Governança

Contrato de Governança (C1): conformidade PPSI/LGPD, medição, IMR, ANS, RACI, trava e glosas.

Entregas de PPSI / LGPD

Governança (C1)

  • Relatório de gaps PPSI/LGPD.
  • Minuta de PGSI e indicadores.
  • Matriz de risco de provedores.
  • Insumos técnicos para RIPD.

Segurança (C3)

  • Programa de conscientização e phishing.
  • Pareceres security/privacy by design.
  • Pentest anual com revalidação.

Responsabilidades que permanecem da Administração

  • Nomeação formal e deliberações colegiadas.
  • Aprovação e publicação de políticas.
  • Assinatura final de RIPD e decisões LGPD.
  • Comunicações institucionais e regulatórias.

Matriz RACI (resumo)

Atividade C1 C2 C3 Administração
Monitorar disponibilidade R C C I
Operar infraestrutura I RA C I
Operar segurança I C RA I
Aprovar mudança crítica R C C RA
Aplicar glosa C I I RA

RACI com matriz alargada no documento de referência: ver secção RACI.

Unidades de remuneração (IMR)

UnidadeDescrição
U1Endpoint conforme
U2Servidor ou instância conforme
U3Ativo de rede conforme
U4Serviço digital conforme
U5Ativo protegido conforme
U6Ativo recuperável conforme
U7Outros (sob demanda), teto de 10% por contrato/período

Evidência mínima: disponibilidade + registro (CMDB/catálogo) + controles aplicáveis. “Online” isolado não confere conformidade.

Estados de conformidade e pagamento

EstadoPagamento sugerido
Conforme100%
Não conformidade leve80%
Não conformidade média50%
Não conformidade grave20%
Não governável0%

Trava trilateral

Se o item estiver não governável ou fora do padrão mínimo, sem ARRC, não há faturamento vinculado ao item em C1, C2 e C3 no mesmo período. A decisão de enquadramento é da Administração.

Glosas e nexo

  • Glosa por nexo no contrato responsável pela falha.
  • Glosa por visibilidade de evidências: percentuais e não cumulatividade conforme ANS.
  • ARRC: restrição imputável ao contratante segue regime de tolerância.

Texto ampliado no documento de referência: Remuneração e Glosas.