# SDR — Governança (C1-GOV): medição, ITSM, CMDB, NOC de medição e conformidade

> **Eixo:** `Ambos` (Modelo de Serviços | Arquitetura Contratual | Ambos)
>
> Governança é, ao mesmo tempo, **instrumento contratual** (IMR, ANS, glosa, trava — Eixo 2) e **serviço prestado** ao órgão (medição, ITSM, CMDB, painéis, sala de medição — Eixo 1). Por isso, o eixo deste hub é **Ambos**, alinhado ao [glossário de eixos](./glossario-eixos.md) e à política de rótulos do [sdr-0022](./sdr-0022-repositorio-convencoes-e-construcao.md).

| Campo | Valor |
|-------|-------|
| **SSoT** | Sim — dono das regras construtíveis do contrato C1-GOV (medição, ITSM, CMDB, NOC de medição, fiscalização operacional, conformidade aplicada) |
| **Status** | Em validação |
| **Estado** | hub; sub-SDRs em `sdr-0011a..f`; site consumidor em `arquitetura-contratual/site/governanca.html` |

---

## 1. Finalidade

Definir o C1-GOV como contrato de **governança e medição**: ITSM, CMDB, NOC de medição (distinto do NOC operacional do C2-OPR e do SOC do C3-SEC), painéis, qualidade do dado, sala de medição, ciclo mensal de ateste, fiscalização operacional e apoio ao PPSI/LGPD — **sem decidir pela Administração** e **sem operar** o ambiente alheio. O C1-GOV é o ponto onde o contratante enxerga, em tempo real e em retrospectiva, se C2-OPR e C3-SEC estão produzindo o serviço contratado, e cobra evidência consistente.

## 2. Escopo canônico

- operar e manter ITSM e fluxos de medição;
- manter CMDB e catálogo, conforme responsabilidades pactuadas;
- operar **NOC de medição** (consolidação, painéis, qualidade do dado, NTP comum);
- monitorar disponibilidade e consolidar evidência cruzada;
- medir IMR e ANS;
- conduzir o **ciclo mensal de ateste** (ver [sdr-0011b](./sdr-0011b-c1-ciclo-mensal-ateste.md));
- apoiar fiscalização contratual (sem decidir pela Administração — ver [sdr-0010](./sdr-0010-gestao-fiscalizacao-contratual.md));
- produzir relatórios, painéis e trilhas de auditoria;
- apoiar governança PPSI/LGPD com indicadores e insumos (ver [sdr-0011d](./sdr-0011d-c1-ppsi-medido-pelo-c1.md));
- exercer e instruir a **trilateralidade** (cobrança mútua entre os três contratos — ver [sdr-0011c](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md));
- disciplinar **ferramentas de *software* e *hardware*** usadas na coleta, manutenção e monitoração de **IC** (titularidade, fornecimento, custos no relatório mensal — ver [sdr-0011e](./sdr-0011e-c1-ferramentas-coleta-monitoracao-ic.md));
- quando a **contratante** **inserir** novas ferramentas por **iniciativa própria**, fixar **prazo de 90 dias** para os **contratos afetados** se adequarem aos **novos níveis de serviço** — ver [sdr-0011f](./sdr-0011f-c1-ferramentas-iniciativa-contratante-adequacao.md).

## 3. Vedações

- C1-GOV não executa operação ordinária de infraestrutura que pertença ao C2-OPR.
- C1-GOV não substitui SOC, resposta de segurança ou backup do C3-SEC.
- C1-GOV não aplica glosa por conta própria; a Administração decide.
- C1-GOV não pode ser **operado pelo mesmo fornecedor** que opera C2-OPR ou C3-SEC do mesmo serviço — vedação de duplo papel ([sdr-0001](./sdr-0001-arquitetura-tres-contratos.md)).
- C1-GOV não recria postura, controle ou resposta — recebe evidência de C2-OPR/C3-SEC e mede.

## 4. Camadas funcionais do C1-GOV

| Camada | Foco | O que entrega |
|--------|------|----------------|
| Medição e telemetria | Capturar dado em canal pactuado | ITSM, CMDB, NOC de medição, painéis, índice de qualidade do dado, NTP, retenção |
| Evidência e ateste | Prova auditável | Captura, normalização, congelamento mensal, trilha auditável |
| Fiscalização contratual | SLA, glosa, ARRC, nexo | Apoio a gestor/fiscais; ciclo mensal; preparação técnica de glosa por nexo |
| Conformidade aplicada (C1) | PPSI/LGPD na ótica de medição | Relatório de gaps PPSI, indicadores, insumos para RIPD |
| Sala de medição e crise contratual | Ritmo, RACI ativo, decisão registrada | Reunião mensal; turno reforçado em crise; ata e linha do tempo no ITSM |
| Indicadores e relatórios institucionais | Tornar o serviço inteligível | IMR, ANS, painel mensal/trimestral, relatórios de fiscalização |
| Apoio à evidência cruzada | Custódia íntegra entre fontes | Recebimento e custódia de evidência de C2-OPR e C3-SEC; reconciliação com CMDB |

Detalhe canônico em [sdr-0011a](./sdr-0011a-c1-itsm-cmdb-noc-medicao.md) (instrumentos), [sdr-0011b](./sdr-0011b-c1-ciclo-mensal-ateste.md) (ciclo mensal) e [sdr-0011c](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md) (trilateralidade).

## 5. Modelo operativo (NOC de medição)

O **NOC de medição** do C1-GOV consolida painéis, ITSM e CMDB em um ponto único de fiscalização. Pode ser **centralizado**, **distribuído com consolidação obrigatória** ou organizado em **plantão de medição em crise**. Em qualquer arranjo, o C1-GOV não opera o NOC operacional (C2-OPR) nem o SOC (C3-SEC); recebe deles a evidência em formato e canal pactuados, **mede a qualidade do dado** e **atesta**. O texto canônico está em [sdr-0011a](./sdr-0011a-c1-itsm-cmdb-noc-medicao.md).

## 6. Trilateralidade — cobrança mútua (resumo)

A maturidade do serviço vem dos três contratos se **cobrando mutuamente**, com a Administração como árbitro e decisora:

- **C1-GOV cobra** evidência consultável, aderência PPSI/LGPD, coerência catálogo×execução, qualidade do dado e tempestividade.
- **C2-OPR e C3-SEC cobram** tempestividade de decisão, congelamento estável da base remunerável, integridade do ITSM, anti dupla cobrança e critério de evidência mínima publicado por unidade IMR.
- **Vedação de duplo papel** — quem mede não opera; quem opera não atesta a si próprio; quem protege não esconde achados.

Texto canônico (matriz de cobranças mútuas, listas e exceções): [sdr-0011c](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md). Norma de arquitetura: [sdr-0001](./sdr-0001-arquitetura-tres-contratos.md). Trava trilateral e glosa: [sdr-0005](./sdr-0005-trava-e-glosa.md).

## 7. Regras mínimas do TR — Governança (C1-GOV)

- **ITSM** com filas pactuadas, numeração íntegra, sem reabertura silenciosa.
- **CMDB** com taxonomia compatível com U1–U7; metamodelo e listas curadas do repositório: [sdr-0024](./sdr-0024-cmdb-taxonomia-referencia-projeto.md); congelamento mensal; regra escrita de inclusão/exclusão.
- **NOC de medição** com NTP comum, índice de qualidade do dado e cobertura por fonte.
- **Retenção de evidência** compatível com PPSI/LGPD e com o ciclo de fiscalização.
- **Painel mensal** consultável (filtros por unidade, localidade e período).
- **Relatório de fiscalização** com nexo, evidência e proposta de glosa/ateste.
- **Indicadores** de qualidade do dado e de tempestividade de decisão.
- **Trilha auditável** de quem viu o quê, quando e que decisão tomou.
- **Política de ferramentas** para coleta, manutenção e monitoração de IC (contratante *versus* contratada, ferramentas livres, custos e transferência patrimonial): [sdr-0011e](./sdr-0011e-c1-ferramentas-coleta-monitoracao-ic.md).

Detalhe canônico do ciclo mensal: [sdr-0011b](./sdr-0011b-c1-ciclo-mensal-ateste.md). Parâmetros numéricos no [ANS modelo](../arquitetura-contratual/ANS-Acordo-de-Niveis-de-Servico-modelo.md) e no [sdr-0007](./sdr-0007-ans-parametros-sla.md).

## 8. Regras para agentes

- Ao gerar documentos, separar “medir e atestar” de “executar”.
- Toda medição deve apontar **fonte, periodicidade, responsável e canal**.
- Quando C1-GOV for causa de falta de visibilidade, aplicar regra de **nexo da glosa por visibilidade** ([sdr-0005](./sdr-0005-trava-e-glosa.md)).
- Cobrança mútua sempre **com nexo e evidência**; sem retórica.
- Em material novo, usar o rótulo estendido **C1-GOV** conforme [sdr-0022](./sdr-0022-repositorio-convencoes-e-construcao.md) §10.1.

## 9. Consumidores

TR C1-GOV, ANS, RACI, site de Governança (`arquitetura-contratual/site/governanca.html`), fiscalização e PPSI/LGPD.

## 10. Vínculo PPSI / GSI (C1 — medição e ateste)

O **PPSI** é a base central de referência do projeto. O C1-GOV **mede, audita e consolida evidência** de controles de SI, inclusive os previstos na **IN GSI/PR nº 3/2021 — Capítulo VI** (avaliação de conformidade nos aspectos de SI). Mapa medida × contrato: [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md). Catálogo GSI/DSIC: [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md). Controles atestados pelo C1-GOV (texto canônico): [sdr-0011d](./sdr-0011d-c1-ppsi-medido-pelo-c1.md).

Medidas PPSI típicas sob **medição/ateste C1** (exemplos): **0.13** (gestão de riscos de SI — relatórios e trava); **0.16** (avaliação de conformidade em SI); **17.4** (processo de gestão de incidentes — tempos e IMR); **17.6** (mecanismos de comunicação durante incidentes); **17.8** (análises pós-incidente — RPI no prazo).

## 11. Sub-SDRs (Pai: sdr-0011)

| Sub-SDR | Tema |
|---------|------|
| [sdr-0011a](./sdr-0011a-c1-itsm-cmdb-noc-medicao.md) | ITSM, CMDB e NOC de medição (instrumentos) |
| [sdr-0011b](./sdr-0011b-c1-ciclo-mensal-ateste.md) | Ciclo mensal de medição e ateste |
| [sdr-0011c](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md) | Trilateralidade — cobrança mútua entre C1-GOV ↔ C2-OPR ↔ C3-SEC |
| [sdr-0011d](./sdr-0011d-c1-ppsi-medido-pelo-c1.md) | Controles PPSI medidos e atestados pelo C1-GOV |
| [sdr-0011e](./sdr-0011e-c1-ferramentas-coleta-monitoracao-ic.md) | Ferramentas de coleta, manutenção e monitoração de IC (fornecimento, titularidade, custos no relatório mensal) |
| [sdr-0011f](./sdr-0011f-c1-ferramentas-iniciativa-contratante-adequacao.md) | Novas ferramentas por iniciativa da contratante: **90 dias** para adequação dos contratos afetados aos novos SLAs |

## Ligações

- [sdr-0001-arquitetura-tres-contratos.md](./sdr-0001-arquitetura-tres-contratos.md)
- [sdr-0002-imr-unidades-e-evidencias.md](./sdr-0002-imr-unidades-e-evidencias.md)
- [sdr-0005-trava-e-glosa.md](./sdr-0005-trava-e-glosa.md)
- [sdr-0007-ans-parametros-sla.md](./sdr-0007-ans-parametros-sla.md)
- [sdr-0010-gestao-fiscalizacao-contratual.md](./sdr-0010-gestao-fiscalizacao-contratual.md)
- [sdr-0014-ppsi-lgpd-conformidade.md](./sdr-0014-ppsi-lgpd-conformidade.md)
- [sdr-0014a-ppsi-mapeamento-trilateral.md](./sdr-0014a-ppsi-mapeamento-trilateral.md)
- [sdr-0015a-catalogo-gsi-dsic.md](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0020-dados-ibama-mapa-ativos-cmdb-kml.md](./sdr-0020-dados-ibama-mapa-ativos-cmdb-kml.md) — referência de tipos de CI para inventário (`itens-configuracao-cmdb-top100.md` no repositório; não duplicar a lista neste SDR)
- [sdr-0024-cmdb-taxonomia-referencia-projeto.md](./sdr-0024-cmdb-taxonomia-referencia-projeto.md) — taxonomia CMDB (cinco tipos) e três arquivos de referência em `Informacoes-gerais/` (800 itens)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).