# SDR — PPSI, LGPD e conformidade


> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **SSoT** | Sim — dono das regras de conformidade PPSI/LGPD para agentes gerarem documentos e site |
| **Estado** | âncora; consumidores em C1, C3, ETP, TR e site |

---

## 1. Finalidade

Orientar como a contratacao apoia governanca de seguranca da informacao, privacidade e protecao de dados, preservando decisoes indelegaveis da Administracao.

O **PPSI** (Programa de Promoção da Segurança da Informação) é a **base central de referência** do projeto. O mapa canônico **PPSI × C1 / C2 / C3** é dono do sub-SDR [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md). Instrumentos **IN GSI/PR** e **NCs DSIC/GSIPR** citados no PPSI do repositório estão catalogados em [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md) (via [sdr-0015](./sdr-0015-rastreabilidade-normativa.md)).

## 2. Regras canônicas

- Politicas, nomeacoes, aceite de risco, comunicacao institucional e decisoes LGPD permanecem com a Administracao.
- C1 produz medicao, relatorios, matriz de gaps e indicadores.
- C3 produz controles, evidencias tecnicas, conscientizacao, pareceres de seguranca e resposta a incidentes.
- C2 executa ajustes operacionais quando vinculados a infraestrutura, sistemas ou endpoints de seu escopo.
- Tratamento de dados pessoais deve aparecer em requisitos, riscos, transicao, acesso e encerramento.

## 3. Entregas minimas

- relatorio de gaps PPSI/LGPD;
- insumos tecnicos para RIPD, quando aplicavel;
- matriz de risco de fornecedores e servicos;
- plano de conscientizacao;
- evidencias de controles de seguranca;
- trilhas de auditoria e relatorios de incidente.

## 4. Regras para agentes

- Nao atribuir ao fornecedor decisao que seja legalmente da Administracao.
- Nao prometer conformidade total sem evidencias, escopo e validacao institucional.
- Ligar privacidade a inventario, acesso, logs, retencao e descarte.

## 5. Consumidores

DFD, ETP, TR C1/C3, matriz de riscos, ANS, site e documentos de gestao.

## Ligacoes

- [sdr-0014a-ppsi-mapeamento-trilateral.md](./sdr-0014a-ppsi-mapeamento-trilateral.md) — mapa PPSI × contratos (sub-SDR)
- [sdr-0015-rastreabilidade-normativa.md](./sdr-0015-rastreabilidade-normativa.md) — prioridade normativa
- [sdr-0015a-catalogo-gsi-dsic.md](./sdr-0015a-catalogo-gsi-dsic.md) — catálogo IN GSI/PR e NCs DSIC (sub-SDR)
- [sdr-0011-governanca-c1-medicao.md](./sdr-0011-governanca-c1-medicao.md)
- [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).