Ambientes lógicos (ciclo de vida) — sob a ótica do C1-GOV
O contrato de Governança (C1-GOV) não opera o ambiente; mede, atesta e cobra evidência do que se passa nele. Em cada faixa lógica — desenvolvimento, homologação, pré-produção (quando houver) e produção — o C1-GOV define o que precisa estar registrado, em que canal pactuado, com que periodicidade e por quanto tempo. A execução fica em Operação (C2-OPR) e a postura/validação em Segurança (C3-SEC).
- Desenvolvimento — evidência mínima de inventário no CMDB (mesmo que reduzida) e segregação de logs, com retenção curta; o C1-GOV não atesta SLA de produção em desenvolvimento, mas exige trilha de mudança rumo a homologação.
- Homologação — registro de UAT, evidência de testes de aceite e indicadores de prontidão (defeitos abertos, regressões); o C1-GOV usa esses dados como insumo de risco antes da promoção a produção.
- Pré-produção, quando houver — espelho de medição da produção; o C1-GOV exige que painéis e relógios estejam alinhados (NTP) para validar mudanças sensíveis sem ruído de telemetria.
- Produção — máxima exigência de evidência consultável (ITSM, CMDB congelado no período, painéis, SIEM, relatório de teste de backup), com retenção compatível com PPSI/LGPD e o tempo de fiscalização contratual.
A regra geral: “online” isolado não confere conformidade — o C1-GOV requer disponibilidade + registro + controles aplicáveis em canal pactuado. Detalhe canônico em SDR-0011 e nos sub-SDRs 0011a (instrumentos), 0011b (ciclo mensal), 0011d (PPSI medido pelo C1), 0011e (ferramentas de coleta/monitoração de IC) e 0011f (novas ferramentas por iniciativa da contratante — prazo de adequação).
Camadas do serviço de Governança (C1-GOV) e modelo operativo
O contrato de Governança (C1-GOV) não se organiza em N1, N2, N3 como a Operação, nem em SOC/postura como a Segurança. Estrutura-se em camadas funcionais que se sobrepõem para entregar três resultados verificáveis: medir bem, provar com evidência e cobrar com nexo. Cada camada tem dono no fornecedor C1-GOV, fronteira clara com C2-OPR/C3-SEC e ato decisório pela Administração.
Camadas funcionais
| Camada | Foco | O que entrega (exemplos) |
|---|---|---|
| Medição e telemetria | Capturar dado em canal pactuado | ITSM, CMDB, NOC de medição (distinto do NOC operacional do C2-OPR), painéis, índice de qualidade do dado, NTP/relógio comum, retenção mínima. |
| Evidência e ateste | Prova auditável do que foi medido | Captura, normalização, congelamento mensal da base, trilha auditável; relatório consolidado por unidade IMR. |
| Fiscalização contratual | Apurar SLA, glosa, ARRC e nexo | Apoio a gestor/fiscais; rotina mensal (medição → ateste → contraditório → decisão); preparação técnica de glosa por nexo. |
| Conformidade aplicada (C1) | PPSI/LGPD na ótica de medição | Relatório de gaps PPSI, indicadores de aderência, insumos técnicos para RIPD; sem decidir pela Administração. |
| Sala de medição e sala de crise contratual | Ritmo, RACI ativo, decisão registrada | Reunião de medição mensal; sala de crise contratual quando houver disputa de nexo, ARRC ou trava trilateral em curso; ata e linha do tempo no ITSM. |
| Indicadores e relatórios institucionais | Tornar o serviço inteligível à Administração | IMR consolidado, ANS, painel mensal e trimestral, relatórios de fiscalização, indicadores de qualidade do dado e de tempestividade de decisão. |
| Apoio à gestão de evidência cruzada | Custódia íntegra entre fontes | Recebimento e custódia de evidência produzida por C2-OPR e C3-SEC (logs, RFC, RPI, restore, pentest); reconciliação com CMDB; sem reabertura silenciosa de chamado. |
As camadas C1-GOV não substituem o RACI nem o OLA interno do fornecedor; alinham-se ao catálogo de serviço, às filas no ITSM e às metas do ANS. Texto canônico em SDR-0011.
Modelo operativo do C1-GOV
O NOC de medição do C1-GOV é o ponto onde o contratante enxerga, em tempo real, se a Operação e a Segurança estão produzindo evidência consistente com o serviço contratado. Pode adotar:
- Centralizado — um único hub de dashboards, ITSM e CMDB; reuniões de medição em cadência fixa; um único ponto de entrada para fiscalização.
- Distribuído com consolidação — coleta por filas (operação, segurança, infra) e consolidação obrigatória em painel único; o C1-GOV é dono da consolidação e da reconciliação.
- Plantão de medição em crise — turno reforçado durante incidentes contratuais (ARRC em discussão, trava trilateral, disputa de nexo) para que a medição não se quebre exatamente quando mais é necessária.
O NOC operacional (alarmes de infraestrutura) permanece em C2-OPR e o SOC (segurança) em C3-SEC. O C1-GOV não opera esses NOC/SOC, mas recebe deles a evidência em formato e canal pactuados, e cobra qualidade do dado, integridade do log e tempestividade.
Requisitos que o TR e o ANS devem explicitar
- Cobertura do NOC de medição e tempos máximos de disponibilização de painel mensal, ateste e contraditório — parâmetros numéricos no SDR-0011 e no ANS.
- Janela e regra de congelamento da base remuneravel (CMDB do período) — sem inclusão/exclusão silenciosa de CI a posteriori.
- Idioma, canal e evidência de tudo que entra no IMR — o que está fora do canal pactuado pode ser desconsiderado, salvo ARRC.
- Confidencialidade e segregação entre fornecedores — o operador de C2-OPR não pode também atestar a si mesmo dentro do C1-GOV (vedação do SDR-0001).
- Tempestividade de decisão da Administração — o tempo de decisão é insumo do serviço, não desculpa; o C1-GOV mede e relata.
Presencial, remoto e teletrabalho
Boa parte do C1-GOV é remoto por natureza (consolidação de painéis, ITSM, CMDB, relatório). Há, porém, momentos presenciais: reunião de medição com a Administração, sala de crise contratual, repasse a auditoria interna ou de controle externo, e exercícios conjuntos com C2-OPR e C3-SEC. Teletrabalho pode ser a forma como o fornecedor organiza a equipe, desde que haja controle de jornada acordado, confidencialidade reforçada e canal único de fiscalização.
Vale a mesma regra da Operação e da Segurança: sem buracos de responsabilidade entre presencial, remoto e teletrabalho. Sempre há um titular do turno de medição, com nome, contato e registro no ITSM.
Trilateralidade C1-GOV ↔ C2-OPR ↔ C3-SEC — quem cobra o quê
A maturidade do serviço vem de três contratos que se cobram mutuamente, sem subordinação operacional entre fornecedores. O C1-GOV mede e cobra evidência; o C2-OPR opera e mantém disponibilidade; o C3-SEC protege, deteta e responde. Cada um tem visibilidade sobre o trabalho do outro no que lhe compete, e a Administração arbitra. A vedação central, herdada da arquitetura dos três contratos, é simples: nenhum fornecedor audita ou mede a si mesmo no mesmo serviço — quem opera não fiscaliza, quem protege não esconde achados de quem mede, e quem mede não “opera disfarçado”.
Texto canônico desta seção: SDR-0011c · norma de arquitetura: SDR-0001 · trava trilateral: SDR-0005.
Incidente ativo (restaurar antes de imputar) e RACI mínimo nas fronteiras (patch em ativo de segurança, mudança de postura, teste de backup/restore, IAM — detalhe no TR/anexo): SDR-0011c §§4–5. Sala de medição × sala de crise contratual: SDR-0011b §4. Evidência automatizada para faturamento por IC: SDR-0023d §8.2.1. Transição integrada (kickoff conjunto, comitê, exercício anual mínimo): SDR-0019 §2.
Matriz de cobranças mútuas (exemplos)
| Evento ou exigência | Quem dispara | Quem executa | Quem mede e atesta |
|---|---|---|---|
| Patch crítico em servidor de produção | C3-SEC (priorização por risco) | C2-OPR (janela e mudança) | C1-GOV (cumprimento do SLA, evidência no ITSM) |
| Endurecimento (hardening) de baseline | C3-SEC (define padrão) | C2-OPR (aplica e mantém) | C3-SEC valida; C1-GOV mede aderência |
| Incidente de segurança detectado pelo SOC | C3-SEC (detecção) | C2-OPR (bloqueio, isolamento, restauração técnica) | C3-SEC conduz IR e RPI; C1-GOV mede tempos e linha do tempo |
| Falha operacional com sintoma de segurança | C2-OPR (alarme do NOC) | Handover ao SOC C3-SEC e tratamento conjunto | C1-GOV fiscaliza linha do tempo e custódia |
| Ciclo joiner/mover/leaver (IAM) | Administração / C1-GOV | C3-SEC (governança IAM) com C2-OPR (provisionamento na plataforma) | C1-GOV audita evidência |
| Restauração de backup (teste de DR) | C3-SEC (calendário e cenário) | C2-OPR (execução nos sistemas) | C1-GOV valida resultado contra RTO/RPO |
| Mudança em produção que afeta postura | C2-OPR (RFC) com revisão obrigatória do C3-SEC | C2-OPR (executa após aprovação) | C1-GOV (registro, ateste); C3-SEC acompanha pós-mudança |
| Fechamento mensal do IMR | C1-GOV (calendário) | C2-OPR e C3-SEC (entrega de evidência no canal pactuado) | C1-GOV consolida; Administração decide ateste/glosa |
| Trava trilateral (item não governável) | C1-GOV (constatação) | Administração (enquadramento) | C1-GOV registra; corte de faturamento nos três contratos no período |
O que C1-GOV cobra de C2-OPR e de C3-SEC
- Evidência consultável de tudo que entra no IMR: ITSM, SIEM, ferramentas de mudança, relatório de teste de backup, base CMDB congelada no período.
- Aderência ao PPSI/LGPD (SDR-0014) e à matriz de riscos (SDR-0012); recortes do C1-GOV em SDR-0011d.
- Coerência entre catálogo e execução: o que está prometido no catálogo C2-OPR/C3-SEC acontece, com trilha auditável.
- Qualidade do dado e integridade do log: relógios sincronizados (NTP), formatos pactuados, sem lacuna silenciosa entre fontes.
- Tempestividade: SLA por classe respeitado; sem reabertura silenciosa, sem reclassificação fora de procedimento.
- Trava trilateral e glosa conforme o SDR-0005: nenhum dos três cobra o que não comprova.
O que C2-OPR e C3-SEC cobram de C1-GOV
- Tempo de decisão da Administração sobre exceções, risco aceito, bloqueios e janelas críticas — o C1-GOV é responsável por levar a pauta no ritmo necessário e medir o atraso, sem proteger ninguém.
- Congelamento da base CMDB no período de medição e regra clara de inclusão e exclusão de CI; sem mover poste depois do tiro.
- Integridade do ITSM e da numeração de incidente — sem reabertura silenciosa, sem reclassificação fora de procedimento.
- Proteção contra dupla cobrança: o mesmo CI não pode pesar em denominadores incompatíveis entre C2-OPR e C3-SEC.
- Critério de evidência mínima publicado por unidade IMR: o que conta, em que canal, com que retenção — sem regra ad-hoc inventada no fechamento mensal.
- Relatório transparente de qualidade do dado, com pontos cegos declarados e plano de saneamento — sem fingir 100% quando há lacuna estrutural.
Vedação de duplo papel
O fornecedor que executa C1-GOV não pode também ser o operador de C2-OPR ou C3-SEC do mesmo serviço — quem mede não opera, e quem opera não atesta a si próprio. O desenho lógico admite acesso de leitura cruzada (consolidar evidência exige ler logs e registros de C2-OPR/C3-SEC), mas quem decide ateste, glosa ou aceitação de risco não é o avaliado. A regra está no SDR-0001 e é controlada operacionalmente pelo C1-GOV em conjunto com a Administração.
PPSI, normas GSI/PR (DSIC) — o que C1-GOV mede e atesta
O PPSI do órgão é a base central de referência para medir aderência e desenhar o TR/ANS. As Instruções Normativas do GSI/PR (ex.: IN nº 1/2020 e IN nº 3/2021) e as Normas Complementares da DSIC completam o arcabouço quando aplicáveis. O C1-GOV não cria postura nem executa controle: ele mede, consolida evidência e atesta, com base no que C2-OPR e C3-SEC produzem.
Ordem de citação sugerida no TR/ANS do C1-GOV: (1) PPSI medido no período; (2) IN/NC GSI/DSIC aplicáveis (ex.: IN 3/2021 Cap. VI — avaliação de conformidade em SI); (3) boas práticas de mercado (NIST, CIS, ISO 27001) como reforço, não substituto.
Mapa PPSI × três contratos: SDR-0014a · catálogo GSI/DSIC: SDR-0015a · controles atestados pelo C1: SDR-0011d.
Entregas de PPSI / LGPD por contrato (síntese)
Governança (C1-GOV)
- Relatório de gaps PPSI/LGPD.
- Indicadores de aderência (medidas atestadas pelo C1).
- Minuta de PGSI e indicadores institucionais.
- Matriz de risco de provedores.
- Insumos técnicos para RIPD.
Segurança (C3-SEC)
- Programa de conscientização e simulação de phishing.
- Pareceres security/privacy by design.
- Pentest periódico com revalidação.
- Resposta a incidente com dado pessoal.
A Operação (C2-OPR) executa ajustes operacionais quando vinculados a infraestrutura, sistemas ou endpoints — ver Operação — regras mínimas do TR. Decisões legalmente da Administração (políticas, RIPD, aceite de risco, comunicação institucional) não são delegáveis.
Regras mínimas do TR — Governança (C1-GOV)
As regras abaixo materializam exigências do Termo de Referência e do ANS para o contrato de Governança. A base de contagem e os parâmetros numéricos (cobertura, periodicidade, retenção) ficam no SDR-0011 e são herdados pelo ANS; o TR fecha categoria, cláusula e remédios. Aqui fixa-se a estrutura mínima que o TR precisa exigir, em paralelo às regras de capacidade do C2-OPR e às camadas do C3-SEC.
ITSM, CMDB e NOC de medição
- ITSM com filas pactuadas (incidente, problema, mudança, requisição, evento), numeração íntegra, sem reabertura silenciosa.
- CMDB com taxonomia de CI compatível com as unidades IMR (U1–U7); metamodelo e listas curadas: SDR-0024; congelamento mensal da base remunerável; regra escrita de inclusão/exclusão de CI.
- NOC de medição (do C1-GOV) — distinto do NOC operacional do C2-OPR e do SOC do C3-SEC; consolida painéis, NTP comum, índice de qualidade do dado, cobertura por fonte.
- Retenção de evidência compatível com PPSI/LGPD e com o ciclo de fiscalização contratual; sem prescrição silenciosa.
Detalhe canônico: SDR-0011a · referência de tipos (mapas Ibama): SDR-0020.
Ciclo mensal de medição e ateste
- Congelar base remunerável (CMDB e catálogo) no fim do período.
- Coletar evidências no ITSM, CMDB, painéis, SIEM, relatórios e ferramentas de mudança.
- Classificar conformidade por unidade (estados Conforme, Leve, Média, Grave, Não governável).
- Apurar SLA, reincidência, ARRC e glosa; preparar nexo.
- Abrir contraditório operacional com C2-OPR e C3-SEC.
- Levar à decisão da Administração.
- Atestar, glosar ou suspender (trava); registrar no ITSM.
- Plano de saneamento com responsável e prazo, acompanhado mês a mês.
Texto canônico: SDR-0011b · processo: SDR-0010.
Contrapeso à medição (C1-GOV) e prazo/escalada de decisão da Administração: SDR-0010 §4 · validação cruzada da CMDB (mín. semestral): SDR-0011a §2.2 · ruptura de um dos três contratos: SDR-0019 §2.1.
Ferramentas para IC (coleta, manutenção, monitoração) e mudança institucional
O C1-GOV precisa de software e hardware auditáveis para alimentar a CMDB, a telemetria e a evidência de medição. A política de quem define, quem fornece e quem detém essas ferramentas — e a transparência de custos no relatório mensal quando a contratada as provisionar com aceite formal — está no SDR-0011e (três modos: contratante fornece; ausência com sugestão da contratada e decisão da contratante, podendo incluir ferramentas livres; contratada às expensas com aceite, custos documentados e transferência patrimonial de hardware/licença perpétua após o primeiro ciclo contratual completo, quando aplicável).
Quando a contratante impuser ou disponibilizar nova ferramenta por decisão institucional, os contratos afetados (C1-GOV, C2-OPR e/ou C3-SEC) dispõem de até 90 (noventa) dias corridos para adequação aos novos níveis de serviço e integrações, contados a partir do marco zero pactuado — texto canônico: SDR-0011f. O TR/ANS deve fixar o marco zero, a lista de contratos afetados e eventuais exceções justificadas ao prazo.
Remuneração por IC: distinção entre evento de inclusão (uma vez, com adicional de 20% sobre a base de conformidade de entrada e vedação de segunda instalação remunerada para o mesmo ic_id) e parcela recorrente condicionada à prestação efetiva no período — SDR-0023d · SDR-0023e.
Painéis, relatórios e indicadores institucionais
- Painel mensal consultável (com filtros mínimos por unidade, localidade e período).
- Relatório de fiscalização com nexo, evidência e proposta de glosa/ateste.
- Indicadores de qualidade do dado e de tempestividade de decisão (Administração, fornecedores).
- Trilha auditável de quem viu o quê, quando, e que decisão tomou.
Conformidade aplicada (PPSI, LGPD)
- PPSI: o C1-GOV mede o que pode ser medido (ex.: 0.13, 0.16, 17.4, 17.6, 17.8) — ver SDR-0011d e mapa SDR-0014a.
- LGPD: o C1-GOV apoia com indicadores e insumos para RIPD; não decide.
- Trilhas de auditoria íntegras, em retenção compatível com o marco aplicável.
Fonte normativa (SDR): texto canônico entre os arquivos sdr-*.md — visualizar em HTML · baixar sdr-0011-governanca-c1-medicao.md · índice no planejamento da contratação.
Domínios de infraestrutura — Governança (C1-GOV)
As colunas de Operação (C2-OPR) e Segurança (C3-SEC) cobrem execução, mudança, postura e validação na mesma matriz; aqui está o que o C1-GOV exige ver, registrar e atestar em cada domínio, para todas as faixas do escopo do contrato.
| Domínio | Governança (C1-GOV) — visibilidade e ateste |
|---|---|
| Nuvem | Inventário de contas, workloads e custos no CMDB; evidência de conformidade de mudança; aderência a baselines validadas pelo C3-SEC. |
| Cloudflare | Registro de regras WAF/DNS/CDN no catálogo; evidência de ativação de mitigação DDoS; histórico de alteração com nexo de mudança. |
| Endpoints | Inventário vivo de postos (U1) reconciliado com EDR/UEM; evidência de instalação, suporte e ciclo operacional; índice de aderência a postura mínima. |
| Redes | Inventário de switches/roteadores/AP/links no CMDB; evidência de mudança e janela; logs do C2-OPR/C3-SEC consolidados sem lacuna silenciosa. |
| Servidores e aplicações | Catálogo de aplicações e serviços digitais (U4); evidência de mudança, disponibilidade e backup testado; aderência a hardening do C3-SEC. |
Disciplinas transversais (ênfase em C1-GOV)
Impressão
Trilha de auditoria consolidada e indicadores de uso por unidade; execução em C2-OPR, validação de postura em C3-SEC, medição em C1-GOV.
MDM / UEM
Aderência de postura por equipamento e perfil reconciliada com CMDB; ciclo do parque em C2-OPR, postura em C3-SEC, medição em C1-GOV.
Patch management
SLA por classe medido em C1-GOV (com glosa quando vencer sem aceite formal); priorização em C3-SEC, execução em C2-OPR.
Self-service
Catálogo, métricas de automação e redução de chamados em C1-GOV; execução em C2-OPR com revisão de C3-SEC antes de produção.
Identidade (IAM/PAM)
Auditoria de evidência do ciclo joiner/mover/leaver; governança IAM em C3-SEC, provisionamento em C2-OPR, ateste em C1-GOV.
Continuidade (BCP/DRP)
Validação do resultado de teste de DR contra RTO/RPO; calendário e cenário em C3-SEC, execução em C2-OPR, ateste em C1-GOV.
Condição "sob crise contratual"
Não confundir com a sala de incidente operacional (NOC/SOC, contenção e restauração): durante incidente degradante, a resposta técnica tem precedência sobre discussão de nexo — ver SDR-0011c §4 e SDR-0011b §4.
Quando há disputa de nexo, ARRC em discussão, trava trilateral em curso ou incidente que afete simultaneamente os três contratos, a sequência de prioridades não muda; o que muda é o ritmo e a clareza dos papéis trilaterais — sob a ótica do C1-GOV.
Evidência IC (automação primeiro): SDR-0023d §8.2.1 · transição integrada: SDR-0019 §2.
- Acionar a sala de medição em modo crise contratual — turno reforçado, agenda diária, ata e linha do tempo no ITSM.
- Preservar a base remunerável — sem mexer no congelamento; toda alteração extraordinária em CMDB/catálogo registrada com justificativa.
- Levar a pauta à Administração dentro do prazo pactuado (a tempestividade de decisão também é medida).
- Calcular e aplicar consequências — alerta, advertência, glosa por nexo, glosa por visibilidade, ARRC, trava trilateral; sem dupla punição.
- Comunicar internamente conforme matriz da Administração; não comunicar externamente sem decisão formal.
- Pós-crise — relatório com causa raiz, ações de melhoria com prazo e responsável, fechamento controlado pelo C1-GOV.
RACI mínimo durante crise contratual
| Atividade | C1-GOV (Governança) | C2-OPR (Operação) | C3-SEC (Segurança) | Administração |
|---|---|---|---|---|
| Consolidação de evidência e linha do tempo | R/A | C | C | I |
| Pauta de decisão (ARRC, trava, glosa) | R | C | C | A |
| Execução técnica de saneamento | I | R/A | C | I |
| Postura e validação de controle | C | C | R/A | I |
| Comunicação institucional | R | C | C | A |
| Aceite de risco e exceção | R | C | C | A |
| Trilha auditável e ateste de tempos | R/A | C | C | I |
R responsável (faz) · A autoridade (decide) · C consultado · I informado.
Critério de saída do estado "crise contratual"
- Decisão da Administração sobre nexo, ARRC, glosa e/ou trava registrada e comunicada.
- Plano de saneamento com responsável e prazo publicado no ITSM.
- Painel e indicadores reabertos em ritmo normal; sem evidência pendente fora de canal pactuado.
IMR, estados, RACI, Administração, trava e glosa
O IMR é o instrumento contratual que materializa, mês a mês, o que C1-GOV mede e atesta. As mesmas unidades U1–U7 servem para C1-GOV, C2-OPR e C3-SEC, mas os preços e a base de cobrança por contrato são distintos. Online isolado não confere conformidade — exige-se disponibilidade + registro (CMDB/catálogo) + controles aplicáveis em canal pactuado.
Responsabilidades que permanecem da Administração
- Nomeação formal e deliberações colegiadas.
- Aprovação e publicação de políticas.
- Assinatura final de RIPD e decisões LGPD.
- Comunicações institucionais e regulatórias.
- Aceite de risco, aplicação de glosa e enquadramento de ARRC e trava.
Matriz RACI (resumo)
| Atividade | C1-GOV | C2-OPR | C3-SEC | Administração |
|---|---|---|---|---|
| Monitorar disponibilidade | R | C | C | I |
| Operar infraestrutura | I | RA | C | I |
| Operar segurança | I | C | RA | I |
| Aprovar mudança crítica | R | C | C | RA |
| Aplicar glosa | C | I | I | RA |
RACI alargado durante crise contratual: ver Sob crise contratual nesta página.
Unidades de remuneração (IMR)
| Unidade | Descrição |
|---|---|
| U1 | Endpoint conforme |
| U2 | Servidor ou instância conforme |
| U3 | Ativo de rede conforme |
| U4 | Serviço digital conforme |
| U5 | Ativo protegido conforme |
| U6 | Ativo recuperável conforme |
| U7 | Outros (sob demanda), teto de 10% por contrato/período |
Evidência mínima: disponibilidade + registro (CMDB/catálogo) + controles aplicáveis. "Online" isolado não confere conformidade.
Estados de conformidade e pagamento
| Estado | Pagamento sugerido |
|---|---|
| Conforme | 100% |
| Não conformidade leve | 80% |
| Não conformidade média | 50% |
| Não conformidade grave | 20% |
| Não governável | 0% |
Trava trilateral
Se o item estiver não governável ou fora do padrão mínimo, sem ARRC, não há faturamento vinculado ao item em C1-GOV, C2-OPR e C3-SEC no mesmo período. A decisão de enquadramento é da Administração; o C1-GOV instrui a pauta. Texto canônico em SDR-0005.
Glosas e nexo
- Glosa por nexo no contrato responsável pela falha.
- Glosa por visibilidade de evidências: percentuais e não cumulatividade conforme ANS.
- ARRC: restrição imputável ao contratante segue regime de tolerância.
- Mesma falha não gera dupla punição financeira.
Referências
- SDR-0011 — regras canônicas de Governança (C1-GOV): medição, ITSM, CMDB, fiscalização. visualizar em HTML · baixar
- SDR-0011a — ITSM, CMDB e NOC de medição. visualizar
- SDR-0024 — CMDB: taxonomia (CI, componente, serviço, papel, documento) e referência curada em
Informacoes-gerais/. visualizar - SDR-0011b — ciclo mensal de medição e ateste. visualizar
- SDR-0011c — trilateralidade e cobrança mútua entre C1-GOV ↔ C2-OPR ↔ C3-SEC. visualizar
- SDR-0011d — controles PPSI medidos pelo C1-GOV. visualizar
- SDR-0001 — arquitetura dos três contratos (vedação de duplo papel). visualizar
- SDR-0002 — IMR: unidades U1–U7 e evidência mínima. visualizar
- SDR-0005 — trava trilateral e glosa. visualizar
- SDR-0007 — ANS: parâmetros, SLA e medição. visualizar
- SDR-0010 — gestão e fiscalização contratual. visualizar
- SDR-0014 — PPSI, LGPD e conformidade. visualizar
- SDR-0014a — mapa PPSI × três contratos. visualizar
- SDR-0015a — catálogo GSI/PR e DSIC. visualizar
- SDR-0016 — Segurança (C3-SEC): SOC, IAM, backup e continuidade. visualizar
- SDR-0006 — Operação (C2-OPR): níveis e capacidade. página de Operação
- Documento de referência — RACI alargado · Remuneração · Glosas