 +5,16 @@
 # ============================================
 FROM node:22-alpine AS deps
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
 RUN corepack enable && corepack prepare pnpm@latest --activate
 WORKDIR /app
 # Copiar apenas arquivos de dependências para aproveitar cache
 COPY package.json pnpm-lock.yaml* ./
 # Criar pasta public para o postinstall do pdfjs-dist
 RUN mkdir -p public
 # Instalar dependências (production + dev para o build)
 RUN pnpm install --frozen-lockfile
@@ -21,8 +23,7 @@ RUN pnpm install --frozen-lockfile
 # ============================================
 FROM node:22-alpine AS builder
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
 RUN corepack enable && corepack prepare pnpm@latest --activate
 WORKDIR /app
@@ -32,13 +33,14 @@ COPY --from=deps /app/node_modules ./node_modules
 # Copiar todo o código fonte
 COPY . .
 # Garantir que o pdf.worker vem da versão instalada no stage 1, não do host
 COPY --from=deps /app/public/pdf.worker.min.mjs ./public/pdf.worker.min.mjs
 # Variáveis de ambiente necessárias para o build
 # DATABASE_URL será fornecida em runtime, mas precisa estar definida para validação
 ENV NEXT_TELEMETRY_DISABLED=1 \
    NODE_ENV=production
 # Build da aplicação Next.js
 # Nota: Se houver erros de tipo, ajuste typescript.ignoreBuildErrors no next.config.ts
 RUN pnpm build
 # ============================================
@@ -46,8 +48,7 @@ RUN pnpm build
 # ============================================
 FROM node:22-alpine AS runner
-# Instalar pnpm globalmente
+RUN corepack enable && corepack prepare pnpm@10.33.0 --activate
 RUN corepack enable && corepack prepare pnpm@latest --activate
 WORKDIR /app
@@ -55,12 +56,27 @@ WORKDIR /app
 RUN addgroup --system --gid 1001 nodejs && \
    adduser --system --uid 1001 nextjs
-# Copiar apenas arquivos necessários para produção
+# Instalar deps do drizzle-kit em diretório separado ANTES de copiar o standalone
-COPY --from=builder /app/public ./public
+# Isso evita que o pnpm install sobrescreva o node_modules do Next.js standalone
-COPY --from=builder /app/package.json ./package.json
+COPY --from=builder /app/package.json /tmp/pkg.json
-COPY --from=builder /app/pnpm-lock.yaml ./pnpm-lock.yaml
+RUN mkdir -p /app/migrate && \
  node -e "\
  const p=JSON.parse(require('fs').readFileSync('/tmp/pkg.json','utf8'));\
  require('fs').writeFileSync('/app/migrate/package.json',JSON.stringify({\
    name:'openmonetis-migrate',version:p.version,\
    dependencies:{\
      'drizzle-orm':p.dependencies['drizzle-orm'],\
      'pg':p.dependencies['pg']\
    },\
    devDependencies:{'drizzle-kit':p.devDependencies['drizzle-kit']}\
  }));" && \
  cd /app/migrate && pnpm install --no-frozen-lockfile --ignore-scripts && \
  chown -R nextjs:nodejs /app/migrate
-# Copiar arquivos de build do Next.js
+# Copiar apenas arquivos necessários para produção
 COPY --from=builder --chown=nextjs:nodejs /app/public ./public
 # Copiar arquivos de build do Next.js (inclui node_modules standalone com next)
 COPY --from=builder --chown=nextjs:nodejs /app/.next/standalone ./
 COPY --from=builder --chown=nextjs:nodejs /app/.next/static ./.next/static
@@ -69,8 +85,11 @@ COPY --from=builder --chown=nextjs:nodejs /app/drizzle ./drizzle
 COPY --from=builder --chown=nextjs:nodejs /app/drizzle.config.ts ./drizzle.config.ts
 COPY --from=builder --chown=nextjs:nodejs /app/src/db ./src/db
-# Copiar node_modules para ter drizzle-kit disponível para migrations
+# Copiar entrypoint de migrations
-COPY --from=builder --chown=nextjs:nodejs /app/node_modules ./node_modules
+COPY docker-entrypoint.sh ./
 RUN sed -i 's/\r$//' /app/docker-entrypoint.sh && \
    chmod +x /app/docker-entrypoint.sh && \
    chown nextjs:nodejs /app/docker-entrypoint.sh
 # Definir variáveis de ambiente de produção
 ENV NODE_ENV=production \
@@ -81,16 +100,13 @@ ENV NODE_ENV=production \
 # Expor porta
 EXPOSE 3000
 # Ajustar permissões para o usuário nextjs
 RUN chown -R nextjs:nodejs /app
 # Mudar para usuário não-root
 USER nextjs
 # Health check
 HEALTHCHECK --interval=30s --timeout=10s --start-period=40s --retries=3 \
-  CMD node -e "require('http').get('http://localhost:3000/api/health', (r) => {process.exit(r.statusCode === 200 ? 0 : 1)})" || exit 1
+  CMD wget --quiet --tries=1 --spider http://localhost:3000/api/health || exit 1
-# Comando de inicialização
+# Entrypoint: roda migrations e depois executa o CMD
-# Nota: Em produção com standalone build, o servidor é iniciado pelo arquivo server.js
+ENTRYPOINT ["/app/docker-entrypoint.sh"]
 CMD ["node", "server.js"]
--- a/README.md
+++ b/README.md
@@ -8,7 +8,7 @@
 > **⚠️ Não há versão online hospedada.** Você precisa clonar o repositório e rodar localmente ou no seu próprio servidor.
-[![Version](https://img.shields.io/badge/version-2.1.0-blue?style=flat-square)](CHANGELOG.md)
+[![Version](https://img.shields.io/badge/version-2.4.0-blue?style=flat-square)](CHANGELOG.md)
 [![Next.js](https://img.shields.io/badge/Next.js-black?style=flat-square&logo=next.js)](https://nextjs.org/)
 [![TypeScript](https://img.shields.io/badge/TypeScript-blue?style=flat-square&logo=typescript)](https://www.typescriptlang.org/)
 [![PostgreSQL](https://img.shields.io/badge/PostgreSQL-blue?style=flat-square&logo=postgresql)](https://www.postgresql.org/)
@@ -23,15 +23,21 @@
  <img src="./public/images/dashboard-preview-light.webp" alt="Dashboard Preview" width="800" />
 </p>
 <p align="center">
  <img src="./public/images/preview-lancamentos-light.webp" alt="Lançamentos" width="800" />
 </p>
 ---
 ## 📖 Índice
 - [Sobre o Projeto](#-sobre-o-projeto)
- [Instalação via Script](#-instalação-via-script)
+- [Como rodar o OpenMonetis](#-como-rodar-o-openmonetis)
- [Início Rápido (manual)](#-início-rápido)
+  - [Perfil 1 — Usar](#perfil-1--usar-self-hosting)
  - [Perfil 2 — Desenvolver](#perfil-2--desenvolver)
 - [Scripts Disponíveis](#-scripts-disponíveis)
 - [Docker](#-docker)
 - [Backup](#-backup)
 - [Storage S3 Compatível](#-storage-s3-compatível)
 - [Variáveis de Ambiente](#-variáveis-de-ambiente)
 - [Arquitetura](#-arquitetura)
@@ -53,7 +59,7 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 **1. Não há versão hospedada online** — Este projeto é self-hosted. Você precisa rodar no seu próprio computador ou servidor.
-**2. Não há Open Finance** — Não há conexão automática com bancos. Você pode registrar transações manualmente ou importar extratos nos formatos OFX e XLS/XLSX.
+**2. Não há Open Finance** — Não há conexão automática com bancos. Você pode registrar transações manualmente, usar o app companion para capturar notificações bancárias ou importar extratos nos formatos OFX e XLS/XLSX.
 **3. Requer disciplina** — O OpenMonetis funciona melhor para quem tem disciplina de registrar os gastos regularmente, quer controle total sobre seus dados e gosta de entender exatamente onde o dinheiro está indo.
@@ -77,7 +83,11 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 📅 **Calendário financeiro** — Visualize todos os lançamentos em um calendário mensal.
-📲 **OpenMonetis Companion** — App Android que captura notificações bancárias (Nubank, Itaú, Bradesco, Inter, C6 e outros) e envia como pré-lançamentos para revisão. [Repositório](https://github.com/felipegcoutinho/openmonetis-companion).
+📲 **OpenMonetis Companion** — App Android que captura notificações bancárias (Nubank, Itaú, Bradesco, Inter, C6 e outros) e envia automaticamente como pré-lançamentos para revisão — sem digitar nada. [Repositório](https://github.com/felipegcoutinho/openmonetis-companion).
 <p align="center">
  <img src="./public/images/companion-preview-light.webp" alt="OpenMonetis Companion" width="300" height="600" />
 </p>
 ⚙️ **Personalização** — Tema dark/light e modo privacidade.
@@ -93,82 +103,122 @@ A ideia é simples: ter um lugar onde consigo ver todas as minhas contas, cartõ
 ---
-## ⚡ Instalação via Script
+## 🚀 Como rodar o OpenMonetis
-A forma mais rápida de instalar. O script verifica dependências, configura o `.env` interativamente e sobe o banco automaticamente.
+Escolha o perfil que corresponde ao seu objetivo:
-**Pré-requisito:** Node.js 22+
+| | Perfil 1 — Usar | Perfil 2 — Desenvolver |
-
+|---|---|---|
-```bash
+| **Objetivo** | Rodar o app pronto | Modificar o código |
-# Mac / Linux / WSL
+| **Clonar repositório** | Não | Sim |
-curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs -o setup.mjs && node setup.mjs
+| **Node.js / pnpm** | Não | Sim (Node 22+) |
-
+| **Docker** | Sim | Sim |
-# Windows (PowerShell)
+| **Como iniciar** | `docker compose up -d` | `pnpm docker:db` + `pnpm dev` |
-curl -o setup.mjs https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs ; node setup.mjs
+| **App roda em** | Container Docker | Host local (hot-reload) |
-```
+| **Banco roda em** | Container Docker | Container Docker |
-
+| **`DATABASE_URL` (host)** | `db` (automático pelo compose) | `localhost` |
-O script irá:
+| **Banco remoto (Supabase, Neon...)** | Sim (`docker compose up -d app`) | Sim (ajustar `DATABASE_URL`) |
- Verificar Node, pnpm, Git e Docker
+| **Como atualizar** | `pnpm docker:update` | `git pull` + `pnpm install` + `pnpm db:push` |
- Perguntar se quer banco local (Docker) ou remoto (Supabase, Neon, etc.)
+| **Indicado para** | Self-hosting, VPS, servidor | Contribuidores, customizações |
 - Gerar o `BETTER_AUTH_SECRET` automaticamente
 - Configurar opcionais: Google OAuth, e-mail, IA, domínio público
 - Clonar o repositório, instalar dependências e aplicar o schema
 ---
-## 🚀 Início Rápido (manual)
+### Perfil 1 — Usar (self-hosting)
-### Pré-requisitos
+Só quer rodar o OpenMonetis. **Não precisa clonar o repositório nem instalar Node.js** — apenas Docker.
- Node.js 22+ e pnpm
+```bash
- Docker e Docker Compose
+# 1. Baixe o compose
 curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/docker-compose.yml -o docker-compose.yml
-### Passo a Passo
+# 2. Suba tudo
 docker compose up -d
 ```
-1. **Clone e instale**
+Acesse em: `http://localhost:3000`
-   ```bash
+O banco sobe com credenciais padrão. Para personalizar (senha, Google OAuth, e-mail, IA...), crie um `.env` na mesma pasta **antes** de subir:
   git clone https://github.com/felipegcoutinho/openmonetis.git
   cd openmonetis
   pnpm install
   ```
-2. **Configure o `.env`**
+```bash
 # .env mínimo recomendado para produção
 BETTER_AUTH_SECRET=gere-um-valor-com-openssl-rand-base64-32
 BETTER_AUTH_URL=https://seu-dominio.com
 ```
-   ```bash
+Veja todas as variáveis disponíveis em [Variáveis de Ambiente](#-variáveis-de-ambiente).
   cp .env.example .env
   ```
-   Edite o `.env` com suas credenciais. O principal é o `DATABASE_URL` e o `BETTER_AUTH_SECRET`:
+**Banco remoto (Supabase, Neon, Railway...):** defina `DATABASE_URL` no `.env` e suba só o app:
-   ```env
+```bash
-   # Banco local (Docker): use host "localhost"
+docker compose up -d app
-   DATABASE_URL=postgresql://openmonetis:openmonetis_dev_password@localhost:5432/openmonetis_db
+```
-   # Banco remoto (Supabase, Neon, etc): use a URL completa do provider
+**Não tem Docker instalado?** Em servidores Ubuntu 24.04 limpos, use o script de instalação:
   # DATABASE_URL=postgresql://user:password@host:5432/database?sslmode=require
-   BETTER_AUTH_SECRET=seu-secret-aqui  # gere com: openssl rand -base64 32
+```bash
-   BETTER_AUTH_URL=http://localhost:3000
+curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/scripts/install-deps.sh -o install-deps.sh
-   ```
+sudo sh install-deps.sh
 ```
-3. **Suba o banco de dados** (pule se estiver usando banco remoto)
+> Ao final, faça **logout e login** para as permissões do grupo `docker` terem efeito.
-   ```bash
+#### Atualizando (Perfil 1)
   docker compose up db -d
   pnpm db:extensions
   ```
-4. **Execute as migrations e inicie**
+```bash
 pnpm docker:update
 # ou equivalente:
 docker compose pull && docker compose up -d
 ```
-   ```bash
+O schema do banco é aplicado automaticamente no startup — nenhum passo extra necessário.
   pnpm db:push
   pnpm dev
   ```
-5. Acesse `http://localhost:3000`
+---
-> **Docker completo** (app + banco em containers): use `pnpm docker:up` ao invés dos passos 3-4.
+### Perfil 2 — Desenvolver
 Quer modificar o código com hot-reload. O banco roda no Docker, o app roda direto no seu servidor.
 **Requisitos:** Docker + Node.js 22+ + pnpm
 ```bash
 # 1. Clone o repositório
 git clone https://github.com/felipegcoutinho/openmonetis.git
 cd openmonetis
 # 2. Instale as dependências
 pnpm install
 # 3. Configure o ambiente
 cp .env.example .env
 # O DATABASE_URL já vem com host "localhost" (correto para dev local).
 # Edite o .env com suas configurações (BETTER_AUTH_SECRET, etc.)
 # 4. Suba o banco
 pnpm docker:db
 # 5. Habilite extensões do PostgreSQL (apenas no primeiro setup)
 pnpm db:extensions
 # 6. Aplique o schema no banco (apenas no primeiro setup)
 pnpm db:push
 # 7. Inicie o app com hot-reload
 pnpm dev
 ```
 Acesse em: `http://localhost:3000`
 Toda vez que salvar um arquivo, o app atualiza automaticamente sem precisar reiniciar.
 #### Atualizando (Perfil 2)
 ```bash
 git pull
 pnpm install        # instala dependências novas, se houver
 pnpm db:push        # aplica mudanças de schema, se houver
 ```
 O `pnpm dev` já em execução detecta as mudanças de código automaticamente — não precisa reiniciar.
 ---
@@ -190,47 +240,62 @@ pnpm lint:fix         # Biome auto-fix
 pnpm db:generate      # Gerar migrations
 pnpm db:migrate       # Executar migrations
 pnpm db:push          # Push schema direto (dev)
 pnpm db:extensions    # Habilitar extensões PostgreSQL (rodar uma vez)
 pnpm db:studio        # Drizzle Studio (UI visual)
 ```
 ### Utilitários
 ```bash
-pnpm backup           # Backup do banco (requer scripts/backup.sh configurado)
+pnpm backup           # Backup completo do banco (ver seção Backup)
 ```
 ### Docker
 ```bash
-pnpm docker:up        # Subir app + banco
+pnpm docker:up      # Sobe app (Docker Hub) + banco em background
-pnpm docker:up:d      # Subir em background
+pnpm docker:db      # Sobe apenas o banco em background (usar com pnpm dev)
-pnpm docker:up:db     # Subir apenas o banco
+pnpm docker:down    # Para e remove os containers
-pnpm docker:down      # Parar containers
+pnpm docker:logs    # Logs em tempo real (todos os containers)
-pnpm docker:down:volumes  # Parar e remover volumes (⚠️ apaga dados!)
+pnpm docker:update  # Atualiza para a imagem mais recente do Hub e reinicia
 pnpm docker:logs      # Logs em tempo real
 pnpm docker:restart   # Reiniciar
 pnpm docker:rebuild   # Rebuild completo
 ```
 ---
 ## 🐳 Docker
-O `Dockerfile` usa multi-stage build (deps → builder → runner) com imagem final ~200MB rodando como usuário não-root.
+O `Dockerfile` usa multi-stage build (deps → builder → runner) com imagem final ~200MB rodando como usuário não-root. Health checks configurados para ambos os serviços (PostgreSQL via `pg_isready`, app via `GET /api/health`).
-Health checks configurados para ambos os serviços (PostgreSQL via `pg_isready`, app via `GET /api/health`).
+### Self-hosting (recomendado)
 Baixe apenas o `docker-compose.yml` e suba tudo — sem clonar o repositório, sem instalar dependências:
 ```bash
 curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/docker-compose.yml -o docker-compose.yml
 docker compose up -d
 ```
 As credenciais padrão do banco já estão configuradas. Para personalizar (senhas, opcionais), crie um `.env` na mesma pasta antes de subir — veja [Variáveis de Ambiente](#-variáveis-de-ambiente).
 ### Banco remoto (Supabase, Neon, Railway...)
 Suba apenas o app e aponte para o banco externo via `DATABASE_URL` no `.env`:
 ```bash
 docker compose up -d app
 ```
 ### Comandos úteis
 ```bash
-docker compose exec app sh                                      # Shell da aplicação
+docker compose exec app sh                                       # Shell da aplicação
 docker compose exec db psql -U openmonetis -d openmonetis_db    # Shell do banco
 docker compose ps                                                # Status
-docker compose exec db pg_dump -U openmonetis openmonetis_db > backup.sql  # Backup
+docker compose exec db pg_dump -U openmonetis openmonetis_db > backup.sql   # Backup
 docker compose exec -T db psql -U openmonetis -d openmonetis_db < backup.sql  # Restore
 ```
-### Customizando Portas
+### Customizando portas
 ```env
 APP_PORT=3001   # Padrão: 3000
@@ -239,6 +304,68 @@ DB_PORT=5433    # Padrão: 5432
 ---
 ## 💾 Backup
 O backup é uma rotina de infraestrutura — não é uma tela no app. Ele opera diretamente sobre o banco PostgreSQL e é executado via linha de comando.
 ```bash
 pnpm backup
 ```
 ### O que é salvo
 Cada execução gera **3 arquivos** em `backup/`:
 | Arquivo | Conteúdo | Uso |
 |---|---|---|
 | `openmonetis_YYYY-MM-DD_HH-MM.dump` | Dump custom do PostgreSQL (binário) | Restore completo via `pg_restore` |
 | `openmonetis_YYYY-MM-DD_HH-MM.sql.gz` | Dump SQL completo compactado | Inspeção manual, portabilidade |
 | `openmonetis_YYYY-MM-DD_HH-MM.data.sql.gz` | Apenas os dados da schema `public` | Migração parcial, seed de outro ambiente |
 ### Modos de conexão
 Configure `DB_MODE` no topo de `scripts/backup.sh`:
 | Modo | Quando usar | Fonte de dados |
 |---|---|---|
 | `remote` (padrão) | Banco em Supabase, Neon, Railway, etc. | `DATABASE_URL` do `.env` |
 | `docker` | Banco no container local | Container `openmonetis_postgres` |
 ### Upload para Google Drive (opcional)
 Se o [rclone](https://rclone.org/) estiver instalado e configurado com um remote chamado `gdrive`, os arquivos são enviados automaticamente para `gdrive:BACKUP OPENMONETIS`. Sem o rclone, o backup funciona normalmente e fica apenas local.
 **Retenção:**
 - Local: 7 dias
 - Google Drive: 30 dias
 ### Automatizar com cron
 Para rodar o backup automaticamente todo dia às 3h:
 ```bash
 crontab -e
 ```
 ```cron
 0 3 * * * cd /caminho/para/openmonetis && pnpm backup >> /var/log/openmonetis-backup.log 2>&1
 ```
 ### Restore
 ```bash
 # A partir do .dump (recomendado — mais rápido)
 pg_restore --clean --no-owner --no-privileges \
  -d "postgresql://user:senha@host:5432/openmonetis_db" \
  backup/openmonetis_YYYY-MM-DD_HH-MM.dump
 # A partir do .sql.gz (banco local via Docker)
 gunzip -c backup/openmonetis_YYYY-MM-DD_HH-MM.sql.gz | \
  docker compose exec -T db psql -U openmonetis -d openmonetis_db
 ```
 ---
 ## ☁️ Storage S3 Compatível
 O suporte a anexos de lançamentos usa upload direto com URL pré-assinada. Essa configuração é opcional, mas passa a ser necessária se você quiser habilitar anexos no app.
@@ -256,7 +383,7 @@ S3_BUCKET=
 ### Compatibilidade
 - O código atual espera um provider com API compatível com S3 e suporte a `PutObject`, `GetObject`, `HeadObject`, `DeleteObject` e URLs pré-assinadas.
- A implementação usa `endpoint` customizado e `forcePathStyle: true` em [`src/shared/lib/storage/s3-client.ts`](/home/ubuntu/github/openmonetis/src/shared/lib/storage/s3-client.ts).
+- A implementação usa `endpoint` customizado e `forcePathStyle: true` em [`src/shared/lib/storage/s3-client.ts`](./src/shared/lib/storage/s3-client.ts).
 - Em geral isso cobre MinIO, Cloudflare R2, Backblaze B2 S3-Compatible, DigitalOcean Spaces e AWS S3. Mas foi testado apenas no Supabase Storage.
 - Se o seu provider exigir `virtual-hosted-style` em vez de `path-style`, você vai precisar ajustar essa configuração antes de usar anexos.
 - Se as variáveis de S3 não forem configuradas, mantenha os anexos desabilitados no seu fluxo de uso.
@@ -265,11 +392,15 @@ S3_BUCKET=
 ## 🔐 Variáveis de Ambiente
-Copie `.env.example` para `.env` e configure:
+**Perfil 2 (dev):** copie `.env.example` para `.env` — o `DATABASE_URL` já vem com `localhost`, pronto para uso com `pnpm dev`.
 **Perfil 1 (Docker):** não precisa definir `DATABASE_URL` — o compose já configura automaticamente com host `db`. Só defina se usar banco remoto (Supabase, Neon, etc.).
 ### Obrigatórias
 ```env
 # Perfil 2 (dev): host "localhost" — o banco roda em container, o app no host
 # Perfil 1 (Docker): não precisa definir — o compose usa "db" automaticamente
 DATABASE_URL=postgresql://openmonetis:openmonetis_dev_password@localhost:5432/openmonetis_db
 BETTER_AUTH_SECRET=seu-secret-aqui    # openssl rand -base64 32
 BETTER_AUTH_URL=http://localhost:3000
--- a/biome.json
+++ b/biome.json
@@ -1,5 +1,5 @@
 {
-	"$schema": "https://biomejs.dev/schemas/2.4.8/schema.json",
+	"$schema": "https://biomejs.dev/schemas/2.4.10/schema.json",
 	"vcs": {
 		"enabled": true,
 		"clientKind": "git",
--- a/docker-compose.yml
+++ b/docker-compose.yml
@@ -1,138 +1,51 @@
 # Docker Compose para Next.js + PostgreSQL
 name: openmonetis
 # MODOS DE USO:
 # 1. Banco LOCAL (PostgreSQL em container):
 #    - Configure DATABASE_URL com host "db" no .env
 #    - Execute: docker compose up
 #
 # 2. Banco REMOTO (ex: Supabase, Neon, etc):
 #    - Configure DATABASE_URL com a URL do banco remoto no .env
 #    - Execute: docker compose up app (apenas o serviço app)
 #
 # 3. Para parar todos os serviços:
 #    - Execute: docker compose down
 #
 # 4. Para remover volumes (CUIDADO: apaga dados do banco local):
 #    - Execute: docker compose down -v
 services:
  # ============================================
  # Serviço: PostgreSQL (Banco de dados local)
  # ============================================
  db:
    image: postgres:18-alpine
    container_name: openmonetis_postgres
    restart: unless-stopped
    environment:
      POSTGRES_USER: ${POSTGRES_USER:-openmonetis}
      POSTGRES_PASSWORD: ${POSTGRES_PASSWORD:-openmonetis_dev_password}
      POSTGRES_DB: ${POSTGRES_DB:-openmonetis_db}
      PGDATA: /var/lib/postgresql/data
      POSTGRES_INITDB_ARGS: "-E UTF8 --locale=C"
    ports:
      - "${DB_PORT:-5432}:5432"
    volumes:
      - postgres_data:/var/lib/postgresql/data
    # Cria extensão pgcrypto inline (necessária para gen_random_bytes no schema)
    entrypoint: ["/bin/sh", "-c"]
    command:
      - |
        echo 'CREATE EXTENSION IF NOT EXISTS pgcrypto;' > /docker-entrypoint-initdb.d/init.sql
        exec docker-entrypoint.sh postgres
    healthcheck:
-      test:
+      test: ["CMD-SHELL", "pg_isready -U ${POSTGRES_USER:-openmonetis} -d ${POSTGRES_DB:-openmonetis_db}"]
        [
          "CMD-SHELL",
          "pg_isready -U ${POSTGRES_USER:-openmonetis} -d ${POSTGRES_DB:-openmonetis_db}",
        ]
      interval: 10s
      timeout: 5s
      retries: 5
      start_period: 10s
    # Para ativar logs de queries (debug), adicione ao command acima:
    # exec docker-entrypoint.sh postgres -c log_statement=all
  # ============================================
  # Serviço: Aplicação Next.js
  # ============================================
  app:
    image: felipegcoutinho/openmonetis:latest
    container_name: openmonetis_app
    restart: unless-stopped
    ports:
      - "${APP_PORT:-3000}:3000"
-
+    env_file:
      - path: .env
        required: false
    environment:
      NODE_ENV: production
-
+      DATABASE_URL: ${DATABASE_URL:-postgresql://openmonetis:openmonetis_dev_password@db:5432/openmonetis_db}
-      # Banco local: use host "db" | Banco remoto: URL completa do provider
+      BETTER_AUTH_SECRET: ${BETTER_AUTH_SECRET:-}
      DATABASE_URL: ${DATABASE_URL}
      BETTER_AUTH_SECRET: ${BETTER_AUTH_SECRET}
      BETTER_AUTH_URL: ${BETTER_AUTH_URL:-http://localhost:3000}
      # Email (opcional)
      RESEND_API_KEY: ${RESEND_API_KEY:-}
      RESEND_FROM_EMAIL: ${RESEND_FROM_EMAIL:-}
      # OAuth (opcional)
      GOOGLE_CLIENT_ID: ${GOOGLE_CLIENT_ID:-}
      GOOGLE_CLIENT_SECRET: ${GOOGLE_CLIENT_SECRET:-}
      GITHUB_CLIENT_ID: ${GITHUB_CLIENT_ID:-}
      GITHUB_CLIENT_SECRET: ${GITHUB_CLIENT_SECRET:-}
      # AI providers (opcional)
      ANTHROPIC_API_KEY: ${ANTHROPIC_API_KEY:-}
      OPENAI_API_KEY: ${OPENAI_API_KEY:-}
      GOOGLE_GENERATIVE_AI_API_KEY: ${GOOGLE_GENERATIVE_AI_API_KEY:-}
      OPENROUTER_API_KEY: ${OPENROUTER_API_KEY:-}
    # Só depende do 'db' se estiver usando banco local
    # Para banco remoto, comente as linhas abaixo
    depends_on:
      db:
        condition: service_healthy
-
+        required: false
    # Script de inicialização: roda migrations antes de iniciar o app
    entrypoint: ["/bin/sh", "-c"]
    command:
      - |
        echo "Aguardando banco de dados..."
        sleep 5
        echo "Rodando migrations..."
        pnpm db:push || echo "Migrations falharam ou já estão atualizadas"
        echo "Iniciando aplicação Next.js..."
        node server.js
    healthcheck:
-      test:
+      test: ["CMD", "wget", "--quiet", "--tries=1", "--spider", "http://localhost:3000/api/health"]
        [
          "CMD",
          "wget",
          "--quiet",
          "--tries=1",
          "--spider",
          "http://localhost:3000/api/health",
        ]
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 40s
 # ============================================
 # Volumes
 # ============================================
 volumes:
  postgres_data:
    driver: local
--- a/docker-entrypoint.sh
+++ b/docker-entrypoint.sh
@@ -0,0 +1,26 @@
 #!/bin/sh
 echo "Habilitando extensão pgcrypto..."
 node -e "
 const { Client } = require('/app/migrate/node_modules/pg');
 const c = new Client({ connectionString: process.env.DATABASE_URL });
 c.connect()
  .then(() => c.query('CREATE EXTENSION IF NOT EXISTS pgcrypto'))
  .then(() => c.end())
  .catch((e) => { console.error('Aviso pgcrypto:', e.message); process.exit(0); });
 "
 echo "Rodando migrations..."
 MIGRATED=0
 for i in 1 2 3 4 5; do
  if NODE_PATH=/app/migrate/node_modules /app/migrate/node_modules/.bin/drizzle-kit push; then
    MIGRATED=1
    break
  fi
  echo "Tentativa $i/5 falhou. Aguardando 5s..."
  sleep 5
 done
 [ "$MIGRATED" -eq 0 ] && echo "Aviso: migrations não foram aplicadas."
 exec "$@"
--- a/drizzle/0024_petite_lucky_pierre.sql
+++ b/drizzle/0024_petite_lucky_pierre.sql
@@ -0,0 +1 @@
 ALTER TABLE "preferencias_usuario" ADD COLUMN "attachment_max_size_mb" integer DEFAULT 50 NOT NULL;
--- a/drizzle/meta/0024_snapshot.json
+++ b/drizzle/meta/0024_snapshot.json
--- a/drizzle/meta/_journal.json
+++ b/drizzle/meta/_journal.json
@@ -169,6 +169,13 @@
 			"when": 1774529878374,
 			"tag": "0023_sturdy_wolfpack",
 			"breakpoints": true
 		},
 		{
 			"idx": 24,
 			"version": "7",
 			"when": 1774891206703,
 			"tag": "0024_petite_lucky_pierre",
 			"breakpoints": true
 		}
 	]
 }
--- a/knip.jsonc
+++ b/knip.jsonc
@@ -0,0 +1,22 @@
 {
 	"$schema": "https://unpkg.com/knip@6/schema-jsonc.json",
 	// Exclude shared UI primitives from dead code reporting while we focus the
 	// cleanup on feature and domain code first.
 	"ignore": [
 		"src/shared/components/ui/**"
 	],
 	// Runtime asset referenced by string in the PDF viewer.
 	"ignoreFiles": [
 		"public/pdf.worker.min.mjs",
 		"setup.mjs"
 	],
 	// PostCSS is inferred from the config file, but the project only depends on
 	// the Tailwind PostCSS plugin directly.
 	"ignoreDependencies": [
 		"postcss"
 	],
 	"next": true,
 	"postcss": true,
 	"biome": true,
 	"drizzle": true
 }
--- a/next.config.ts
+++ b/next.config.ts
@@ -6,16 +6,24 @@ dotenv.config();
 const nextConfig: NextConfig = {
 	output: "standalone",
-	experimental: {
+	cacheComponents: true,
 		turbopackFileSystemCacheForDev: true,
 	},
 	reactCompiler: true,
 	images: {
-		remotePatterns: [new URL("https://lh3.googleusercontent.com/**")],
+		remotePatterns: [
 			new URL("https://lh3.googleusercontent.com/**"),
 			{ protocol: "https", hostname: "**" },
 			{ protocol: "http", hostname: "**" },
 		],
 	},
 	devIndicators: {
 		position: "bottom-right",
 	},
 	experimental: {
 		prefetchInlining: true,
 		turbopackFileSystemCacheForDev: true,
 	},
 	// Headers for Safari compatibility
 	async headers() {
 		return [
@@ -39,8 +47,12 @@ const nextConfig: NextConfig = {
 						value: "DENY",
 					},
 					{
-						key: "Content-Security-Policy",
+						key: "Referrer-Policy",
-						value: "frame-ancestors 'none';",
+						value: "strict-origin-when-cross-origin",
 					},
 					{
 						key: "X-Permitted-Cross-Domain-Policies",
 						value: "none",
 					},
 					{
 						key: "Permissions-Policy",
--- a/package.json
+++ b/package.json
@@ -1,43 +1,46 @@
 {
 	"name": "openmonetis",
-	"version": "2.1.1",
+	"version": "2.4.0",
 	"private": true,
 	"packageManager": "pnpm@10.33.0",
 	"scripts": {
 		"dev": "next dev --turbopack",
 		"db:seed": "tsx scripts/mock-data.ts",
 		"build": "next build",
 		"start": "next start",
 		"lint": "biome check .",
 		"lint:deadcode": "knip --reporter compact",
 		"lint:fix": "biome check --write .",
-		"env:setup": "bash scripts/setup-env.sh",
+		"env:setup": "node setup.mjs",
 		"db:generate": "drizzle-kit generate",
 		"db:migrate": "drizzle-kit migrate",
 		"db:push": "drizzle-kit push",
 		"db:extensions": "tsx scripts/postgres/enable-extensions.ts",
 		"db:studio": "drizzle-kit studio",
-		"docker:up": "docker compose up --build",
+		"postinstall": "cp node_modules/pdfjs-dist/build/pdf.worker.min.mjs public/pdf.worker.min.mjs",
-		"docker:up:db": "docker compose up -d db",
+		"docker:up": "docker compose up -d",
-		"docker:up:d": "docker compose up --build -d",
+		"//docker:up": "Sobe app (Docker Hub) + banco PostgreSQL em background",
 		"docker:db": "docker compose up -d db",
 		"//docker:db": "Sobe apenas o banco em background (para usar com pnpm dev)",
 		"docker:down": "docker compose down",
-		"docker:down:volumes": "docker compose down -v",
+		"//docker:down": "Para e remove os containers",
 		"docker:logs": "docker compose logs -f",
-		"docker:logs:app": "docker compose logs -f app",
+		"//docker:logs": "Acompanha logs de todos os containers em tempo real",
-		"docker:logs:db": "docker compose logs -f db",
+		"docker:update": "docker compose pull && docker compose up -d",
-		"docker:restart": "docker compose restart",
+		"//docker:update": "Atualiza para a imagem mais recente do Docker Hub e reinicia",
 		"docker:rebuild": "docker compose up --build --force-recreate",
 		"backup": "bash scripts/backup.sh"
 	},
 	"dependencies": {
-		"@ai-sdk/anthropic": "^3.0.64",
+		"@ai-sdk/anthropic": "^3.0.69",
-		"@ai-sdk/google": "^3.0.53",
+		"@ai-sdk/google": "^3.0.63",
-		"@ai-sdk/openai": "^3.0.48",
+		"@ai-sdk/openai": "^3.0.52",
-		"@aws-sdk/client-s3": "^3.1019.0",
+		"@aws-sdk/client-s3": "^3.1030.0",
-		"@aws-sdk/s3-request-presigner": "^3.1019.0",
+		"@aws-sdk/s3-request-presigner": "^3.1030.0",
-		"@better-auth/passkey": "^1.5.6",
+		"@better-auth/passkey": "^1.6.2",
 		"@dnd-kit/core": "^6.3.1",
 		"@dnd-kit/sortable": "^10.0.0",
 		"@dnd-kit/utilities": "^3.2.2",
-		"@openrouter/ai-sdk-provider": "^2.3.3",
+		"@openrouter/ai-sdk-provider": "^2.5.1",
 		"@radix-ui/react-alert-dialog": "1.1.15",
 		"@radix-ui/react-avatar": "1.1.11",
 		"@radix-ui/react-checkbox": "1.3.3",
@@ -46,11 +49,13 @@
 		"@radix-ui/react-dropdown-menu": "2.1.16",
 		"@radix-ui/react-hover-card": "^1.1.15",
 		"@radix-ui/react-label": "2.1.8",
 		"@radix-ui/react-navigation-menu": "^1.2.14",
 		"@radix-ui/react-popover": "^1.1.15",
 		"@radix-ui/react-progress": "1.1.8",
 		"@radix-ui/react-radio-group": "^1.3.8",
 		"@radix-ui/react-select": "2.2.6",
 		"@radix-ui/react-separator": "1.1.8",
 		"@radix-ui/react-slider": "^1.3.6",
 		"@radix-ui/react-slot": "1.2.4",
 		"@radix-ui/react-switch": "1.2.6",
 		"@radix-ui/react-tabs": "1.1.13",
@@ -58,43 +63,50 @@
 		"@radix-ui/react-toggle-group": "1.1.11",
 		"@radix-ui/react-tooltip": "1.2.8",
 		"@remixicon/react": "4.9.0",
 		"@tanstack/react-query": "^5.99.0",
 		"@tanstack/react-table": "8.21.3",
 		"@tanstack/react-virtual": "^3.13.23",
-		"ai": "^6.0.141",
+		"ai": "^6.0.159",
-		"better-auth": "1.5.6",
+		"better-auth": "1.6.2",
 		"canvas-confetti": "^1.9.4",
 		"class-variance-authority": "0.7.1",
 		"clsx": "2.1.1",
 		"cmdk": "^1.1.1",
 		"date-fns": "^4.1.0",
 		"drizzle-orm": "0.45.2",
 		"exceljs": "^4.4.0",
 		"jspdf": "^4.2.1",
 		"jspdf-autotable": "^5.0.7",
-		"next": "16.1.7",
+		"next": "16.2.3",
 		"next-themes": "0.4.6",
 		"pdfjs-dist": "^5.6.205",
 		"pg": "8.20.0",
-		"radix-ui": "^1.4.3",
+		"react": "19.2.5",
 		"react": "19.2.4",
 		"react-day-picker": "^9.14.0",
-		"react-dom": "19.2.4",
+		"react-dom": "19.2.5",
 		"recharts": "3.8.1",
-		"resend": "^6.9.4",
+		"resend": "^6.11.0",
 		"sonner": "2.0.7",
 		"tailwind-merge": "3.5.0",
 		"vaul": "1.1.2",
 		"xlsx": "^0.18.5",
 		"zod": "4.3.6"
 	},
 	"pnpm": {
 		"overrides": {
 			"defu": "6.1.7"
 		}
 	},
 	"devDependencies": {
-		"@biomejs/biome": "2.4.9",
+		"@biomejs/biome": "2.4.11",
 		"@tailwindcss/postcss": "4.2.2",
 		"@types/canvas-confetti": "^1.9.0",
-		"@types/node": "25.5.0",
+		"@types/node": "25.6.0",
 		"@types/pg": "^8.20.0",
 		"@types/react": "19.2.14",
 		"@types/react-dom": "19.2.3",
-		"dotenv": "^17.3.1",
+		"dotenv": "^17.4.2",
 		"drizzle-kit": "0.31.10",
 		"knip": "^6.4.1",
 		"tailwindcss": "4.2.2",
 		"tsx": "4.21.0",
 		"typescript": "6.0.2"
--- a/pnpm-lock.yaml
+++ b/pnpm-lock.yaml
--- a/public/.well-known/security.txt
+++ b/public/.well-known/security.txt
@@ -0,0 +1,4 @@
 Contact: https://github.com/felipegcoutinho/openmonetis/security/advisories
 Expires: 2027-04-04T00:00:00.000Z
 Preferred-Languages: pt-BR, en
 Canonical: https://openmonetis.com/.well-known/security.txt
--- a/public/fonts/america-regular.woff2
+++ b/public/fonts/america-regular.woff2
--- a/public/fonts/font_index.ts
+++ b/public/fonts/font_index.ts
@@ -1,15 +1,9 @@
-import localFont from "next/font/local";
+import { Inter } from "next/font/google";
-export const america = localFont({
+export const inter = Inter({
-	src: [
+	subsets: ["latin"],
 		{
 			path: "./america-regular.woff2",
 			weight: "400",
 			style: "normal",
 		},
 	],
 	display: "swap",
-	variable: "--font-america",
+	variable: "--font-inter",
 	fallback: ["ui-sans-serif", "system-ui"],
 	preload: true,
 });
 export const americaFontVariable = america.variable;
--- a/public/images/dashboard-preview-dark.webp
+++ b/public/images/dashboard-preview-dark.webp
--- a/public/images/dashboard-preview-light.webp
+++ b/public/images/dashboard-preview-light.webp
--- a/public/images/preview-calendario-dark.webp
+++ b/public/images/preview-calendario-dark.webp
--- a/public/images/preview-calendario-light.webp
+++ b/public/images/preview-calendario-light.webp
--- a/public/images/preview-cartao-dark.webp
+++ b/public/images/preview-cartao-dark.webp
--- a/public/images/preview-cartao-light.webp
+++ b/public/images/preview-cartao-light.webp
--- a/public/images/preview-importacao-dark.webp
+++ b/public/images/preview-importacao-dark.webp
--- a/public/images/preview-importacao-light.webp
+++ b/public/images/preview-importacao-light.webp
--- a/public/images/preview-lancamentos-dark.webp
+++ b/public/images/preview-lancamentos-dark.webp
--- a/public/images/preview-lancamentos-light.webp
+++ b/public/images/preview-lancamentos-light.webp
--- a/public/images/preview-orcamentos-dark.webp
+++ b/public/images/preview-orcamentos-dark.webp
--- a/public/images/preview-orcamentos-light.webp
+++ b/public/images/preview-orcamentos-light.webp
--- a/public/images/preview-parcelas-dark.webp
+++ b/public/images/preview-parcelas-dark.webp
--- a/public/images/preview-parcelas-light.webp
+++ b/public/images/preview-parcelas-light.webp
--- a/public/images/preview-pre-lancamentos-dark.webp
+++ b/public/images/preview-pre-lancamentos-dark.webp
--- a/public/images/preview-pre-lancamentos-light.webp
+++ b/public/images/preview-pre-lancamentos-light.webp
--- a/public/llms.txt
+++ b/public/llms.txt
@@ -0,0 +1,37 @@
 # OpenMonetis
 > OpenMonetis is a self-hosted personal finance web app for manual financial control. It helps users manage accounts, cards, invoices, budgets, notes, reports, attachments, and AI-generated insights. The product UI is in Brazilian Portuguese, the codebase uses English folder and import names, and there is no hosted SaaS version.
 >
 > **Stack:** Next.js 16, React 19, PostgreSQL, Drizzle ORM, Better Auth, Tailwind CSS 4, shadcn/ui. Package manager: pnpm. Linter: Biome.
 OpenMonetis is meant to be deployed by the user on their own machine or server.
 There is no Open Finance or automatic bank synchronization.
 Transactions can be entered manually or imported from OFX and XLS/XLSX files.
 Attachments are optional and require S3-compatible storage.
 The public website is mainly a landing page; the main technical documentation lives in the GitHub repository.
 ## Docs
 - [Landing page](/): Public homepage and high-level product overview
 - [README](https://github.com/felipegcoutinho/openmonetis/blob/main/README.md): Main project documentation covering features, installation, Docker, environment variables, architecture, contributing, and license
 - [CHANGELOG](https://github.com/felipegcoutinho/openmonetis/blob/main/CHANGELOG.md): Release history and notable changes
 - [LICENSE](https://github.com/felipegcoutinho/openmonetis/blob/main/LICENSE): CC BY-NC-SA 4.0 license terms
 ## Setup
 - [Setup script](https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/setup.mjs): Interactive installer for local or self-hosted setup
 - [Environment example](https://github.com/felipegcoutinho/openmonetis/blob/main/.env.example): Required and optional environment variables
 - [Docker Compose](https://github.com/felipegcoutinho/openmonetis/blob/main/docker-compose.yml): Local app and PostgreSQL stack definition
 ## Architecture
 - [CLAUDE.md](https://github.com/felipegcoutinho/openmonetis/blob/main/CLAUDE.md): Project architecture, naming rules, query rules, and feature checklist
 ## Optional
 - [robots.txt](/robots.txt): Crawl policy for the public site
 ## Related Projects
 - [OpenMonetis Companion](https://github.com/felipegcoutinho/openmonetis-companion): Android app that captures bank notifications and sends them to the OpenMonetis inbox for review
--- a/public/pdf.worker.min.mjs
+++ b/public/pdf.worker.min.mjs
--- a/scripts/dev.ts
+++ b/scripts/dev.ts
@@ -1,17 +0,0 @@
 #!/usr/bin/env tsx
 import { execSync } from "node:child_process";
 import { config } from "dotenv";
 // Carregar variáveis de ambiente
 config();
 const port = process.env.PORT || "3000";
 console.log(`Starting Next.js development server on port ${port}...`);
 // Executar next dev com a porta especificada
 execSync(`npx next dev --turbopack --port ${port}`, {
 	stdio: "inherit",
 	env: { ...process.env, PORT: port },
 });
--- a/scripts/install-deps.sh
+++ b/scripts/install-deps.sh
@@ -0,0 +1,245 @@
 #!/bin/sh
 # install-deps.sh — Instala pré-requisitos do OpenMonetis
 # Testado apenas em Ubuntu Server 24.04 LTS
 # Uso: curl -fsSL https://raw.githubusercontent.com/felipegcoutinho/openmonetis/main/scripts/install-deps.sh -o install-deps.sh
 #      sudo sh install-deps.sh
 set -e
 LOG_FILE="/tmp/openmonetis-install.log"
 > "$LOG_FILE"
 # Suprimir prompt interativo do corepack ao chamar pnpm/node versioning
 export COREPACK_ENABLE_DOWNLOAD_PROMPT=0
 # ── Cores ──────────────────────────────────────────────────────────────────────
 GREEN='\033[0;32m'
 YELLOW='\033[1;33m'
 RED='\033[0;31m'
 CYAN='\033[0;36m'
 BOLD='\033[1m'
 RESET='\033[0m'
 ok()   { printf "${GREEN}✔${RESET} %s\n" "$1"; }
 warn() { printf "${YELLOW}!${RESET} %s\n" "$1"; }
 info() { printf "${CYAN}→${RESET} %s\n" "$1"; }
 fail() { printf "${RED}✗${RESET} %s\n" "$1"; exit 1; }
 # ── Contador de etapas ─────────────────────────────────────────────────────────
 _STEP=0
 _TOTAL=5
 section() {
  _STEP=$((_STEP + 1))
  printf "\n${BOLD}[%d/%d] %s${RESET}\n" "$_STEP" "$_TOTAL" "$1"
 }
 # ── Spinner ────────────────────────────────────────────────────────────────────
 _spin_pid=""
 spinner_start() {
  _spin_label="$1"
  ( i=0
    while true; do
      case $((i % 4)) in
        0) d="   " ;; 1) d=".  " ;; 2) d=".. " ;; *) d="..." ;;
      esac
      printf "\r${CYAN}→${RESET} %s%s" "$_spin_label" "$d"
      i=$((i + 1))
      sleep 0.4
    done
  ) &
  _spin_pid=$!
 }
 spinner_stop() {
  if [ -n "$_spin_pid" ]; then
    kill "$_spin_pid" 2>/dev/null || true
    wait "$_spin_pid" 2>/dev/null || true
    _spin_pid=""
    printf "\r\033[2K"
  fi
 }
 # ── Executores silenciosos com spinner ─────────────────────────────────────────
 # run_quiet "label" cmd [args...]  — roda comando com spinner, falha mostra log
 run_quiet() {
  _rq_label="$1"; shift
  spinner_start "$_rq_label"
  if ! "$@" >> "$LOG_FILE" 2>&1; then
    spinner_stop
    printf "${RED}✗ Falha em: %s${RESET}\n" "$_rq_label"
    printf "  Log completo: %s\n\n" "$LOG_FILE"
    tail -20 "$LOG_FILE"
    exit 1
  fi
  spinner_stop
 }
 # run_as_user "label" "comando_shell"  — roda comando como $CURRENT_USER com spinner
 run_as_user() {
  _ru_label="$1"; shift
  spinner_start "$_ru_label"
  if ! su - "$CURRENT_USER" -c "$*" >> "$LOG_FILE" 2>&1; then
    spinner_stop
    printf "${RED}✗ Falha em: %s${RESET}\n" "$_ru_label"
    printf "  Log completo: %s\n\n" "$LOG_FILE"
    tail -20 "$LOG_FILE"
    exit 1
  fi
  spinner_stop
 }
 # ── Cleanup no Ctrl+C ──────────────────────────────────────────────────────────
 cleanup() {
  spinner_stop
  printf "\n${YELLOW}Instalação interrompida.${RESET} Log em: %s\n" "$LOG_FILE"
  exit 1
 }
 trap cleanup INT TERM
 # ── Tempo total ────────────────────────────────────────────────────────────────
 _START=$(date +%s)
 elapsed() {
  _secs=$(( $(date +%s) - _START ))
  printf "%dm%ds" $((_secs / 60)) $((_secs % 60))
 }
 # ── Root check ─────────────────────────────────────────────────────────────────
 if [ "$(id -u)" -ne 0 ]; then
  fail "Execute como root ou com sudo: sudo sh install-deps.sh"
 fi
 CURRENT_USER="${SUDO_USER:-$(whoami)}"
 printf "\n${BOLD}OpenMonetis — Instalação de Dependências${RESET}\n"
 printf "Usuário: ${CYAN}%s${RESET} | Log: %s\n" "$CURRENT_USER" "$LOG_FILE"
 # ── [1/5] Dependências base ────────────────────────────────────────────────────
 section "Dependências base"
 run_quiet "Atualizando lista de pacotes"       apt-get update -qq
 run_quiet "Instalando git, curl, ca-certificates" apt-get install -y -qq ca-certificates curl git
 ok "git $(git --version | cut -d' ' -f3) · curl · ca-certificates"
 # ── [2/5] Docker ───────────────────────────────────────────────────────────────
 section "Docker"
 if command -v docker > /dev/null 2>&1; then
  ok "Docker já instalado: $(docker --version | cut -d',' -f1)"
 else
  info "Adicionando repositório oficial do Docker..."
  install -m 0755 -d /etc/apt/keyrings
  run_quiet "Baixando chave GPG do Docker" \
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
  chmod a+r /etc/apt/keyrings/docker.asc
  . /etc/os-release
  mkdir -p /etc/apt/sources.list.d
  printf 'deb [arch=%s signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu %s stable\n' \
    "$(dpkg --print-architecture)" "$VERSION_CODENAME" \
    > /etc/apt/sources.list.d/docker.list
  run_quiet "Atualizando lista de pacotes" apt-get update -qq
  run_quiet "Instalando Docker Engine (pode levar alguns minutos)" \
    apt-get install -y -qq docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
  systemctl enable docker > /dev/null 2>&1 || true
  systemctl start docker  > /dev/null 2>&1 || true
  ok "Docker $(docker --version | cut -d',' -f1 | cut -d' ' -f3) instalado"
 fi
 if docker compose version > /dev/null 2>&1; then
  ok "Docker Compose $(docker compose version | cut -d' ' -f4)"
 else
  run_quiet "Instalando Docker Compose plugin" \
    sh -c 'mkdir -p /usr/local/lib/docker/cli-plugins && curl -fsSL "https://github.com/docker/compose/releases/latest/download/docker-compose-linux-$(uname -m)" -o /usr/local/lib/docker/cli-plugins/docker-compose && chmod +x /usr/local/lib/docker/cli-plugins/docker-compose'
  ok "Docker Compose $(docker compose version | cut -d' ' -f4) instalado"
 fi
 if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
  if ! groups "$CURRENT_USER" | grep -q docker; then
    usermod -aG docker "$CURRENT_USER"
    warn "Usuário '$CURRENT_USER' adicionado ao grupo docker — faça logout/login para aplicar"
  else
    ok "Usuário '$CURRENT_USER' já está no grupo docker"
  fi
 fi
 # ── [3/5] Homebrew ─────────────────────────────────────────────────────────────
 section "Homebrew"
 if command -v brew > /dev/null 2>&1; then
  ok "Homebrew já instalado: $(brew --version | head -1)"
 else
  warn "Esta etapa pode levar de 5 a 10 minutos."
  run_quiet "Instalando dependências de compilação" \
    apt-get install -y -qq build-essential procps file
  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
    run_as_user "Instalando Homebrew" \
      'NONINTERACTIVE=1 bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"'
    BREW_PROFILE="/home/$CURRENT_USER/.bashrc"
    BREW_EVAL='eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)"'
    grep -qxF "$BREW_EVAL" "$BREW_PROFILE" 2>/dev/null || echo "$BREW_EVAL" >> "$BREW_PROFILE"
    export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
    eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
  else
    fail "Homebrew não pode ser instalado como root. Use sudo com um usuário normal."
  fi
  ok "Homebrew instalado"
 fi
 # ── [4/5] Node.js 22 ───────────────────────────────────────────────────────────
 section "Node.js 22"
 NODE_MAJOR=0
 if command -v node > /dev/null 2>&1; then
  NODE_MAJOR=$(node -e "process.stdout.write(String(parseInt(process.versions.node)))")
 fi
 if [ "$NODE_MAJOR" -ge 22 ] 2>/dev/null; then
  ok "Node.js já instalado: $(node --version)"
 else
  warn "Node.js via Homebrew pode levar alguns minutos."
  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
    run_as_user "Instalando Node.js 22" \
      'eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" && brew install node@22 && brew link node@22 --force --overwrite'
    export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
    eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
  else
    fail "Node.js via Homebrew não pode ser instalado como root."
  fi
  ok "Node.js $(node --version) instalado"
 fi
 # ── [5/5] pnpm ─────────────────────────────────────────────────────────────────
 section "pnpm"
 if command -v pnpm > /dev/null 2>&1; then
  ok "pnpm já instalado: $(pnpm --version)"
 else
  if [ -n "$CURRENT_USER" ] && [ "$CURRENT_USER" != "root" ]; then
    run_as_user "Instalando pnpm via corepack" \
      'eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" && corepack enable && COREPACK_ENABLE_DOWNLOAD_PROMPT=0 corepack prepare pnpm@latest --activate'
  else
    run_quiet "Instalando pnpm via corepack" \
      sh -c 'corepack enable && COREPACK_ENABLE_DOWNLOAD_PROMPT=0 corepack prepare pnpm@latest --activate'
  fi
  ok "pnpm instalado"
 fi
 # ── Resumo ─────────────────────────────────────────────────────────────────────
 # Garantir que node/pnpm do brew estejam no PATH para o resumo
 export PATH="/home/linuxbrew/.linuxbrew/bin:$PATH"
 eval "$(/home/linuxbrew/.linuxbrew/bin/brew shellenv)" 2>/dev/null || true
 printf "\n${BOLD}Concluído em $(elapsed)${RESET}\n"
 ok "git:            $(git --version | cut -d' ' -f3)"
 ok "docker:         $(docker --version | cut -d',' -f1 | cut -d' ' -f3)"
 ok "docker compose: $(docker compose version | cut -d' ' -f4)"
 ok "node:           $(node --version)"
 ok "pnpm:           $(pnpm --version)"
--- a/scripts/setup-env.sh
+++ b/scripts/setup-env.sh
@@ -1,49 +0,0 @@
 #!/bin/bash
 # Script para configurar ambiente de forma segura
 # Cria backup do .env atual antes de sobrescrever
 set -e
 echo "🔧 Configurando ambiente..."
 # Se .env já existe, criar backup
 if [ -f .env ]; then
  BACKUP_FILE=".env.backup.$(date +%Y%m%d_%H%M%S)"
  echo "⚠️  Arquivo .env existente detectado!"
  echo "📦 Criando backup em: $BACKUP_FILE"
  cp .env "$BACKUP_FILE"
  echo "✅ Backup criado com sucesso!"
  echo ""
  read -p "Deseja sobrescrever o .env atual com .env.example? (s/N) " -n 1 -r
  echo
  if [[ ! $REPLY =~ ^[Ss]$ ]]; then
    echo "❌ Operação cancelada. Seu .env não foi modificado."
    exit 0
  fi
 fi
 # Copiar .env.example para .env
 if [ -f .env.example ]; then
  cp .env.example .env
  echo "✅ Arquivo .env criado a partir de .env.example"
 else
  echo "❌ Erro: .env.example não encontrado!"
  exit 1
 fi
 # Gerar BETTER_AUTH_SECRET automaticamente
 if command -v openssl &> /dev/null; then
  SECRET=$(openssl rand -base64 32)
  sed -i.bak "s|BETTER_AUTH_SECRET=.*|BETTER_AUTH_SECRET=$SECRET|" .env && rm -f .env.bak
  echo "✅ BETTER_AUTH_SECRET gerado automaticamente"
 else
  echo "⚠️  openssl não encontrado — configure BETTER_AUTH_SECRET manualmente:"
  echo "   openssl rand -base64 32"
 fi
 echo ""
 echo "⚠️  IMPORTANTE: Edite o arquivo .env e configure:"
 echo "   - DATABASE_URL"
 echo "   - BETTER_AUTH_URL"
 echo "   - Demais variáveis opcionais (OAuth, e-mail, IA)"
--- a/src/app/(auth)/login/page.tsx
+++ b/src/app/(auth)/login/page.tsx
@@ -1,9 +1,19 @@
 import { LoginForm } from "@/features/auth/components/login-form";
 import { Logo } from "@/shared/components/logo";
 export default function LoginPage() {
 	return (
-		<div className="flex min-h-svh flex-col items-center justify-center bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
+		<div className="relative flex min-h-svh flex-col items-center justify-center overflow-hidden bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
-			<div className="w-full max-w-sm md:max-w-5xl">
+			<div className="pointer-events-none absolute inset-0">
 				<div className="absolute -right-32 -top-32 h-72 w-72 rounded-full bg-primary/10 blur-3xl" />
 				<div className="absolute -bottom-32 -left-32 h-72 w-72 rounded-full bg-primary/7 blur-3xl" />
 			</div>
 			<div className="relative mb-6 flex md:hidden">
 				<Logo variant="compact" colorIcon />
 			</div>
 			<div className="relative w-full max-w-sm md:max-w-5xl">
 				<LoginForm />
 			</div>
 		</div>
--- a/src/app/(auth)/signup/page.tsx
+++ b/src/app/(auth)/signup/page.tsx
@@ -1,9 +1,19 @@
 import { SignupForm } from "@/features/auth/components/signup-form";
 import { Logo } from "@/shared/components/logo";
-export default function Page() {
+export default function SignupPage() {
 	return (
-		<div className="flex min-h-svh flex-col items-center justify-center bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
+		<div className="relative flex min-h-svh flex-col items-center justify-center overflow-hidden bg-linear-to-b from-background via-background to-muted/20 px-5 py-8 md:px-8 md:py-10">
-			<div className="w-full max-w-sm md:max-w-5xl">
+			<div className="pointer-events-none absolute inset-0">
 				<div className="absolute -right-32 -top-32 h-72 w-72 rounded-full bg-primary/10 blur-3xl" />
 				<div className="absolute -bottom-32 -left-32 h-72 w-72 rounded-full bg-primary/7 blur-3xl" />
 			</div>
 			<div className="relative mb-6 flex md:hidden">
 				<Logo variant="compact" colorIcon />
 			</div>
 			<div className="relative w-full max-w-sm md:max-w-5xl">
 				<SignupForm />
 			</div>
 		</div>
--- a/src/app/(dashboard)/accounts/[accountId]/statement/page.tsx
+++ b/src/app/(dashboard)/accounts/[accountId]/statement/page.tsx
@@ -1,5 +1,6 @@
 import { RiPencilLine } from "@remixicon/react";
 import { notFound } from "next/navigation";
 import { connection } from "next/server";
 import { AccountDialog } from "@/features/accounts/components/account-dialog";
 import { AccountStatementCard } from "@/features/accounts/components/account-statement-card";
 import type { Account } from "@/features/accounts/components/types";
@@ -42,6 +43,7 @@ const capitalize = (value: string) =>
 	value.length > 0 ? value[0]?.toUpperCase().concat(value.slice(1)) : value;
 export default async function Page({ params, searchParams }: PageProps) {
 	await connection();
 	const { accountId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -190,6 +192,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 					allowCreate={false}
 					noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 					columnOrder={userPreferences?.transactionsColumnOrder ?? null}
 					attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 				/>
 			</section>
 		</main>
--- a/src/app/(dashboard)/accounts/layout.tsx
+++ b/src/app/(dashboard)/accounts/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankLine />}
 				title="Contas"
--- a/src/app/(dashboard)/accounts/page.tsx
+++ b/src/app/(dashboard)/accounts/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { AccountsPage } from "@/features/accounts/components/accounts-page";
 import { fetchAllAccountsForUser } from "@/features/accounts/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const { activeAccounts, archivedAccounts, logoOptions } =
 		await fetchAllAccountsForUser(userId);
--- a/src/app/(dashboard)/attachments/layout.tsx
+++ b/src/app/(dashboard)/attachments/layout.tsx
@@ -0,0 +1,26 @@
 import { RiAttachmentLine } from "@remixicon/react";
 import MonthNavigation from "@/shared/components/month-picker/month-navigation";
 import PageDescription from "@/shared/components/page-description";
 export const metadata = {
 	title: "Anexos",
 };
 export default function RootLayout({
 	children,
 }: {
 	children: React.ReactNode;
 }) {
 	return (
 		<section className="space-y-6">
 			<PageDescription
 				icon={<RiAttachmentLine />}
 				title="Anexos"
 				subtitle="Gerencie os anexos das suas transações"
 			/>
 			<MonthNavigation />
 			{children}
 		</section>
 	);
 }
--- a/src/app/(dashboard)/attachments/loading.tsx
+++ b/src/app/(dashboard)/attachments/loading.tsx
@@ -0,0 +1,38 @@
 import { Skeleton } from "@/shared/components/ui/skeleton";
 export default function AnexosLoading() {
 	return (
 		<main className="flex flex-col gap-6">
 			<div className="w-full space-y-6">
 				{/* Header */}
 				<Skeleton className="h-10 w-40 rounded-md bg-foreground/10" />
 				{/* Month navigation */}
 				<Skeleton className="h-10 w-64 rounded-md bg-foreground/10" />
 				{/* Count */}
 				<Skeleton className="h-4 w-20 rounded-md bg-foreground/10" />
 				{/* Grid */}
 				<div className="grid grid-cols-2 gap-3 sm:grid-cols-3 lg:grid-cols-4 xl:grid-cols-5">
 					{Array.from({ length: 10 }).map((_, i) => (
 						<div
 							key={i}
 							className="flex flex-col overflow-hidden rounded-lg border"
 						>
 							<Skeleton className="aspect-square w-full bg-foreground/10" />
 							<div className="space-y-1.5 p-2.5">
 								<Skeleton className="h-3 w-3/4 rounded bg-foreground/10" />
 								<Skeleton className="h-3 w-full rounded bg-foreground/10" />
 								<div className="flex justify-between">
 									<Skeleton className="h-3 w-16 rounded bg-foreground/10" />
 									<Skeleton className="h-3 w-12 rounded bg-foreground/10" />
 								</div>
 							</div>
 						</div>
 					))}
 				</div>
 			</div>
 		</main>
 	);
 }
--- a/src/app/(dashboard)/attachments/page.tsx
+++ b/src/app/(dashboard)/attachments/page.tsx
@@ -0,0 +1,36 @@
 import { connection } from "next/server";
 import { AttachmentsPage } from "@/features/attachments/components/attachments-page";
 import { fetchAttachmentsForPeriod } from "@/features/attachments/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 import { parsePeriodParam } from "@/shared/utils/period";
 type PageSearchParams = Promise<Record<string, string | string[] | undefined>>;
 type PageProps = {
 	searchParams?: PageSearchParams;
 };
 const getSingleParam = (
 	params: Record<string, string | string[] | undefined> | undefined,
 	key: string,
 ) => {
 	const value = params?.[key];
 	if (!value) return null;
 	return Array.isArray(value) ? (value[0] ?? null) : value;
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
 	const { period } = parsePeriodParam(periodoParam);
 	const attachments = await fetchAttachmentsForPeriod(userId, period);
 	return (
 		<main className="flex flex-col gap-6">
 			<AttachmentsPage attachments={attachments} />
 		</main>
 	);
 }
--- a/src/app/(dashboard)/budgets/layout.tsx
+++ b/src/app/(dashboard)/budgets/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBarChart2Line />}
 				title="Orçamentos"
--- a/src/app/(dashboard)/budgets/page.tsx
+++ b/src/app/(dashboard)/budgets/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { BudgetsPage } from "@/features/budgets/components/budgets-page";
 import { fetchBudgetsForUser } from "@/features/budgets/queries";
 import MonthNavigation from "@/shared/components/month-picker/month-navigation";
@@ -23,6 +24,7 @@ const capitalize = (value: string) =>
 	value.length === 0 ? value : value[0]?.toUpperCase() + value.slice(1);
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
--- a/src/app/(dashboard)/calendar/layout.tsx
+++ b/src/app/(dashboard)/calendar/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiCalendarEventLine />}
 				title="Calendário"
--- a/src/app/(dashboard)/calendar/page.tsx
+++ b/src/app/(dashboard)/calendar/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { MonthlyCalendar } from "@/features/calendar/components/monthly-calendar";
 import { fetchCalendarData } from "@/features/calendar/queries";
 import {
@@ -16,6 +17,7 @@ type PageProps = {
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const userId = await getUserId();
 	const resolvedParams = searchParams ? await searchParams : undefined;
--- a/src/app/(dashboard)/cards/[cardId]/invoice/page.tsx
+++ b/src/app/(dashboard)/cards/[cardId]/invoice/page.tsx
@@ -1,5 +1,6 @@
 import { RiPencilLine } from "@remixicon/react";
 import { notFound } from "next/navigation";
 import { connection } from "next/server";
 import type { FinancialAccount } from "@/db/schema";
 import { CardDialog } from "@/features/cards/components/card-dialog";
 import type { Card } from "@/features/cards/components/types";
@@ -39,6 +40,7 @@ type PageProps = {
 };
 export default async function Page({ params, searchParams }: PageProps) {
 	await connection();
 	const { cardId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -202,6 +204,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 					allowCreate
 					noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 					columnOrder={userPreferences?.transactionsColumnOrder ?? null}
 					attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 					defaultCardId={card.id}
 					defaultPaymentMethod="Cartão de crédito"
 					lockCardSelection
--- a/src/app/(dashboard)/cards/layout.tsx
+++ b/src/app/(dashboard)/cards/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankCard2Line />}
 				title="Cartões"
--- a/src/app/(dashboard)/cards/page.tsx
+++ b/src/app/(dashboard)/cards/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { CardsPage } from "@/features/cards/components/cards-page";
 import { fetchAllCardsForUser } from "@/features/cards/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const { activeCards, archivedCards, accounts, logoOptions } =
 		await fetchAllCardsForUser(userId);
--- a/src/app/(dashboard)/categories/[categoryId]/page.tsx
+++ b/src/app/(dashboard)/categories/[categoryId]/page.tsx
@@ -1,4 +1,5 @@
 import { notFound } from "next/navigation";
 import { connection } from "next/server";
 import { CategoryDetailHeader } from "@/features/categories/components/category-detail-header";
 import { fetchCategoryDetails } from "@/features/dashboard/categories/category-details-queries";
 import { fetchUserPreferences } from "@/features/settings/queries";
@@ -32,6 +33,7 @@ const getSingleParam = (
 };
 export default async function Page({ params, searchParams }: PageProps) {
 	await connection();
 	const { categoryId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -99,6 +101,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 				allowCreate={true}
 				noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 				columnOrder={userPreferences?.transactionsColumnOrder ?? null}
 				attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 			/>
 		</main>
 	);
--- a/src/app/(dashboard)/categories/history/page.tsx
+++ b/src/app/(dashboard)/categories/history/page.tsx
@@ -1,9 +1,11 @@
 import { connection } from "next/server";
 import { fetchCategoryHistory } from "@/features/dashboard/categories/category-history-queries";
 import { CategoryHistoryWidget } from "@/features/dashboard/components/category-history-widget";
 import { getUser } from "@/shared/lib/auth/server";
 import { getCurrentPeriod } from "@/shared/utils/period";
 export default async function HistoricoCategoriasPage() {
 	await connection();
 	const user = await getUser();
 	const currentPeriod = getCurrentPeriod();
--- a/src/app/(dashboard)/categories/layout.tsx
+++ b/src/app/(dashboard)/categories/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiPriceTag3Line />}
 				title="Categorias"
--- a/src/app/(dashboard)/categories/page.tsx
+++ b/src/app/(dashboard)/categories/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { CategoriesPage } from "@/features/categories/components/categories-page";
 import { fetchCategoriesForUser } from "@/features/categories/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const categories = await fetchCategoriesForUser(userId);
--- a/src/app/(dashboard)/changelog/layout.tsx
+++ b/src/app/(dashboard)/changelog/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiHistoryLine />}
 				title="Changelog"
--- a/src/app/(dashboard)/dashboard/page.tsx
+++ b/src/app/(dashboard)/dashboard/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { DashboardGridEditable } from "@/features/dashboard/components/dashboard-grid-editable";
 import { DashboardMetricsCards } from "@/features/dashboard/components/dashboard-metrics-cards";
 import { DashboardWelcome } from "@/features/dashboard/components/dashboard-welcome";
@@ -14,6 +15,7 @@ type PageProps = {
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
--- a/src/app/(dashboard)/inbox/layout.tsx
+++ b/src/app/(dashboard)/inbox/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiAtLine />}
 				title="Pré-Lançamentos"
--- a/src/app/(dashboard)/inbox/page.tsx
+++ b/src/app/(dashboard)/inbox/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { InboxPage } from "@/features/inbox/components/inbox-page";
 import {
 	type ResolvedInboxSearchParams,
@@ -31,6 +32,7 @@ const EMPTY_DIALOG_DATA = {
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const activeStatus = resolveInboxStatus(resolvedSearchParams);
--- a/src/app/(dashboard)/insights/layout.tsx
+++ b/src/app/(dashboard)/insights/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSparklingLine />}
 				title="Insights"
--- a/src/app/(dashboard)/insights/page.tsx
+++ b/src/app/(dashboard)/insights/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { InsightsPage } from "@/features/insights/components/insights-page";
 import MonthNavigation from "@/shared/components/month-picker/month-navigation";
 import { parsePeriodParam } from "@/shared/utils/period";
@@ -18,6 +19,7 @@ const getSingleParam = (
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
 	const { period: selectedPeriod } = parsePeriodParam(periodoParam);
--- a/src/app/(dashboard)/layout.tsx
+++ b/src/app/(dashboard)/layout.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { fetchDashboardNavbarData } from "@/features/dashboard/navbar-queries";
 import { AppNavbar } from "@/shared/components/navigation/navbar/app-navbar";
 import { PrivacyProvider } from "@/shared/components/providers/privacy-provider";
@@ -9,6 +10,7 @@ export default async function DashboardLayout({
 }: Readonly<{
 	children: React.ReactNode;
 }>) {
 	await connection();
 	const session = await getUserSession();
 	const navbarData = await fetchDashboardNavbarData(session.user.id);
--- a/src/app/(dashboard)/notes/layout.tsx
+++ b/src/app/(dashboard)/notes/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiTodoLine />}
 				title="Anotações"
--- a/src/app/(dashboard)/notes/page.tsx
+++ b/src/app/(dashboard)/notes/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { NotesPage } from "@/features/notes/components/notes-page";
 import { fetchAllNotesForUser } from "@/features/notes/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const { activeNotes, archivedNotes } = await fetchAllNotesForUser(userId);
--- a/src/app/(dashboard)/payers/[payerId]/page.tsx
+++ b/src/app/(dashboard)/payers/[payerId]/page.tsx
@@ -4,6 +4,7 @@ import {
 	RiWallet3Line,
 } from "@remixicon/react";
 import { notFound } from "next/navigation";
 import { connection } from "next/server";
 import { PayerCardUsageCard } from "@/features/payers/components/details/payer-card-usage-card";
 import { PayerHeaderCard } from "@/features/payers/components/details/payer-header-card";
 import { PayerHistoryCard } from "@/features/payers/components/details/payer-history-card";
@@ -79,6 +80,8 @@ const EMPTY_FILTERS: TransactionSearchFilters = {
 	categoryFilter: null,
 	accountCardFilter: null,
 	searchFilter: null,
 	settledFilter: null,
 	attachmentFilter: null,
 };
 const createEmptySlugMaps = (): SlugMaps => ({
@@ -91,6 +94,7 @@ const createEmptySlugMaps = (): SlugMaps => ({
 type OptionSet = ReturnType<typeof buildOptionSets>;
 export default async function Page({ params, searchParams }: PageProps) {
 	await connection();
 	const { payerId } = await params;
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -390,6 +394,7 @@ export default async function Page({ params, searchParams }: PageProps) {
 							allowCreate={canEdit}
 							noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 							columnOrder={userPreferences?.transactionsColumnOrder ?? null}
 							attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 							importPayerOptions={loggedUserOptionSets?.payerOptions}
 							importSplitPayerOptions={loggedUserOptionSets?.splitPayerOptions}
 							importDefaultPayerId={loggedUserOptionSets?.defaultPayerId}
--- a/src/app/(dashboard)/payers/layout.tsx
+++ b/src/app/(dashboard)/payers/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiGroupLine />}
 				title="Pagadores"
--- a/src/app/(dashboard)/payers/page.tsx
+++ b/src/app/(dashboard)/payers/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { PayersPage } from "@/features/payers/components/payers-page";
 import { fetchPayersForUser } from "@/features/payers/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const { payers, avatarOptions } = await fetchPayersForUser(userId);
--- a/src/app/(dashboard)/reports/card-usage/layout.tsx
+++ b/src/app/(dashboard)/reports/card-usage/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiBankCard2Line />}
 				title="Uso de Cartões"
--- a/src/app/(dashboard)/reports/card-usage/page.tsx
+++ b/src/app/(dashboard)/reports/card-usage/page.tsx
@@ -1,4 +1,5 @@
 import { RiBankCard2Line } from "@remixicon/react";
 import { connection } from "next/server";
 import { fetchCartoesReportData } from "@/features/reports/cards-report-queries";
 import { CardCategoryBreakdown } from "@/features/reports/components/cards/card-category-breakdown";
 import { CardInvoiceStatus } from "@/features/reports/components/cards/card-invoice-status";
@@ -28,6 +29,7 @@ const getSingleParam = (
 export default async function RelatorioCartoesPage({
 	searchParams,
 }: PageProps) {
 	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
@@ -69,7 +71,7 @@ export default async function RelatorioCartoesPage({
 					<div className="flex size-14 items-center justify-center rounded-full bg-muted mb-4">
 						<RiBankCard2Line className="size-7 text-muted-foreground" />
 					</div>
-					<p className="text-base font-medium">Nenhum cartão selecionado</p>
+					<p className="text-base font-semibold">Nenhum cartão selecionado</p>
 					<p className="text-sm text-muted-foreground mt-1">
 						Selecione um cartão para ver os detalhes de uso.
 					</p>
--- a/src/app/(dashboard)/reports/category-trends/layout.tsx
+++ b/src/app/(dashboard)/reports/category-trends/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiFileChartLine />}
 				title="Tendências"
--- a/src/app/(dashboard)/reports/category-trends/page.tsx
+++ b/src/app/(dashboard)/reports/category-trends/page.tsx
@@ -1,4 +1,5 @@
 import { redirect } from "next/navigation";
 import { connection } from "next/server";
 import type { Category } from "@/db/schema";
 import { fetchCategoryChartData } from "@/features/reports/category-chart-queries";
 import { fetchCategoryReport } from "@/features/reports/category-report-queries";
@@ -29,6 +30,7 @@ const getSingleParam = (
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	// Get authenticated user
 	const userId = await getUserId();
--- a/src/app/(dashboard)/reports/establishments/layout.tsx
+++ b/src/app/(dashboard)/reports/establishments/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiStore2Line />}
 				title="Top Estabelecimentos"
--- a/src/app/(dashboard)/reports/establishments/page.tsx
+++ b/src/app/(dashboard)/reports/establishments/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { EstablishmentsList } from "@/features/reports/components/establishments/establishments-list";
 import { HighlightsCards } from "@/features/reports/components/establishments/highlights-cards";
 import { PeriodFilterButtons } from "@/features/reports/components/establishments/period-filter";
@@ -36,6 +37,7 @@ const validatePeriodFilter = (value: string | null): PeriodFilter => {
 export default async function TopEstabelecimentosPage({
 	searchParams,
 }: PageProps) {
 	await connection();
 	const user = await getUser();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
 	const periodoParam = getSingleParam(resolvedSearchParams, "periodo");
--- a/src/app/(dashboard)/reports/installment-analysis/layout.tsx
+++ b/src/app/(dashboard)/reports/installment-analysis/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSecurePaymentLine />}
 				title="Análise de Parcelas"
--- a/src/app/(dashboard)/reports/installment-analysis/page.tsx
+++ b/src/app/(dashboard)/reports/installment-analysis/page.tsx
@@ -1,8 +1,10 @@
 import { connection } from "next/server";
 import { InstallmentAnalysisPage } from "@/features/dashboard/components/installment-analysis/installment-analysis-page";
 import { fetchInstallmentAnalysis } from "@/features/dashboard/expenses/installment-analysis-queries";
 import { getUser } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const user = await getUser();
 	const data = await fetchInstallmentAnalysis(user.id);
--- a/src/app/(dashboard)/settings/layout.tsx
+++ b/src/app/(dashboard)/settings/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiSettings2Line />}
 				title="Ajustes"
--- a/src/app/(dashboard)/settings/page.tsx
+++ b/src/app/(dashboard)/settings/page.tsx
@@ -1,6 +1,7 @@
-import { RiArrowRightSLine } from "@remixicon/react";
+import { RiAndroidLine, RiArrowRightSLine } from "@remixicon/react";
 import { headers } from "next/headers";
 import { redirect } from "next/navigation";
 import { connection } from "next/server";
 import { CompanionTab } from "@/features/settings/components/companion-tab";
 import { DeleteAccountForm } from "@/features/settings/components/delete-account-form";
@@ -11,6 +12,7 @@ import { UpdateNameForm } from "@/features/settings/components/update-name-form"
 import { UpdatePasswordForm } from "@/features/settings/components/update-password-form";
 import { fetchSettingsPageData } from "@/features/settings/queries";
 import { Card } from "@/shared/components/ui/card";
 import { Separator } from "@/shared/components/ui/separator";
 import {
 	Tabs,
 	TabsContent,
@@ -20,6 +22,7 @@ import {
 import { auth } from "@/shared/lib/auth/config";
 export default async function Page() {
 	await connection();
 	const session = await auth.api.getSession({
 		headers: await headers(),
 	});
@@ -64,12 +67,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Preferências</h2>
+								<h2 className="text-xl font-semibold mb-1">Preferências</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Personalize sua experiência no OpenMonetis ajustando as
 									configurações de acordo com suas necessidades.
 								</p>
 							</div>
 							<Separator />
 							<PreferencesForm
 								statementNoteAsColumn={
 									userPreferences?.statementNoteAsColumn ?? false
@@ -77,25 +81,48 @@ export default async function Page() {
 								transactionsColumnOrder={
 									userPreferences?.transactionsColumnOrder ?? null
 								}
 								attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 							/>
 						</div>
 					</Card>
 				</TabsContent>
 				<TabsContent value="companion" className="mt-4">
-					<CompanionTab tokens={userApiTokens} />
+					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
 								<div className="flex items-center gap-2 mb-1">
 									<h2 className="text-xl font-semibold">
 										OpenMonetis Companion
 									</h2>
 									<span className="inline-flex items-center gap-1 rounded-full bg-success/10 px-2 py-0.5 text-xs font-medium text-success dark:bg-success/10">
 										<RiAndroidLine className="h-3 w-3" />
 										Android
 									</span>
 								</div>
 								<p className="text-sm text-muted-foreground">
 									Capture notificações de transações dos seus apps de banco
 									(Nubank, Itaú, Bradesco, Inter, C6 e outros) e envie para sua
 									caixa de entrada.
 								</p>
 							</div>
 							<Separator />
 							<CompanionTab tokens={userApiTokens} />
 						</div>
 					</Card>
 				</TabsContent>
 				<TabsContent value="nome" className="mt-4">
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar nome</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar nome</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Atualize como seu nome aparece no OpenMonetis. Esse nome pode
 									ser exibido em diferentes seções do app e em comunicações.
 								</p>
 							</div>
 							<Separator />
 							<UpdateNameForm currentName={userName} />
 						</div>
 					</Card>
@@ -105,12 +132,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar senha</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar senha</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Defina uma nova senha para sua conta. Guarde-a em local
 									seguro.
 								</p>
 							</div>
 							<Separator />
 							<UpdatePasswordForm authProvider={authProvider} />
 						</div>
 					</Card>
@@ -120,12 +148,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Passkeys</h2>
+								<h2 className="text-xl font-semibold mb-1">Passkeys</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Passkeys permitem login sem senha, usando biometria (Face ID,
 									Touch ID, Windows Hello) ou chaves de segurança.
 								</p>
 							</div>
 							<Separator />
 							<PasskeysForm />
 						</div>
 					</Card>
@@ -135,13 +164,14 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1">Alterar e-mail</h2>
+								<h2 className="text-xl font-semibold mb-1">Alterar e-mail</h2>
-								<p className="text-sm text-muted-foreground mb-4">
+								<p className="text-sm text-muted-foreground">
 									Atualize o e-mail associado à sua conta. Você precisará
 									confirmar os links enviados para o novo e também para o e-mail
 									atual (quando aplicável) para concluir a alteração.
 								</p>
 							</div>
 							<Separator />
 							<UpdateEmailForm
 								currentEmail={userEmail}
 								authProvider={authProvider}
@@ -154,14 +184,13 @@ export default async function Page() {
 					<Card className="p-6">
 						<div className="space-y-4">
 							<div>
-								<h2 className="text-lg font-bold mb-1 text-destructive">
+								<h2 className="text-xl font-semibold mb-1">Ações perigosas</h2>
-									Ações perigosas
+								<p className="text-sm text-muted-foreground">
 								</h2>
 								<p className="text-sm text-muted-foreground mb-4">
 									Você pode zerar os dados do OpenMonetis e manter seu acesso,
 									ou excluir sua conta inteira de forma irreversível.
 								</p>
 							</div>
 							<Separator />
 							<DeleteAccountForm />
 						</div>
 					</Card>
--- a/src/app/(dashboard)/transactions/import/page.tsx
+++ b/src/app/(dashboard)/transactions/import/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { ImportPage } from "@/features/transactions/components/import/import-page";
 import {
 	buildOptionSets,
@@ -7,6 +8,7 @@ import { fetchTransactionFilterSources } from "@/features/transactions/queries";
 import { getUserId } from "@/shared/lib/auth/server";
 export default async function Page() {
 	await connection();
 	const userId = await getUserId();
 	const filterSources = await fetchTransactionFilterSources(userId);
 	const sluggedFilters = buildSluggedFilters(filterSources);
--- a/src/app/(dashboard)/transactions/layout.tsx
+++ b/src/app/(dashboard)/transactions/layout.tsx
@@ -11,7 +11,7 @@ export default function RootLayout({
 	children: React.ReactNode;
 }) {
 	return (
-		<section className="space-y-6 pt-4">
+		<section className="space-y-6">
 			<PageDescription
 				icon={<RiArrowLeftRightLine />}
 				title="Lançamentos"
--- a/src/app/(dashboard)/transactions/page.tsx
+++ b/src/app/(dashboard)/transactions/page.tsx
@@ -1,3 +1,4 @@
 import { connection } from "next/server";
 import { fetchUserPreferences } from "@/features/settings/queries";
 import { TransactionsPage } from "@/features/transactions/components/page/transactions-page";
 import {
@@ -27,6 +28,7 @@ type PageProps = {
 };
 export default async function Page({ searchParams }: PageProps) {
 	await connection();
 	const userId = await getUserId();
 	const resolvedSearchParams = searchParams ? await searchParams : undefined;
@@ -102,6 +104,7 @@ export default async function Page({ searchParams }: PageProps) {
 				}}
 				noteAsColumn={userPreferences?.statementNoteAsColumn ?? false}
 				columnOrder={userPreferences?.transactionsColumnOrder ?? null}
 				attachmentMaxSizeMb={userPreferences?.attachmentMaxSizeMb ?? 50}
 			/>
 		</main>
 	);
--- a/src/app/(landing-page)/page.tsx
+++ b/src/app/(landing-page)/page.tsx
@@ -120,13 +120,13 @@ export default async function Page() {
 				</div>
 				<div className="max-w-8xl mx-auto px-4 relative">
-					<div className="mx-auto flex max-w-3xl flex-col items-center text-center gap-5 md:gap-6 pb-10 md:pb-14">
+					<div className="mx-auto flex max-w-4xl flex-col items-center text-center gap-5 md:gap-6 pb-10 md:pb-14">
 						<Badge variant="outline">
 							<RiGithubFill className="size-4 mr-1" />
 							Projeto Open Source
 						</Badge>
-						<h1 className="text-3xl sm:text-4xl md:text-5xl lg:text-6xl font-bold tracking-tight">
+						<h1 className="text-3xl sm:text-4xl md:text-5xl lg:text-6xl font-semibold">
 							Suas finanças,
 							<span className="text-primary"> do seu jeito</span>
 						</h1>
@@ -207,7 +207,7 @@ export default async function Page() {
 									className="flex flex-col items-center text-center gap-1.5"
 								>
 									<Icon className="size-5" style={{ color: colorVar }} />
-									<span className="text-2xl md:text-3xl font-bold">
+									<span className="text-2xl md:text-3xl font-semibold">
 										{value}
 									</span>
 									<span className="text-xs md:text-sm text-muted-foreground">
@@ -229,7 +229,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Conheça as telas
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Veja o que você pode fazer
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -254,7 +254,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									O que tem aqui
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Funcionalidades que importam
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -298,7 +298,7 @@ export default async function Page() {
 						<AnimateOnScroll>
 							<div className="mt-8 md:mt-12">
-								<h3 className="text-sm font-medium text-center mb-4 md:mb-6 text-muted-foreground">
+								<h3 className="text-sm font-semibold text-center mb-4 md:mb-6 text-muted-foreground">
 									Também inclui
 								</h3>
 								<div className="grid gap-3 sm:grid-cols-2 lg:grid-cols-3">
@@ -319,7 +319,7 @@ export default async function Page() {
 												/>
 											</div>
 											<div className="min-w-0">
-												<h4 className="font-medium text-sm mb-0.5">
+												<h4 className="font-semibold text-sm mb-0.5">
 													{feature.title}
 												</h4>
 												<p className="text-xs text-muted-foreground leading-relaxed">
@@ -346,7 +346,7 @@ export default async function Page() {
 									<RiSmartphoneLine className="size-3.5 mr-1" />
 									Mobile
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Use o OpenMonetis no celular sem perder o fluxo
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -384,7 +384,7 @@ export default async function Page() {
 										<RiSmartphoneLine className="size-3.5 mr-1" />
 										PWA instalável
 									</Badge>
-									<h3 className="text-2xl md:text-3xl font-bold tracking-tight mb-3">
+									<h3 className="text-2xl md:text-3xl font-medium tracking-tight mb-3">
 										Leve o OpenMonetis para a tela inicial
 									</h3>
 									<p className="text-muted-foreground mb-6 leading-relaxed">
@@ -430,7 +430,7 @@ export default async function Page() {
 											Companion Android
 										</Badge>
 									</div>
-									<h3 className="text-2xl md:text-3xl font-bold tracking-tight mb-3">
+									<h3 className="text-2xl md:text-3xl font-medium tracking-tight mb-3">
 										Capture, envie e revise no mesmo fluxo
 									</h3>
 									<p className="text-muted-foreground mb-6 leading-relaxed">
@@ -441,7 +441,7 @@ export default async function Page() {
 										{companionSteps.map((step, index) => (
 											<li key={step.title} className="flex items-start gap-3">
 												<span
-													className="mt-0.5 flex h-7 w-7 shrink-0 items-center justify-center rounded-full text-xs font-bold"
+													className="mt-0.5 flex h-7 w-7 shrink-0 items-center justify-center rounded-full text-xs font-medium"
 													style={{
 														backgroundColor: `color-mix(in oklch, ${step.colorVar} 14%, transparent)`,
 														color: step.colorVar,
@@ -529,7 +529,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Stack técnica
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									O que roda por baixo
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground max-w-2xl mx-auto px-4 sm:px-0">
@@ -582,7 +582,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Como usar
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Rode no seu computador
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground px-4 sm:px-0">
@@ -617,7 +617,7 @@ export default async function Page() {
 								<Badge variant="outline" className="mb-4">
 									Para quem é?
 								</Badge>
-								<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+								<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 									Feito para quem gosta de controle
 								</h2>
 								<p className="text-base md:text-lg text-muted-foreground px-4 sm:px-0">
@@ -664,7 +664,7 @@ export default async function Page() {
 				<div className="max-w-8xl mx-auto px-4">
 					<AnimateOnScroll>
 						<div className="mx-auto max-w-4xl rounded-2xl border bg-card px-8 py-12 md:py-16 text-center">
-							<h2 className="text-2xl sm:text-3xl md:text-4xl font-bold tracking-tight mb-3 md:mb-4">
+							<h2 className="text-2xl sm:text-3xl md:text-4xl mb-3 md:mb-4 font-semibold">
 								Pronto para testar?
 							</h2>
 							<p className="text-base md:text-lg text-muted-foreground mb-6 md:mb-8">
--- a/src/app/api/attachments/[attachmentId]/presign/route.ts
+++ b/src/app/api/attachments/[attachmentId]/presign/route.ts
@@ -0,0 +1,54 @@
 import { and, eq } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { attachments } from "@/db/schema";
 import { getOptionalUserSession } from "@/shared/lib/auth/server";
 import { db } from "@/shared/lib/db";
 import { createPresignedGetUrl } from "@/shared/lib/storage/presign";
 const PRIVATE_RESPONSE_HEADERS = {
 	"Cache-Control": "private, no-store",
 };
 export async function GET(
 	_request: Request,
 	{ params }: { params: Promise<{ attachmentId: string }> },
 ) {
 	const [session, { attachmentId }] = await Promise.all([
 		getOptionalUserSession(),
 		params,
 	]);
 	if (!session?.user) {
 		return NextResponse.json(
 			{ error: "Não autenticado" },
 			{ status: 401, headers: PRIVATE_RESPONSE_HEADERS },
 		);
 	}
 	const userId = session.user.id;
 	const [row] = await db
 		.select({ fileKey: attachments.fileKey })
 		.from(attachments)
 		.where(
 			and(eq(attachments.id, attachmentId), eq(attachments.userId, userId)),
 		);
 	if (!row) {
 		return NextResponse.json(
 			{ error: "Not found" },
 			{
 				status: 404,
 				headers: PRIVATE_RESPONSE_HEADERS,
 			},
 		);
 	}
 	const url = await createPresignedGetUrl(row.fileKey);
 	return NextResponse.json(
 		{ url },
 		{
 			headers: PRIVATE_RESPONSE_HEADERS,
 		},
 	);
 }
--- a/src/app/api/auth/device/refresh/route.ts
+++ b/src/app/api/auth/device/refresh/route.ts
@@ -1,87 +0,0 @@
 import { and, eq, gt, isNull } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { apiTokens } from "@/db/schema";
 import {
 	extractBearerToken,
 	hashToken,
 	refreshAccessToken,
 	verifyJwt,
 } from "@/shared/lib/auth/api-token";
 import { db } from "@/shared/lib/db";
 export async function POST(request: Request) {
 	try {
 		// Extrair refresh token do header
 		const authHeader = request.headers.get("Authorization");
 		const token = extractBearerToken(authHeader);
 		if (!token) {
 			return NextResponse.json(
 				{ error: "Refresh token não fornecido" },
 				{ status: 401 },
 			);
 		}
 		// Validar refresh token
 		const payload = verifyJwt(token);
 		if (!payload || payload.type !== "api_refresh") {
 			return NextResponse.json(
 				{ error: "Refresh token inválido ou expirado" },
 				{ status: 401 },
 			);
 		}
 		// Verificar se token não foi revogado
 		const tokenRecord = await db.query.apiTokens.findFirst({
 			where: and(
 				eq(apiTokens.id, payload.tokenId),
 				eq(apiTokens.userId, payload.sub),
 				isNull(apiTokens.revokedAt),
 				gt(apiTokens.expiresAt, new Date()),
 			),
 		});
 		if (!tokenRecord) {
 			return NextResponse.json(
 				{ error: "Token revogado ou não encontrado" },
 				{ status: 401 },
 			);
 		}
 		// Gerar novo access token
 		const result = refreshAccessToken(token);
 		if (!result) {
 			return NextResponse.json(
 				{ error: "Não foi possível renovar o token" },
 				{ status: 401 },
 			);
 		}
 		// Atualizar hash do token e último uso
 		await db
 			.update(apiTokens)
 			.set({
 				tokenHash: hashToken(result.accessToken),
 				lastUsedAt: new Date(),
 				lastUsedIp:
 					request.headers.get("x-forwarded-for")?.split(",")[0]?.trim() ||
 					request.headers.get("x-real-ip") ||
 					null,
 				expiresAt: result.expiresAt,
 			})
 			.where(eq(apiTokens.id, payload.tokenId));
 		return NextResponse.json({
 			accessToken: result.accessToken,
 			expiresAt: result.expiresAt.toISOString(),
 		});
 	} catch (error) {
 		console.error("[API] Error refreshing device token:", error);
 		return NextResponse.json(
 			{ error: "Erro ao renovar token" },
 			{ status: 500 },
 		);
 	}
 }
--- a/src/app/api/auth/device/token/route.ts
+++ b/src/app/api/auth/device/token/route.ts
@@ -1,71 +0,0 @@
 import { headers } from "next/headers";
 import { NextResponse } from "next/server";
 import { z } from "zod";
 import { apiTokens } from "@/db/schema";
 import {
 	generateTokenPair,
 	getTokenPrefix,
 	hashToken,
 } from "@/shared/lib/auth/api-token";
 import { auth } from "@/shared/lib/auth/config";
 import { db } from "@/shared/lib/db";
 const createTokenSchema = z.object({
 	name: z.string().min(1, "Nome é obrigatório").max(100, "Nome muito longo"),
 	deviceId: z.string().optional(),
 });
 export async function POST(request: Request) {
 	try {
 		// Verificar autenticação via sessão web
 		const session = await auth.api.getSession({ headers: await headers() });
 		if (!session?.user) {
 			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
 		}
 		// Validar body
 		const body = await request.json();
 		const { name, deviceId } = createTokenSchema.parse(body);
 		// Gerar par de tokens
 		const { accessToken, refreshToken, tokenId, expiresAt } = generateTokenPair(
 			session.user.id,
 			deviceId,
 		);
 		// Salvar hash do token no banco
 		await db.insert(apiTokens).values({
 			id: tokenId,
 			userId: session.user.id,
 			name,
 			tokenHash: hashToken(accessToken),
 			tokenPrefix: getTokenPrefix(accessToken),
 			expiresAt,
 		});
 		// Retornar tokens (mostrados apenas uma vez)
 		return NextResponse.json(
 			{
 				accessToken,
 				refreshToken,
 				tokenId,
 				name,
 				expiresAt: expiresAt.toISOString(),
 				message:
 					"Token criado com sucesso. Guarde-o em local seguro, ele não será mostrado novamente.",
 			},
 			{ status: 201 },
 		);
 	} catch (error) {
 		if (error instanceof z.ZodError) {
 			return NextResponse.json(
 				{ error: error.issues[0]?.message ?? "Dados inválidos" },
 				{ status: 400 },
 			);
 		}
 		console.error("[API] Error creating device token:", error);
 		return NextResponse.json({ error: "Erro ao criar token" }, { status: 500 });
 	}
 }
--- a/src/app/api/auth/device/tokens/[tokenId]/route.ts
+++ b/src/app/api/auth/device/tokens/[tokenId]/route.ts
@@ -1,6 +1,6 @@
 import { and, eq } from "drizzle-orm";
 import { headers } from "next/headers";
-import { NextResponse } from "next/server";
+import { connection, NextResponse } from "next/server";
 import { apiTokens } from "@/db/schema";
 import { auth } from "@/shared/lib/auth/config";
 import { db } from "@/shared/lib/db";
@@ -10,16 +10,19 @@ interface RouteParams {
 }
 export async function DELETE(_request: Request, { params }: RouteParams) {
 	await connection();
 	const { tokenId } = await params;
 	// Verificar autenticação via sessão web
 	const requestHeaders = new Headers(await headers());
 	const session = await auth.api.getSession({ headers: requestHeaders });
 	if (!session?.user) {
 		return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
 	}
 	try {
 		const { tokenId } = await params;
 		// Verificar autenticação via sessão web
 		const session = await auth.api.getSession({ headers: await headers() });
 		if (!session?.user) {
 			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
 		}
 		// Verificar se token pertence ao usuário
 		const token = await db.query.apiTokens.findFirst({
 			where: and(
--- a/src/app/api/auth/device/tokens/route.ts
+++ b/src/app/api/auth/device/tokens/route.ts
@@ -1,19 +1,22 @@
 import { and, desc, eq, isNull } from "drizzle-orm";
 import { headers } from "next/headers";
-import { NextResponse } from "next/server";
+import { connection, NextResponse } from "next/server";
 import { apiTokens } from "@/db/schema";
 import { auth } from "@/shared/lib/auth/config";
 import { db } from "@/shared/lib/db";
 export async function GET() {
 	await connection();
 	// Verificar autenticação via sessão web
 	const requestHeaders = new Headers(await headers());
 	const session = await auth.api.getSession({ headers: requestHeaders });
 	if (!session?.user) {
 		return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
 	}
 	try {
 		// Verificar autenticação via sessão web
 		const session = await auth.api.getSession({ headers: await headers() });
 		if (!session?.user) {
 			return NextResponse.json({ error: "Não autenticado" }, { status: 401 });
 		}
 		// Buscar tokens ativos do usuário
 		const activeTokens = await db
 			.select({
--- a/src/app/api/auth/device/verify/route.ts
+++ b/src/app/api/auth/device/verify/route.ts
@@ -17,15 +17,14 @@ export async function POST(request: Request) {
 			);
 		}
-		// Validar token os_xxx via hash lookup
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ valid: false, error: "Formato de token inválido" },
 				{ status: 401 },
 			);
 		}
 		// Hash do token para buscar no DB
 		const tokenHash = hashToken(token);
 		// Buscar token no banco
--- a/src/app/api/health/route.ts
+++ b/src/app/api/health/route.ts
@@ -1,5 +1,4 @@
 import { NextResponse } from "next/server";
 import { version as APP_VERSION } from "@/package.json";
 import { db } from "@/shared/lib/db";
 /**
@@ -20,7 +19,6 @@ export async function GET() {
 			{
 				status: "ok",
 				name: "OpenMonetis",
 				version: APP_VERSION,
 				timestamp: new Date().toISOString(),
 			},
 			{ status: 200 },
@@ -33,7 +31,6 @@ export async function GET() {
 			{
 				status: "error",
 				name: "OpenMonetis",
 				version: APP_VERSION,
 				timestamp: new Date().toISOString(),
 				message: "Database connection failed",
 			},
--- a/src/app/api/inbox/batch/route.ts
+++ b/src/app/api/inbox/batch/route.ts
@@ -1,4 +1,4 @@
-import { and, eq, gt, isNull, or } from "drizzle-orm";
+import { and, eq, gt, isNull } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { z } from "zod";
 import { apiTokens, inboxItems } from "@/db/schema";
@@ -48,8 +48,8 @@ export async function POST(request: Request) {
 			);
 		}
-		// Validar token os_xxx via hash
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ error: "Formato de token inválido" },
 				{ status: 401 },
@@ -63,7 +63,7 @@ export async function POST(request: Request) {
 			where: and(
 				eq(apiTokens.tokenHash, tokenHash),
 				isNull(apiTokens.revokedAt),
-				or(isNull(apiTokens.expiresAt), gt(apiTokens.expiresAt, new Date())),
+				gt(apiTokens.expiresAt, new Date()),
 			),
 		});
--- a/src/app/api/inbox/route.ts
+++ b/src/app/api/inbox/route.ts
@@ -1,4 +1,4 @@
-import { and, eq, gt, isNull, or } from "drizzle-orm";
+import { and, eq, gt, isNull } from "drizzle-orm";
 import { NextResponse } from "next/server";
 import { z } from "zod";
 import { apiTokens, inboxItems } from "@/db/schema";
@@ -41,8 +41,8 @@ export async function POST(request: Request) {
 			);
 		}
-		// Validar token os_xxx via hash
+		// Validar token opm_xxx via hash
-		if (!token.startsWith("os_")) {
+		if (!token.startsWith("opm_")) {
 			return NextResponse.json(
 				{ error: "Formato de token inválido" },
 				{ status: 401 },
@@ -56,7 +56,7 @@ export async function POST(request: Request) {
 			where: and(
 				eq(apiTokens.tokenHash, tokenHash),
 				isNull(apiTokens.revokedAt),
-				or(isNull(apiTokens.expiresAt), gt(apiTokens.expiresAt, new Date())),
+				gt(apiTokens.expiresAt, new Date()),
 			),
 		});
--- a/src/app/api/insights/saved/route.ts
+++ b/src/app/api/insights/saved/route.ts
@@ -0,0 +1,44 @@
 import { NextResponse } from "next/server";
 import {
 	fetchSavedInsights,
 	savedInsightsPeriodSchema,
 } from "@/features/insights/queries";
 import { getOptionalUserSession } from "@/shared/lib/auth/server";
 const PRIVATE_RESPONSE_HEADERS = {
 	"Cache-Control": "private, no-store",
 };
 export async function GET(request: Request) {
 	const period = new URL(request.url).searchParams.get("period") ?? "";
 	const validatedPeriod = savedInsightsPeriodSchema.safeParse(period);
 	if (!validatedPeriod.success) {
 		return NextResponse.json(
 			{
 				error: validatedPeriod.error.issues[0]?.message ?? "Período inválido.",
 			},
 			{
 				status: 400,
 				headers: PRIVATE_RESPONSE_HEADERS,
 			},
 		);
 	}
 	const session = await getOptionalUserSession();
 	if (!session?.user) {
 		return NextResponse.json(
 			{ error: "Não autenticado" },
 			{ status: 401, headers: PRIVATE_RESPONSE_HEADERS },
 		);
 	}
 	const insights = await fetchSavedInsights(
 		session.user.id,
 		validatedPeriod.data,
 	);
 	return NextResponse.json(insights, {
 		headers: PRIVATE_RESPONSE_HEADERS,
 	});
 }
--- a/src/app/api/logo/mapping/route.ts
+++ b/src/app/api/logo/mapping/route.ts
@@ -0,0 +1,26 @@
 import { NextResponse } from "next/server";
 import { getOptionalUserSession } from "@/shared/lib/auth/server";
 import { fetchEstablishmentLogoDomain } from "@/shared/lib/logo/establishment-logo-queries";
 /**
 * GET /api/logo/mapping?name={name}
 *
 * Retorna o domínio Logo.dev salvo pelo usuário para um estabelecimento.
 * Usado pelo EstablishmentLogo para hidratar o domain salvo no banco.
 */
 export async function GET(request: Request) {
 	const session = await getOptionalUserSession();
 	if (!session) {
 		return NextResponse.json({ domain: null }, { status: 200 });
 	}
 	const { searchParams } = new URL(request.url);
 	const name = searchParams.get("name")?.trim();
 	if (!name) {
 		return NextResponse.json({ domain: null }, { status: 200 });
 	}
 	const domain = await fetchEstablishmentLogoDomain(session.user.id, name);
 	return NextResponse.json({ domain });
 }
--- a/src/app/api/logo/search/route.ts
+++ b/src/app/api/logo/search/route.ts
@@ -0,0 +1,80 @@
 import { NextResponse } from "next/server";
 import { getOptionalUserSession } from "@/shared/lib/auth/server";
 const LOGO_DEV_SEARCH_URL = "https://api.logo.dev/search";
 interface LogoResult {
 	name: string;
 	domain: string;
 }
 async function searchByStrategy(
 	q: string,
 	strategy: "match" | "typeahead",
 	secretKey: string,
 ): Promise<LogoResult[]> {
 	try {
 		const url = `${LOGO_DEV_SEARCH_URL}?q=${encodeURIComponent(q)}&strategy=${strategy}`;
 		const res = await fetch(url, {
 			headers: { Authorization: `Bearer ${secretKey}` },
 			next: { revalidate: 3600 },
 		});
 		if (!res.ok) return [];
 		const data = await res.json();
 		return Array.isArray(data) ? data : [];
 	} catch {
 		return [];
 	}
 }
 /**
 * GET /api/logo/search?q={name}
 *
 * Proxy seguro para a Logo.dev Brand Search API.
 * Faz duas buscas paralelas (match + typeahead) e retorna até 20 resultados únicos.
 * Usa LOGO_DEV_SECRET_KEY server-side — nunca exposta ao cliente.
 */
 export async function GET(request: Request) {
 	const session = await getOptionalUserSession();
 	if (!session) {
 		return NextResponse.json({ error: "Não autorizado." }, { status: 401 });
 	}
 	const { searchParams } = new URL(request.url);
 	const q = searchParams.get("q")?.trim();
 	if (!q) {
 		return NextResponse.json(
 			{ error: "Parâmetro q obrigatório." },
 			{ status: 400 },
 		);
 	}
 	const secretKey = process.env.LOGO_DEV_SECRET_KEY;
 	if (!secretKey) {
 		return NextResponse.json(
 			{ error: "Logo.dev não configurado." },
 			{ status: 503 },
 		);
 	}
 	// Duas buscas paralelas para maximizar resultados (cada uma retorna até 10)
 	const [matchResults, typeaheadResults] = await Promise.all([
 		searchByStrategy(q, "match", secretKey),
 		searchByStrategy(q, "typeahead", secretKey),
 	]);
 	// Mescla e deduplica por domain, mantendo ordem (match tem prioridade)
 	const seen = new Set<string>();
 	const merged: LogoResult[] = [];
 	for (const result of [...matchResults, ...typeaheadResults]) {
 		if (!seen.has(result.domain)) {
 			seen.add(result.domain);
 			merged.push(result);
 			if (merged.length >= 20) break;
 		}
 	}
 	return NextResponse.json(merged);
 }
--- a/Show More
+++ b/Show More
		`@@ -0,0 +1 @@`
							`ALTER TABLE "preferencias_usuario" ADD COLUMN "attachment_max_size_mb" integer DEFAULT 50 NOT NULL;`