diff --git a/Ambientes.md b/Ambientes.md
new file mode 100644
index 0000000..cf53497
--- /dev/null
+++ b/Ambientes.md
@@ -0,0 +1,78 @@
+# Ambientes
+
+## Desenvolvimento local
+
+Uso esperado:
+
+- frontend via Vite (`npm run dev`);
+- backend via Nest watch (`npm run dev`);
+- PostgreSQL externo ao projeto, podendo ser uma instancia local, banco compartilhado ou container separado.
+
+URLs comuns:
+
+- Frontend Vite: `http://localhost:5173`
+- Backend: `http://localhost:3001`
+
+## Docker local
+
+O Docker Compose sobe apenas aplicacao:
+
+```bash
+docker compose up -d --build
+```
+
+URLs:
+
+- Frontend: `http://localhost:4000`
+- Backend: `http://localhost:4001`
+
+Banco:
+
+- deve ser externo;
+- configurar `DB_HOST`, `DB_PORT`, `DB_USER`, `DB_PASSWORD`, `DB_NAME`;
+- aplicar migrations antes de usar o ambiente.
+
+## Staging
+
+Recomendado para homologacao com cliente:
+
+- banco separado do desenvolvimento;
+- `JWT_SECRET` proprio;
+- URLs publicas estaveis;
+- LDAP/Microsoft apontando para ambiente autorizado;
+- WhatsApp com numero de teste/homologacao;
+- backup automatico do banco externo.
+
+Checklist:
+
+- [ ] banco externo provisionado;
+- [ ] migrations aplicadas;
+- [ ] usuario admin criado;
+- [ ] QR WhatsApp conectado;
+- [ ] login LDAP validado;
+- [ ] backup configurado.
+
+## Producao
+
+Antes de producao real:
+
+- implementar guard JWT;
+- validar permissao por perfil no backend;
+- formalizar runner de migrations;
+- persistir sessao WhatsApp em volume;
+- criar backup automatico no banco externo;
+- configurar logs e monitoramento;
+- revisar CORS;
+- trocar secrets;
+- avaliar WhatsApp Cloud API.
+
+## Variaveis sensiveis
+
+Nunca commitar:
+
+- `JWT_SECRET` real;
+- senha DB;
+- `MICROSOFT_CLIENT_SECRET`;
+- credenciais LDAP bind;
+- dumps de banco com dados reais;
+- arquivos de sessao WhatsApp.