# SDR — C1-GOV: controles PPSI medidos e atestados pelo C1

> **Eixo:** `Ambos` (Modelo de Serviços | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0011-governanca-c1-medicao.md](./sdr-0011-governanca-c1-medicao.md) |
| **SSoT** | Sim — dono do **recorte** PPSI/GSI sob **medição/ateste C1**; o mapa trilateral PPSI × C1/C2/C3 permanece em [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md) |
| **Status** | Em validação |

---

## 1. Finalidade

Especificar, como sub-SDR de [sdr-0011](./sdr-0011-governanca-c1-medicao.md), os **controles do PPSI** (e instrumentos correlatos do GSI/PR e da DSIC) cuja **medição e ateste** ficam sob responsabilidade do **C1-GOV**, sem duplicar o mapa trilateral canônico que vive em [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md). A regra é: **C2-OPR executa; C3-SEC desenha e valida; C1-GOV mede e atesta** o que pode ser medido com evidência consultável e nexo ao contrato.

## 2. Regra de leitura

- O **PPSI** é a base central de referência. O C1-GOV **mede o que dá para medir** (com evidência observável em ITSM, CMDB, painéis e SIEM/EDR pactuados pelo C3-SEC) e **atesta** com base nessa evidência.
- O C1-GOV **não desenha** controle (papel do C3-SEC) e **não executa** controle (papel do C2-OPR); recebe e consolida.
- Onde houver **lacuna** (sem NC DSIC aplicável, sem evidência produzida por C2-OPR/C3-SEC, sem fonte estável), o C1-GOV declara o **ponto cego** no painel — é melhor que fingir conformidade.
- Citação no TR/ANS do C1-GOV: (1) PPSI medido no período; (2) IN/NC GSI/DSIC aplicáveis (ex.: IN nº 3/2021 — Cap. VI, avaliação de conformidade em SI); (3) boas práticas de mercado como reforço, não substituto.

## 3. Controles PPSI tipicamente sob medição/ateste C1-GOV

| Controle | Tema | O que C1-GOV mede e atesta (exemplos) |
|----------|------|----------------------------------------|
| **0.13** | Gestão de riscos de SI | Existência e atualização de relatório de risco; gatilhos de trava trilateral por risco não tratado |
| **0.16** | Avaliação de conformidade em SI | Evidência de avaliação periódica; cobertura por contrato; ações pós-avaliação |
| **17.4** | Processo de gestão de incidentes | Tempos no ITSM (primeiro reconhecimento, contenção, comunicação à Administração) — IMR |
| **17.6** | Comunicação durante incidente | Linha do tempo registrada; comunicação à Administração no prazo da matriz |
| **17.8** | Análises pós-incidente (RPI) | RPI no prazo; ações de melhoria com responsável e prazo, acompanhadas mês a mês |

(Lista exemplificativa; o conjunto completo e as classificações TOTAL/SUBSTANCIAL/PARCIAL/NÃO/OK vivem em [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md) e na [analise-cobertura-ppsi.md](../arquitetura-contratual/analise-cobertura-ppsi.md). **Não** duplicar a tabela medida a medida aqui.)

## 4. Outros controles em que o C1-GOV mede aderência (em parceria com C3-SEC e C2-OPR)

- **Controle 1** (Inventário) — evidência consolidada no CMDB, com reconciliação cruzada (C2-OPR opera o inventário operacional; C3-SEC faz descoberta/reconciliação; C1-GOV ateste).
- **Controle 7** (Vulnerabilidades) — SLA por classe; glosa quando vencer sem aceite formal.
- **Controle 8** (Registro e auditoria) — retenção, integridade e cobertura de log; ponto cego declarado.
- **Controle 11** (Recuperação) — RTO/RPO medidos contra resultado real de teste de DR.
- **Controle 14** (Conscientização) — métricas de adesão a campanhas e simulações.

Mapa detalhado dos papéis (C1/C2/C3) por controle: [sdr-0014a §4](./sdr-0014a-ppsi-mapeamento-trilateral.md).

## 5. Evidência mínima exigida pelo C1-GOV

Para cada controle medido, o C1-GOV exige:
- **Fonte** (ITSM, CMDB, SIEM, painel, ferramenta de mudança, relatório de teste de backup);
- **Periodicidade** (em tempo real, diária, mensal, trimestral, anual);
- **Responsável** (contratante, C2-OPR, C3-SEC);
- **Canal** (formato, repositório, retenção);
- **Trilha** (quem viu, quem decidiu, quando).

Texto canônico do princípio “evidência mínima” em [sdr-0002](./sdr-0002-imr-unidades-e-evidencias.md). Aqui se aplica ao recorte PPSI.

## 6. Vedações

- C1-GOV não desenha controle nem executa — papéis do C3-SEC e do C2-OPR, respectivamente.
- C1-GOV não decide aceite de risco; instrui pauta para a Administração.
- C1-GOV não “preenche lacuna” inventando evidência — declara ponto cego.

## 7. Regras para agentes

- Em texto novo sobre PPSI/GSI/DSIC, manter a divisão de papéis: **desenha (C3) → executa (C2) → mede (C1) → decide (Adm)**.
- Sempre remeter ao mapa trilateral [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md) em vez de duplicar tabelas.
- Citar GSI/DSIC quando aplicável; declarar `LACUNA-GSI-DSIC` se o tópico não tiver NC vigente — ver [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md).

## 8. Consumidores

- [sdr-0011](./sdr-0011-governanca-c1-medicao.md) (hub),
- [sdr-0014](./sdr-0014-ppsi-lgpd-conformidade.md) (PPSI/LGPD geral),
- [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md) (mapa trilateral),
- TR C1-GOV, ANS, painéis institucionais, [analise-cobertura-ppsi.md](../arquitetura-contratual/analise-cobertura-ppsi.md).

## 9. Ligações

- [sdr-0014-ppsi-lgpd-conformidade.md](./sdr-0014-ppsi-lgpd-conformidade.md)
- [sdr-0014a-ppsi-mapeamento-trilateral.md](./sdr-0014a-ppsi-mapeamento-trilateral.md)
- [sdr-0015-rastreabilidade-normativa.md](./sdr-0015-rastreabilidade-normativa.md)
- [sdr-0015a-catalogo-gsi-dsic.md](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0011a-c1-itsm-cmdb-noc-medicao.md](./sdr-0011a-c1-itsm-cmdb-noc-medicao.md)
- [sdr-0011b-c1-ciclo-mensal-ateste.md](./sdr-0011b-c1-ciclo-mensal-ateste.md)
- [sdr-0011c-c1-trilateralidade-cobranca-mutua.md](./sdr-0011c-c1-trilateralidade-cobranca-mutua.md)

---

## Agentes de conformidade (Cursor)

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).