Índice em páginas — Início, Operação, Segurança, Governança, Planejamento da contratação, Aspectos comuns, Outros. IMR, conformidade e trava: Governança. Incidente ativo (restaurar antes de imputar), RACI de fronteira, evidência IC automatizada e transição integrada: trilateralidade · crise contratual · índice SDR. Contrapeso fiscal à medição C1, validação CMDB e ruptura de contrato: 0010 · 0011a · 0019.

Central de Serviços de TI

Três contratos integrados com segregação de responsabilidades para governança, operação, segurança, continuidade e conformidade PPSI/LGPD.

"Um contrato executa. Outro mede. Outro protege. A Administração decide."
GOVERNANÇA Governança ITSM · NOC Conformidade Controla · Mede Evidencia · Coordena Apoia PPSI/LGPD OPERAÇÃO Operação Infraestrutura Suporte · Nuvem Executa · Opera Corrige · Mantém Documenta SEGURANÇA Segurança SOC · IAM · Backup Continuidade Protege · Detecta Responde · Valida Conscientiza controla SLA orienta segurança audita conformidade
Os Três Contratos
Cada contrato tem responsabilidade única e bem definida — sem sobreposição de "dono operacional".
GOVERNANÇA

Governança, ITSM, NOC, Qualidade e Conformidade

Controla, mede, organiza, registra, evidencia e coordena.
  • Gestão da ferramenta ITSM e catálogo de serviços
  • Gestão da CMDB, SLAs e OLAs
  • Gestão de incidentes, problemas, mudanças e configuração
  • NOC e monitoramento independente
  • Observabilidade operacional — painéis técnicos e executivos
  • Auditoria de chamados, mudanças e evidências
  • Gestão de conformidade PPSI/LGPD (evidência e controle)
  • Coordenação de sala de crise
  • Relatórios mensais de operação e planos de ação
  • Controle de consumo de nuvem (governança e orçamento)
  • Apoio à elaboração do PGSI e relatório de gaps PPSI/LGPD
  • Minuta de política de gestão de provedores
  • Insumos técnicos para o RIPD e mapeamento de fluxos de dados
OPERAÇÃO

Operação de TI, Infraestrutura, Suporte, Redes, Nuvem, Banco e Aplicações

Execução operacional principal — dono dos serviços comuns de TI.
  • Execução e sustentação nas faixas contratadas (desenvolvimento, homologação, pré-produção se houver, produção), conforme ETP, catálogo e ANS
  • Service Desk — atendimento 1º, 2º e 3º nível
  • Instalação e suporte de endpoints (computadores, notebooks)
  • Administração de servidores físicos, VMs e storage
  • Administração de SO, virtualização e middleware
  • Sustentação técnica de aplicações e APIs
  • Operação de DNS, DHCP, VPN, LAN, WAN, Wi-Fi
  • Operação de switches, roteadores, APs e balanceadores
  • Operação de ambiente de nuvem (contas, workloads)
  • Operação de Cloudflare (DNS, CDN, publicação, roteamento)
  • Execução de mudanças aprovadas
  • Correção de vulnerabilidades em ativos sob sua operação
  • Instalação de agentes de segurança, backup e monitoramento
  • Manutenção de documentação operacional
SEGURANÇA

Segurança Cibernética, SOC, IAM, Backup, Continuidade e Recuperação

Protege, detecta, responde, controla identidade, faz backup e recupera.
  • SOC, SIEM e correlação de eventos de segurança
  • EDR/XDR e antimalware corporativo
  • Gestão de vulnerabilidades e varreduras (interno/externo)
  • Hardening, baseline e gestão de logs de segurança
  • Resposta a incidentes, contenção e isolamento
  • Gestão de IAM, MFA, PAM e contas privilegiadas
  • Gestão completa de backup, restore e DRP
  • Testes de RTO/RPO e simulados de continuidade
  • Operação de Cloudflare (WAF, DDoS, regras de segurança)
  • Validação de segurança em mudanças críticas
  • Programa de conscientização e simulações de phishing
  • Pareceres de security by design e privacy by design
  • Ciclo anual de pentest (interno e externo)
Diagrama de Relacionamento e Controle
Fluxo de controle, execução e proteção entre os três contratos e a Administração.
ADMINISTRAÇÃO Decide · Fiscaliza · Aplica consequências GOVERNANÇA Governança · ITSM · NOC • Monitora disponibilidade • Audita chamados e mudanças • Consolida indicadores • Coordena sala de crise • Relatório gaps PPSI/LGPD • Minuta política provedores arbitra divergências entre contratos OPERAÇÃO Operação · Infraestrutura • Service Desk e suporte • Servidores, VMs, storage • Redes, nuvem, banco • Executa mudanças aprovadas • Corrige vulnerabilidades • Instala agentes de segurança controlado pelo Governança (SLA) orientado pelo Segurança (segurança) SEGURANÇA Segurança · SOC · Backup • SOC, SIEM, EDR/XDR • Gestão de vulnerabilidades • IAM, MFA, PAM • Backup, DRP, restore • Resposta a incidentes • Conscientização / pentest não opera infra comum protege, valida, orienta decide / aplica glosa autoriza decide / aprova controla SLA orienta segurança audita conformidade executa / valida
Administração
Governança
Operação
Segurança
Ambientes lógicos (ciclo de vida)
Regras de mudança, janela e criticidade recaem sobre cada faixa. Cada faixa atravessa a pilha toda: nuvem, redes, servidores, aplicações, bancos.
O contrato de Operação (C2-OPR) cobre ativos e serviços nessas faixas, conforme escopo, catálogo e ANS. O contrato de Segurança (C3-SEC) aplica postura, controles e resposta de forma transversal, com requisitos reforçados em produção e em dados sensíveis. A Administração define a existência de pré-produção e a promoção entre faixas.
  • Desenvolvimento — sandbox ou laboratório para build e teste inicial.
  • Homologação — teste integrado, validação de release ou UAT (teste de aceite) antes de produção.
  • Pré-produção — se existir, o mais alinhada possível à produção para ensaio final.
  • Produção — serviço em uso por usuários e processos.
Distribuição por domínio de infraestrutura e serviço
C1-GOV, C2-OPR e C3-SEC por pilha: nuvem, publicação, endpoints, redes, servidores, bancos e aplicações. As faixas de ambiente (desenvolvimento a produção) valem em toda a pilha, salvo o que o catálogo ou a ANS diferenciar.
ResponsabilidadeContratoEscopo
Contas, subscriptions, tenants, workloadsOpOperação principal
VMs, redes virtuais, storage, bancos gerenciadosOpOperação principal
Kubernetes, contêineres, serverless, gatewaysOpOperação principal
Ajustes técnicos de otimização de consumoOpExecução técnica
Consumo, orçamento, alertas, tendênciaGovGovernança e controle
Riscos de segurança e exposição em nuvemSegValidação e proteção
Limites, alertas e regras de expansãoAdmDecisão institucional
FunçãoContratoJustificativa
DNSOpOperação de publicação
CDN / CacheOpOperação de publicação
Publicação de serviços e roteamentoOpOperação de publicação
Certificados operacionaisOpOperação técnica
WAFSegProteção de segurança
Proteção DDoSSegMitigação de ataque
Regras de bloqueio e segurança de bordaSegProteção de segurança
Monitoramento de disponibilidade e SLAGovGovernança e evidência
⚠️ Cloudflare mistura disponibilidade e segurança. Operação ordinária fica no C2-OPR; regras de proteção e resposta a ataque ficam no C3-SEC. Alterações em WAF e DDoS exigem registro e evidência.
AtividadeContratoEscopo
Recebimento, preparação de imagem, instalação de SOOpOperação principal
Instalação de softwares autorizados, configuração de perfilOpOperação principal
Ingresso em domínio / MDM, registro na CMDBOpOperação principal
EDR ativo, antimalware, criptografia, MFASegValidação e proteção
Políticas de segurança, conformidade, isolamento remotoSegValidação e proteção
CMDB, SLA de instalação, evidência de aceiteGovGovernança e controle
Componente / AtividadeContratoEscopo
Switches, roteadores, APs, controladoras Wi-FiOpOperação principal
VLANs, segmentação operacional, VPN, SD-WANOpOperação principal
DNS, DHCP, links, disponibilidade de conectividadeOpOperação principal
Logs de rede, segmentação de segurança, detecção de tráfego suspeitoSegProteção e detecção
Regras de contenção e resposta a ataqueSegResposta a incidente
Monitoramento, SLA, evidências de falhasGovGovernança e controle
AtividadeContratoEscopo
SO, patches, configuração, performance, serviços básicosOpOperação principal
Logs operacionais, usuários técnicos, execução de mudançasOpOperação principal
EDR/XDR, logs de segurança, vulnerabilidades, hardeningSegProteção e detecção
Backup, restore, resposta a incidentesSegContinuidade e resposta
CMDB, monitoramento, disponibilidade, relatóriosGovGovernança e controle
AtividadeContratoEscopo
Administração de instâncias, performance, replicaçãoOpOperação principal
Usuários técnicos, permissões operacionais, tuningOpOperação principal
Backup, restore, logs de segurançaSegContinuidade e proteção
Acessos privilegiados (PAM), vulnerabilidades, criptografiaSegProteção e controle
Resposta a incidenteSegResposta a incidente
AtividadeContratoEscopo
Sustentação técnica, middleware, servidores de aplicaçãoOpOperação principal
APIs, integrações, deploy técnico, logs operacionaisOpOperação principal
Segurança de aplicação, logs de segurança, WAFSegProteção e detecção
Gestão de vulnerabilidades e exposiçãoSegGestão de risco
Catálogo, SLA, observabilidade, mapa de dependênciasGovGovernança e controle
Disciplinas Transversais
Atravessam múltiplos domínios de infra e ambientes lógicos (dev a produção) e têm dinâmica operacional, indicadores e SLAs próprios.
DISCIPLINAS TRANSVERSAIS Impressão C2-OPR (op.) · Segurança (seg.) MDM / UEM C2-OPR (op.) · Segurança (seg.) Certificados / PKI C2-OPR (op.) · Segurança (política) Patch Management C2-OPR (exec.) · Segurança (prior.) Plataforma BI C2-OPR (op.) · Segurança (seg.) Self-Service C2-OPR (op.) · Governança (arq.) GOVERNANÇA — Governa todas as disciplinas: CMDB · SLA · Indicadores · Relatório mensal Metas progressivas obrigatórias (auto-serviço) · Auditoria de evidências · Aderência ao padrão de ativo conforme
📌 Patch crítico: SLA específico com glosa direta ao contrato Operação em caso de descumprimento. Exceções exigem validação formal pelo contrato Segurança e aceite pela Administração.
Apoio Institucional à Conformidade PPSI / LGPD
Entregas estruturadas para habilitar os atos normativos e decisões de governança da Administração exigidos pelo PPSI e pela LGPD (seção 3.16 do modelo).

GOVERNANÇA Entregas obrigatórias de conformidade

  • Relatório de gaps PPSI/LGPD — emitido trimestralmente com situação, responsável e prazo
  • Minuta do PGSI (Programa de Governança em SI) com indicadores iSeg e programação
  • Política de gestão de provedores — critérios, requisitos mínimos de SI e modelo de cláusula
  • Inventário e matriz de risco de provedores com acesso a dados ou sistemas críticos
  • Insumos técnicos para o RIPD — fluxos de dados, controles, vulnerabilidades e riscos
  • Mapeamento de fluxos de dados pessoais com origem, destino, base legal indicada
  • Registro de encerramento seguro de contratos com evidência de exclusão/devolução de dados

SEGURANÇA Entregas obrigatórias de segurança

  • Programa de conscientização em SI — conteúdo semestral, simulações de phishing, módulos temáticos
  • Ao menos 2 simulações de phishing/ano + exercício tabletop de resposta a incidentes
  • Parecer de security by design antes de contratação ou implantação de novas soluções
  • Parecer de privacy by design para novas funcionalidades, fornecido ao DPO
  • Ciclo anual de pentest (interno e externo) com plano de correção e revalidação

⚠️ Responsabilidades que permanecem exclusivas da Administração

  • Nomeação formal do Gestor de Segurança da Informação (Medida 0.3)
  • Deliberação e aprovação do PGSI em instância colegiada
  • Aprovação e publicação da política de gestão de provedores
  • Elaboração final e assinatura do RIPD pelo Encarregado (DPO)
  • Definição das bases legais de cada operação de tratamento (LGPD)
  • Deliberação sobre encerramento e eliminação de dados
  • Comunicação à ANPD de compartilhamentos internacionais
  • Comunicação a agentes parceiros em incidentes com dados compartilhados
  • Programa de capacitação em cultura de segurança (decisão e financiamento)
  • Treinamento de equipes de desenvolvimento em segurança
📋 As entregas são obrigações contratuais mensuráveis com SLA e glosa. A ausência de deliberação da Administração sobre insumo entregue no prazo não gera penalidade ao prestador, mas é registrada como pendência do contratante no ITSM e no relatório de gaps.
Unidades de Remuneração
A remuneração ocorre por ativo ou serviço em conformidade operacional — não por posto, hora ou mensalidade genérica. Seis unidades ordinárias (painel por família de ativo) + uma unidade residual “Outros” (sazonal/eventual, catálogo + OS). No acompanhamento executivo, as seis famílias aparecem como cartões; “Outros” aparece como um bloco único com teto financeiro (abaixo).
CMDB — gestão versus pagamento: a taxonomia (CI, componente, serviço, papel, documento) e as listas curadas em Informacoes-gerais/ (800 itens) estão no sdr-0024; o catálogo remunerável por contrato permanece no sdr-0023a (não confundir as duas listas).
Remuneração por IC (inclusão × permanência ativa): o evento de inclusão inicial paga uma vez, com adicional de 20% sobre a base na faixa de conformidade de entrada e vedação de segunda instalação/configuração inicial remunerada para o mesmo ic_idsdr-0023e. A parcela recorrente exige prestação efetiva de serviço sobre o IC no período faturado (senão zero no padrão recomendado) — sdr-0023d. Ferramentas de coleta/monitoração de IC no C1-GOV: sdr-0011e; nova ferramenta por iniciativa da contratante e prazo de adequação: sdr-0011f.
Evidência mínima (IMR): nenhuma unidade ordinária é “conforme” só com disponibilidade (“online”). Exige-se, em conjunto: (a) disponibilidade ou check-in válido pactado; (b) registro na CMDB ou no catálogo de serviços e vínculo a serviço/unidade; (c) controlos mínimos do ANS (agente, patch, backup, logs, runbook etc., conforme a unidade). Vedação: “online” sem inventário válido ou sem agente/evidência mínima pactada não confere conformidade.
U1
Endpoint Conforme
Desktop · Notebook · Estação especial · Dispositivo móvel · Impressora associada
✓ Registro na CMDB   ✓ Agente de inventário ativo   ✓ Agente de segurança ativo   ✓ Atualização dentro do prazo   ✓ Conformidade mínima de segurança
+ Demais equipamentos de usuário, periféricos ou clientes leves equivalentes no âmbito de endpoint, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U2
Servidor ou Instância Conforme
Servidor físico · VM · Instância em nuvem · Host · Appliance computacional
✓ Monitoramento ativo   ✓ Patch conforme política   ✓ Agente de segurança   ✓ Backup configurado   ✓ Runbook vinculado
+ Demais hospedeiros, instâncias ou recursos computacionais equivalentes no âmbito de servidor/instância, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U3
Ativo de Rede Conforme
Switch · Roteador · AP · Controladora · Firewall · Link · SD-WAN · VPN · Balanceador
✓ Registro na CMDB   ✓ Configuração documentada   ✓ Firmware dentro da política   ✓ Logs ativos   ✓ Topologia vinculada
+ Demais equipamentos ou funções de conectividade, perímetro e entrega de rede equivalentes no âmbito desta UR, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U4
Serviço Digital Conforme
Sistema · Portal · API · Integração · Middleware · Autenticação · Banco associado
✓ Registro no catálogo   ✓ SLA definido   ✓ Dependências mapeadas   ✓ Runbook   ✓ Plano de comunicação de indisponibilidade
+ Demais serviços digitais, microsserviços ou componentes de software equivalentes no âmbito desta UR, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U5
Ativo Protegido Conforme
Endpoint · Servidor · Serviço digital · Fonte de log · Identidade privilegiada · Serviço com WAF
✓ Cobertura por controle de segurança   ✓ Log de segurança   ✓ Vulnerabilidades monitoradas   ✓ Plano de tratamento   ✓ Evidência técnica
+ Demais alvos, identidades ou superfícies sob postura de proteção equivalentes no âmbito desta UR, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U6
Ativo Recuperável Conforme
Servidor com backup · Banco com backup · Serviço recuperável · Volume protegido · Sistema com DRP
✓ Job executado com sucesso   ✓ Retenção conforme   ✓ Teste de restore   ✓ RPO e RTO definidos   ✓ Runbook de recuperação
+ Demais ativos, volumes ou conjuntos sujeitos a continuidade e recuperação equivalentes no âmbito desta UR, desde que previstos no ANS — a listagem acima é exemplificativa, não taxativa.
U7
Outros (sob demanda)
Eventual · Sazonal · Extraordinário · Não recorrente
✓ Item no catálogo pré-aprovado   ✓ OS específica (medida, prazo, valor, aceite)   ✓ Evidência objetiva   ✓ Vedado remunerar rotina, retrabalho ou glosa disfarçada
Teto 10%: a soma dos pagamentos da linha “Outros” em cada contrato, por período de faturamento (ex.: mês), não ultrapassa 10% do valor total daquele contrato. Controlar saldo (teto menos pago); OS acima do saldo não gera direito até regularização. Detalhe: Proposta §8.5.
Estados de Conformidade e Pagamento
100%
Conforme
Todos os requisitos aplicáveis atendidos
80%
N/C Leve
Pendência sem impacto relevante
50%
N/C Média
Risco operacional moderado
20%
N/C Grave
Pendência relevante de operação ou segurança
0%
Não Governável
Sem requisito mínimo para gestão e evidência
Trava trilateral (Proposta §6.2.1): se o CI ou serviço digital na base remunerável estiver não governável ou fora do padrão mínimo do ANS, sem enquadramento em ARRC (restrição do contratante), então não há faturamento de remuneração por resultado vinculado a esse item nos três contratos (Governança, Operação e Segurança) no mesmo período de medição. Ordens “Outros” dependentes desse CI ficam sem pagamento no período. Esta suspensão prevalece sobre percentuais de N/C quando o ANS assim amarrar; a glosa por visibilidade de evidências (§6.4) não se cumula com a mesma causa — vedado efeito punitivo duplo. Dúvidas de enquadramento: Administração, com registro no ITSM.
Documentos no repositório (v1.6): ANS—Acordo de Níveis de Serviço (modelo).md · visualizar em HTML · síntese IMR/ETP — IMR-sintese-executiva.md · visualizar em HTML · modelo completo — Proposta — Modelo de Central de Serviços e Infraestrutura de TI.md · visualizar em HTML (abrir a partir da pasta do projeto; em file:// os links podem exigir abrir os arquivos manualmente). SDRs (arquivos sdr-*.md na contratação): visualizar em HTML · README · visualizar em HTML · regras — ver seção Especificações SDR. Planeamento IN94: visualizar em HTML · justificativa-contratacao-operacoes-ti.md · visualizar em HTML · estimativa-quantitativa-ativos-por-localidade.md
Parque lógico e premissas de dimensionamento (IN94 / ETP)
Fecho geográfico e inventário orientam a pesquisa de preços, a memória de cálculo e o TR, sem confundir parque físico com as unidades de remuneração (IMR) — estas últimas medem conformidade e cobertura de serviço sobre os CIs levantados.
🗺️ Mapa operacional (referência): 92 localidades1 sede em Brasília/DF, 25 superintendências estaduais, unidades DITEC e UT (e eventuais outras) até reconciliar a tipologia com o total. O detalhe e o pedido formal às áreas estão no documento de estimativa abaixo.
Elemento Âmbito Premissa para o levantamento (validar no CMDB)
Servidores / instâncias Sede + 25 superintendências Na sede, quantidade pelo inventário; nas supes, 2 servidores por unidade (50 no agregado), salvo correção. Demais localidades: sem servidores nesta premissa, salvo inventário em contrário.
Estações de trabalho (U1 / endpoints) Todas as 92 localidades Contagem obrigatória por localidade.
Rede sem fio + firewall com SD-WAN (U3) Todas as 92 localidades Infraestrutura presente em cada localidade; quantificar APs/controladoras e conjunto lógico por site conforme o padrão do órgão.

As premissas acima são insumos de planejamento (rascunho v0.2). Números finais e exceções documentadas competem às áreas e ao processo de contratação. O teto Outros 10% por contrato (Proposta §8.5) é regra financeira, independente do somatório de ativos no parque.

📋 Documentos de trabalho (pasta de planejamento IN94): justificativa — visualizar em HTML · justificativa-contratacao-operacoes-ti.md · quantitativos por localidade — visualizar em HTML · estimativa-quantitativa-ativos-por-localidade.md · índice do processo: visualizar em HTML · INDICE_PROCESSO.md
ANS — Acordo de Níveis de Serviço
O ANS operacionaliza metas (incidente, disponibilidade, patch, publicação de evidência), o enquadramento com o IMR, a trava trilateral, glosas (nexo, visibilidade) e o regime ARRC, conforme a Proposta. Não dispensa a redação do contrato nem do TR; serve de matriz de parâmetros a ratificar.
  • Período de medição e faturamento (ex.: mês civil) e regra de congelamento da base remunerável.
  • Unidades IMR (U1–U7): seis famílias ordinárias + “Outros” com teto 10% — alinhado à seção Remuneração desta página e ao arquivo IMR.
  • Evidência mínima e canal do C1-GOV (ITSM / painéis): publicação, consulta e prazos.
  • Quadros de SLA a preencher: incidente P1, disponibilidade por criticidade, patch crítico, disciplinas transversais (impressão, MDM, self-service, etc.).
  • Estados de conformidade e % de pagamento; trava trilateral quando o item não for governável ou estiver fora do padrão mínimo, sem ARRC.
  • Glosa por nexo e glosa por visibilidade de evidências (percentuais a fixar; não cumulatividade; decisão da Administração em disputa).
  • ARRC (restrição do contratante) e efeito sobre tolerância e pagamento proporcional.
📄 Texto completo (Markdown, rascunho v0.1): ANS-Acordo-de-Niveis-de-Servico-modelo.md · visualizar em HTML — inclui estrutura de capítulos, tabelas placeholder e ligação às secções 5 a 8 da Proposta.
Especificações (SDR)
Pasta SDRs/: arquivos sdr-<NNNN>-<descrição>.md (quatro dígitos + slug). O SDR é a camada de referência para agentes de IA criarem e manterem documentos .md, documentos da contratação, informações auxiliares e o site. A fonte única aplica-se entre arquivos SDR sdr-*.md (um dono por tópico; remissões entre SDRs). Proposta, IMR, ANS e esta página podem manter texto completo em paralelo. Abaixo: versão HTML do índice e dos SDR; os .md no repositório servem de referência e diff.
📁 README (convenção): nomes com hífens e minúsculas; cada arquivo agrega um domínio; visualizar em HTML · README.md completo. Documentos de governação: visualizar em HTML · REGRAS-AGENTE-E-PROMPTS.md · visualizar em HTML · sdr-0003-indice-fonte-unica.md.
Regras essenciais (REGRAS §1 — fonte única entre SDRs)
  1. Âmbito: uma especificação normativa = um arquivo sdr-*.md dono (tabela abaixo). Não repetir o mesmo parágrafo canônico em dois SDR.
  2. Entre SDRs, usar link ou uma frase + remissão ao dono; não duplicar texto.
  3. Fora dos SDRs (Proposta, IMR, HTML, estimativas): pode haver redação longa; não viola a regra anterior.
  4. Atualizar o visualizar o índice em HTML · índice ao criar tema ou mudar o dono.
Índice de rastreio (tópico → SDR dono → documentos relacionados)
Tópico SDR dono Documentos relacionados Notas
Arquitetura dos 3 contratos (papel, vedação dupla operação) visualizar em HTML · ver HTML · baixar .md Proposta, HTML, DFD/ETP Âncora; texto em consolidação
IMR U1–U7, evidência mínima, listas exemplificativas visualizar em HTML · ver HTML · baixar .md IMR-síntese, Proposta §4, esta página (remuneração) Liga trava, Outros 10%
Trava trilateral, glosas, visibilidade §6.4 visualizar em HTML · ver HTML · baixar .md Proposta §5–7, ANS, IMR ARRC, não cumulatividade
Parque: 92 loc., servidores, Wi-Fi, FW/SD-WAN visualizar em HTML · ver HTML · baixar .md estimativa por localidade, justificativa, seção Parque (HTML) Premissas inventário
Operação C2-OPR: N1, N2, N3, VIP, especialista visualizar em HTML · site · baixar .md Operação (site), ANS, TR, ETP Capacidade por CI e localidade
DFD, ETP, riscos e pesquisa de preços DFD · ETP · riscos · preços Planejamento IN94, DFD, ETP, memória, justificativas Artefatos preparatórios
TR/Edital, ANS, gestão/fiscalização e transição TR/Edital · ANS · gestão · transição TR, edital, ANS, instrumento de medição, pós-licitação Execução e ciclo de vida
C1-GOV, C3-SEC, PPSI/LGPD, site e normas C1-GOV · C3-SEC · PPSI/LGPD · site · normas Governança, Segurança, Aspectos comuns, Planejamento Temas transversais
Remuneração por IC (hub), catálogo, fatores, contrapesos, prestação efetiva, adicional de inclusão; CMDB referência; ferramentas C1 sdr-0023 · 0023a · 0023b · 0023c · 0023d · 0023e · 0011e · 0011f · 0024 CMDB ANS/TR, CMDB, listas curadas Informacoes-gerais/ Preço e inventário normativo
Metarregras e prompts visualizar em HTML · ver HTML · baixar .md README SDRs, regra Cursor SSoT entre SDRs
Dependências entre arquivos sdr-*.md (lógica)
sdr-0015-rastreabilidade-normativa └──> sdr-0008-dfd-demanda-formalizada └──> sdr-0009-etp-estudo-tecnico-preliminar ├──> sdr-0018-tr-termo-referencia-edital ├──> sdr-0012-matriz-riscos └──> sdr-0013-pesquisa-precos-memoria sdr-0001-arquitetura-tres-contratos ├──> sdr-0011-governanca-c1-medicao ├──> sdr-0006-operacao-c2-niveis-capacidade ├──> sdr-0016-seguranca-c3-continuidades └──> sdr-0002-imr-unidades-e-evidencias ├──> sdr-0005-trava-e-glosa ├──> sdr-0004-parque-localidades-ativos ├──> sdr-0007-ans-parametros-sla ├──> sdr-0023-remuneracao-por-ic-modelo │ ├──> sdr-0023a-catalogo-ic-por-contrato │ ├──> sdr-0023b-fatores-remuneracao-ic │ ├──> sdr-0023c-aninhamento-ic-isolado-contrapesos │ ├──> sdr-0023d-prestacao-efetiva-ic-periodo-faturado │ └──> sdr-0023e-adicional-inclusao-inicial-ic-vedacao-reinstalacao └──> sdr-0024-cmdb-taxonomia-referencia-projeto sdr-0011a-c1-itsm-cmdb-noc-medicao └──> sdr-0024-cmdb-taxonomia-referencia-projeto

Ir para texto integral: arquitetura · IMR · trava e glosa · parque

Especificação por arquivo (resumo — ver .md para texto integral)
sdr-0001-arquitetura-tres-contratos
SSoT: papéis C1-GOV/C2-OPR/C3-SEC · Estado: consolidação
  • Papel, vedação (dois operadores do mesmo serviço).
  • Remissão: Proposta §1–2, §1.5 (fora de escopo).
  • Liga: índice, IMR.
sdr-0002-imr-unidades-e-evidencias
SSoT: U1–U7, evidência mínima
  • U1–U6 + U7 Outros (teto 10%).
  • Não “conforme” só com online; eixos (a)(b)(c).
  • Listas exemplificativas, não taxativas.
sdr-0005-trava-e-glosa
SSoT: corte de pagamento
  • Trava: não governável / fora padrão mínimo sem ARRC.
  • Efeito nos 3 contratos, mesmo período; sem dupla penalidade.
  • Nexo C1-GOV/C2-OPR/C3-SEC; glosa visibilidade §6.4; ARRC §7.
sdr-0004-parque-localidades-ativos
SSoT: premissas de inventário
  • 92 localidades; 1 sede; 25 supes; DITEC/UT a reconciliar.
  • Servidores: sede + 2 por sup; resto 0 (premissa), salvo CMDB.
  • Workstations, Wi-Fi, FW+SD-WAN em todas as localidades.
Texto integral dos arquivos sdr-*.md (formato HTML; espelho do repositório)

O bloco abaixo replica a estrutura e o conteúdo dos Markdown. Links apontam para arquivos no projeto (abrir a partir da pasta do modelo).

SDR — Arquitetura dos três contratos

voltar ao índice · visualizar em HTML · baixar .md

CampoValor
SSoTSim — dono de arquitetura e papéis (C1-GOV / C2-OPR / C3-SEC) para este repositório
Estadoâncora; texto canônico em consolidação (hoje: remissão à Proposta)

Especificação (a consolidar aqui, sem duplicar nos consumidores)

Tópicos a extrair (checklist)

  • Papel e vedação (dois “operadores” do mesmo serviço)
  • O que o C1-GOV mede / não executa operacionalmente
  • Fronteiras com escopo fora (telefonia, certificados pessoais, etc. — Proposta §1.5)

Ligações

Consumidores (referenciam; não donos)

Proposta, modelo-central-servicos.html, DFD/ETP, TR.

SDR — IMR: unidades (U1–U7) e evidência mínima

voltar ao índice · visualizar em HTML · baixar .md

CampoValor
SSoTSim — dono de definição de unidades e evidência mínima
Estadoâncora; texto canônico em consolidação

Especificação (a consolidar)

  • Unidades U1–U6 ordinárias + U7 “Outros” (teto 10% no ANS/Proposta).
  • Regra: não “conforme” só com online; eixos (a)(b)(c) como em IMR-sintese-executiva.
  • Listas de exemplos por unidade: exemplificativas, não taxativas (alinhado ao site e à Proposta).

Remissão provisória: IMR-sintese-executiva.md e Proposta §4.

Ligações

Consumidores

IMR-sintese-executiva.md, Proposta §4, modelo-central-servicos.html (seção remuneração).

SDR — Trava trilateral, glosas e visibilidade de evidências

voltar ao índice · visualizar em HTML · baixar .md

CampoValor
SSoTSim — dono de regras de corte de pagamento (trava, glosa por nexo, glosa 6.4)
Estadoâncora; texto canônico em consolidação

Especificação (a consolidar)

  • Gatilho da trava (não governável / fora do padrão mínimo sem ARRC).
  • Efeito nos três contratos no mesmo período de medição.
  • Precedência em relação a N/C; vedação de efeito punitivo duplo com outra glosa pelo mesmo fato.
  • Tabela de nexo (C1-GOV/C2-OPR/C3-SEC) e §6.4 glosa de visibilidade (percentuais a ratificar no ANS).
  • ARRC: exceção; não penalizar o prestador por fato do contratante.

Remissão provisória: Proposta §5§7; ANS modelo.

Ligações

Consumidores

Proposta §5–7, ANS, IMR (seção trava).

SDR — Parque: localidades, servidores e perímetro de rede

voltar ao índice · visualizar em HTML · baixar .md

CampoValor
SSoTSim — dono de premissas de inventário (92 localidades, sede, supes, DITEC/UT, etc.)
Estadoâncora; detalhe operacional também em documentos de planejamento (ver abaixo)

Especificação (a consolidar / migrar)

Premissas atuais do processo (validar no CMDB):

  • 92 localidades; 1 sede (Brasília/DF); 25 superintendências; DITEC/UT/outras a reconciliar no mapa.
  • Servidores: presentes na sede (quantidade por inventário) e 2 por superintendência (50 no agregado das 25), salvo exceção documentada. Demais tipos de unidade: 0 servidores nesta premissa, salvo inventário em contrário.
  • Estações de trabalho, rede sem fio e firewall com SD-WAN em todas as localidades (contagem por local).

Onde o texto ainda vive (até unificar): visualizar a estimativa em HTML · estimativa-quantitativa-ativos-por-localidade.md · visualizar a justificativa em HTML · justificativa-contratacao-operacoes-ti.md (§ situação atual). Seção Parque nesta página.

Ligações

Consumidores

ETP, pesquisa de preços, TR, seção Parque do HTML.

Sincronização: ao alterar o Markdown em SDRs/, atualize também os artigos Texto integral acima. visualizar o README em HTML · README SDRs · visualizar as regras em HTML · Todas as regras (Markdown).

Matriz RACI
Cada atividade tem um único responsável final (A). Sem duplicidade de responsabilidade operacional.
R Responsável pela execução
A Accountable (responsável pelo resultado)
C Consultado
I Informado
Atividade Gov Op Seg Adm
Monitorar disponibilidadeRCCI
Operar infraestruturaIRACI
Operar segurançaICRAI
Executar backupICRAI
Corrigir servidorIRACI
Corrigir vulnerabilidade em servidorIRACI
Validar correção de vulnerabilidadeICRAI
Aprovar mudança críticaRCCRA
Executar mudançaIRACI
Coordenar criseRCCRA
Comunicar usuáriosRCCRA
Aplicar glosaCIIRA
Decidir nexo: glosa por visibilidade de evidências (§6.4)CCCRA
Na disputa de visibilidade de evidências, os três contratos são consultados; a Administração decide o nexo (o Governança não arbitra sozinho quando for parte interessada).
Regra de Glosa e Nexo de Responsabilidade
Glosa sempre vinculada a: obrigação contratual · nexo causal · evidência · impacto · RACI · possibilidade real de atuação.
FalhaPrincipal responsável
Servidor offline por falha operacionalOperação
Patch atrasadoOperação
Backup inválidoSegurança
EDR inativoSegurança
Falha de monitoramentoGovernança
CMDB desatualizadaGovernança (salvo falta de dado do C2-OPR)
Vulnerabilidade sem revalidaçãoSegurança
Chamado encerrado indevidamenteOperação
SLA medido incorretamenteGovernança
Consumo de nuvem sem alertaGovernança
Consumo de nuvem sem ajuste após acionamentoOperação
Entrega de insumo PPSI/LGPD em atrasoGovernança
Simulação de phishing não realizada no prazoSegurança
Evidência obrigatória não visível ao Governança (canal pactado), sem nexo no C1-GOVOperação ou Segurança (origem)
Impedimento à visibilidade atribuível ao Governança (C1-GOV)Governança
Glosa por visibilidade (§6.4): enquanto a evidência do C2-OPR/C3-SEC não estiver consultável no ITSM ou painel pactado — 10% transitória sobre o item afetado (Operação ou Segurança). Se o impedimento for causado pelo Governança (ferramenta, fluxo, CMDB/monitoramento sob sua gestão) e o executor tiver publicado com prova — 20% sobre o mesmo item. Não cumulativo. Restrição do órgão → ARRC abaixo, não esta regra.
⚠️ Tolerância ARRC: Quando a não conformidade decorrer de fato atribuível à Administração (ausência de autorização, acesso negado, pendência de licença, decisão de risco), não se penaliza o prestador — mas também não se paga por serviço não prestado. O prestador deve registrar a restrição no ITSM com evidências. Tolerância máxima: 30 dias ordinários · 31–60 dias exige plano · acima de 60 dias requer decisão formal da Administração.
Condição "Sob Ataque"
DDoS · Ransomware · Malware disseminado · Comprometimento de credencial · Exploração ativa · Exfiltração · Desfiguração
Segurança
  • Detecção inicial de segurança
  • Contenção de ameaça
  • Isolamento de endpoint
  • WAF / DDoS / Cloudflare
  • Preservação de evidências
  • Restore
  • Relatório pós-incidente
Operação
  • Bloqueios técnicos em infra (sob orientação do C3-SEC)
  • Ajustes de rede, DNS, balanceamento
  • Restauração de serviços
  • Apoio ao restore
Governança
  • Detecção de indisponibilidade
  • Coordenação de crise
  • Comunicação operacional
  • Linha do tempo do incidente
  • Relatório pós-incidente
Administração
  • Comunicação institucional externa
  • Decisão de escopo e prioridade
  • Aprovação de exceções
  • Aplicação de consequências
Prioridade de Resposta
1. Contero ataque 2. Preservarevidências 3. Restaurarserviços críticos 4. Reduzirsuperfície 5. Comunicaradequadamente 6. Registrardecisões 7–8. Corrigircausa / revisar