# SDR — PPSI: mapeamento trilateral (C1 / C2 / C3)

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0014-ppsi-lgpd-conformidade.md](./sdr-0014-ppsi-lgpd-conformidade.md) |
| **SSoT** | Sim — dono do **mapa** PPSI × contratos (C1, C2, C3, Adm) no âmbito SDR |
| **Estado** | âncora; consumidor narrativo: [analise-cobertura-ppsi.md](../arquitetura-contratual/analise-cobertura-ppsi.md) |

---

## 1. Finalidade

Fixar, como **fonte única entre SDRs**, como o **PPSI** (Programa de Promoção da Segurança da Informação — três segmentos, **210 medidas**) se distribui entre **Governança (C1)**, **Operação (C2)** e **Segurança (C3)**, e o que permanece **indelegável da Administração (Adm)**. O PPSI é a **base central de referência** do projeto; este arquivo é o ponto de entrada normativo do mapeamento.

---

## 2. Regra de leitura

- **C1** — medição, ITSM, CMDB, evidência, fiscalização, conformidade, sala de crise e comunicação operacional de incidente (sem substituir ETIR/SOC).
- **C2** — execução operacional: infraestrutura, mudança, disponibilidade, *patching*, inventário operacional, NOC.
- **C3** — postura, proteção, deteção, resposta (incluindo **ETIR** como equipe institucional; o contrato C3 **apoia** com SOC, SIEM, *playbooks*, RPI — ver [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md)).
- **Adm** — nomeações (ex.: Gestor de SI), comitês, aceite de risco, comunicação institucional, decisões LGPD estritamente jurídicas.

Normas de governo: ver [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md). Regra de citação: **instrumento de governo primeiro**, depois padrão de mercado — ver [sdr-0015](./sdr-0015-rastreabilidade-normativa.md).

---

## 3. Taxonomia de cobertura (herdada da análise)

| Classificação | Significado |
|---|---|
| **TOTAL** | O modelo cobre diretamente o requisito (≥ Nível 3 no PPSI) |
| **SUBSTANCIAL** | Eleva significativamente; ação mínima complementar do órgão |
| **PARCIAL** | Contribui; depende de decisão da Administração |
| **NÃO** | Exclusivo da Administração / jurídico |
| **OK** | Já ≥ Nível 4 antes do modelo |

Totais agregados (referência): **210 medidas** analisadas — ver [analise-cobertura-ppsi.md §2](../arquitetura-contratual/analise-cobertura-ppsi.md). Não duplicar a tabela medida a medida aqui.

---

## 4. Resumo por controle PPSI (1 linha por controle — papéis C1/C2/C3)

| Controle | Tema (resumo) | C1 | C2 | C3 |
|----------|---------------|----|----|-----|
| 0 (Base) | PGSI, riscos, continuidade SI, mudança SI, conformidade SI | Medição, relatório, trava | — | Postura, risco técnico, DRP, vuln |
| 1 | Inventário de ativos | Evidência, CMDB | Inventário operacional | Descoberta, reconciliação |
| 2 | Software | Catálogo, licenças | Instalação, patch | SBOM, SCA, *hardening* |
| 3 | Proteção de dados (criptografia) | Ateste | Execução | Política, NC 09 (via 0015a) |
| 4 | Configuração segura | Mudança, auditoria | Baseline, aplicação | Definição, validação |
| 5–6 | Contas e acesso | Evidência ITSM | Provisionamento | IAM, PAM — [0016b](./sdr-0016b-c3-iam-pam-identidade.md) |
| 7 | Vulnerabilidades | SLA, glosa | *Patch* | Priorização — [0016d](./sdr-0016d-c3-vulnerabilidades-patching.md) |
| 8 | Registro e auditoria (*logs*) | Retenção, IMR | Coleta | SIEM, NC 21 — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| 9–10 | E-mail, *malware* | Métricas | Gateway, endpoint | EDR, análise — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| 11 | Recuperação de dados | RTO/RPO medidos | *Restore* | Backup, DR — [0016c](./sdr-0016c-c3-bcp-drp-continuidade.md) |
| 12–13 | Rede, monitoramento | Indicadores | Operação rede/NOC | Deteção, segmentação — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| 14 | Conscientização SI | Métricas | Execução de campanha (se contratada) | Desenho, *phishing sim* — [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |
| 15 | Controle de mídia | Ateste | Destruição, mídia | Classificação |
| 16 | Desenvolvimento seguro | Gate de mudança | *Build* | SAST/DAST, *pentest* — [0016e](./sdr-0016e-c3-validacao-ofensiva.md) |
| 17 | Gestão de incidentes | ITSM, crise, RPI | Execução técnica | ETIR/SOC, CTIR Gov — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| 18 | Testes de intrusão | Evidência contratual | Correção | *Pentest* — [0016e](./sdr-0016e-c3-validacao-ofensiva.md) |
| 19–25 (LGPD) | Privacidade | Gaps, RIPD insumos | Operações de dado | Controles técnicos, incidente com dado pessoal — [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |

---

## 5. Controles integralmente endereçados (síntese)

Conforme [analise-cobertura-ppsi.md §4](../arquitetura-contratual/analise-cobertura-ppsi.md): controles **11**, **17**, **18**, **0.14**, **0.15**, **0.16** (e **13** com ressalvas) — combinação C1+C2+C3 eleva medidas para ≥ Nível 3 sem duplicar dono normativo.

---

## 6. Fora do alcance do contrato (Adm)

Exemplos: **0.3** (nomeação formal do Gestor de SI — IN GSI/PR nº 1/2020, art. 19); atos de comitê; aceite de risco; comunicação institucional; várias medidas LGPD puramente jurídicas — ver [analise-cobertura-ppsi.md §5](../arquitetura-contratual/analise-cobertura-ppsi.md).

---

## 7. Consumidores

- [sdr-0011](./sdr-0011-governanca-c1-medicao.md), [sdr-0006](./sdr-0006-operacao-c2-niveis-capacidade.md), [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md) e sub-SDRs `sdr-0016a`–`f`.
- [sdr-0011d](./sdr-0011d-c1-ppsi-medido-pelo-c1.md) — recorte canônico dos controles PPSI sob **medição/ateste C1-GOV**; remete a este mapa, não duplica.
- [analise-cobertura-ppsi.md](../arquitetura-contratual/analise-cobertura-ppsi.md) — **não** é dono do mapa; permanece como relatório executivo.

---

## Ligações

- [sdr-0014-ppsi-lgpd-conformidade.md](./sdr-0014-ppsi-lgpd-conformidade.md)
- [sdr-0015a-catalogo-gsi-dsic.md](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0001-arquitetura-tres-contratos.md](./sdr-0001-arquitetura-tres-contratos.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).