# SDR — Segurança (C3): SOC, IAM, backup e continuidade


> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **SSoT** | Sim — dono das regras construtíveis do contrato C3 |
| **Estado** | âncora; site consumidor em `arquitetura-contratual/site/seguranca.html` |

---

## 1. Finalidade

Definir o **C3** como contrato de **proteção, deteção, resposta a incidentes, IAM, backup, recuperação e continuidade**, sem assumir a operação ordinária do C2. Estabelece, ainda, **como** C1, C2 e C3 se cobram mutuamente para garantir um serviço maduro: cada um responde pelo que lhe compete e nenhum se mede sozinho.

---

## 2. Escopo canônico

- SOC, monitoramento de segurança e triagem de eventos;
- EDR, SIEM, fontes de log, *threat intel* e *threat hunting*;
- IAM, identidades privilegiadas (PAM), MFA, JIT/JEA, *break-glass*;
- backup, restore, RTO/RPO, DR e evidência de recuperação;
- resposta a incidente de segurança e preservação de evidência (articulação com **ETIR** — equipe institucional; fornecedor C3 opera SOC/CSIRT contratual — ver [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md));
- validação de controles (vulnerability management, *pentest*, *red/purple team*, ASM, BAS);
- apoio a PPSI/LGPD, *privacy/security by design* e conscientização.

---

## 3. Fronteiras (separação C2/C3)

- C3 **orienta** segurança; **C2 executa** mudanças operacionais em servidor, rede, banco e aplicação quando estiverem no escopo do C2.
- C3 **não decide** comunicação institucional, aceite de risco ou prioridade pública — isso cabe à **Administração**.
- Backup e recuperação devem ter **vínculo com CMDB/catálogo** e com o **serviço crítico**.
- O fornecedor que opera o C2 **não pode** auditar a si mesmo dentro do C3 (vedação herdada do [SDR-0001](./sdr-0001-arquitetura-tres-contratos.md)).
- **IN GSI/PR nº 1/2020** — contexto institucional: Gestor de SI (art. 19), Comitê de SI (art. 20), **ETIR** (composição e constituição conforme **NC nº 05/IN01/DSIC/GSIPR**); comunicação obrigatória com **CTIR Gov** e **CISC Gov.br** quando o PPSI assim exigir (ver [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md)).
- **IN GSI/PR nº 3/2021** — continuidade (Cap. IV), mudança (Cap. V), conformidade (Cap. VI); detalhamento por recorte: [sdr-0016c](./sdr-0016c-c3-bcp-drp-continuidade.md), [sdr-0016d](./sdr-0016d-c3-vulnerabilidades-patching.md), [sdr-0016f](./sdr-0016f-c3-conformidade-aplicada.md).

---

## 4. Camadas funcionais do C3

| Camada | Foco | Entrega típica |
|--------|------|----------------|
| Postura e arquitetura | O que precisa estar verdadeiro | Política, baseline, *security architecture review*, padrões — [0016f](./sdr-0016f-c3-conformidade-aplicada.md) (conformidade aplicada) |
| Proteção e *hardening* | Reduzir superfície | EDR, WAF, segmentação, IAM/PAM, MFA, segredo, criptografia — [0016b](./sdr-0016b-c3-iam-pam-identidade.md) |
| Deteção e SOC | Ver o que está acontecendo | SIEM, casos de uso, monitoração 24/7, *threat intel/hunting* — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| Resposta (ETIR + SOC C3) | Conter, erradicar, recuperar, aprender | *Playbook*, *on-call*, *forensics*, RPI — [0016a](./sdr-0016a-c3-soc-deteccao-resposta.md) |
| Validação ofensiva | Provar que o controle funciona | Vuln mgmt, *pentest*, *red/purple*, ASM, BAS — [0016d](./sdr-0016d-c3-vulnerabilidades-patching.md), [0016e](./sdr-0016e-c3-validacao-ofensiva.md) |
| Continuidade (BCP/DRP) | Sobreviver a evento | Backup, restore com evidência, teste de DR, RTO/RPO — [0016c](./sdr-0016c-c3-bcp-drp-continuidade.md) |
| Conformidade aplicada | Honrar marcos legais | PPSI, LGPD, retenção, conscientização, auditoria — [0016f](./sdr-0016f-c3-conformidade-aplicada.md) |

As camadas C3 são **distintas** dos níveis N1/N2/N3 do C2 ([SDR-0006](./sdr-0006-operacao-c2-niveis-capacidade.md)). O escalonamento interno do SOC (L1/L2/L3) opera dentro do C3; o *handover* ao C2 ocorre quando a execução fugir do escopo direto do C3.

---

## 5. SOC e cobertura (estrutura mínima)

Recorte normativo e PPSI: [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md).

- **Operação 24/7** em estrutura própria do fornecedor C3, com primeiro reconhecimento de evento e escalonamento interno (L1/L2/L3 do SOC).
- **SIEM** com regras documentadas, base de casos de uso vivos e *tuning* periódico.
- **Fontes de log mínimas:** identidade, EDR, rede de borda, WAF, servidores e aplicações críticas, com pacto de relógio (NTP), formato e retenção.
- **Threat intel** ingerida e aplicada; **threat hunting** programado com hipótese, escopo, achados e itens de melhoria do detector.
- **Handover ao C2** quando a execução fugir do escopo direto do C3, com instrução clara, custódia de evidência e fechamento documentado.
- **Tempos** de primeiro reconhecimento, contenção e comunicação por severidade — **parametrização numérica no TR/ANS** (ver §10).

---

## 6. IAM e identidades privilegiadas (PAM)

Recorte normativo e PPSI: [sdr-0016b](./sdr-0016b-c3-iam-pam-identidade.md).

- **MFA obrigatório** em acesso privilegiado, remoto e a painel de plataforma.
- **JIT/JEA** (*just-in-time* / *just-enough-access*) para administração, com janela mínima e aprovação explícita.
- **Break-glass** documentado, auditado em tempo real e revisado a cada uso.
- Ciclo **joiner/mover/leaver** com SLA — desligamento revogado em prazo curto e auditável.
- Inventário vivo de **contas de serviço**; **segredos rotacionados**; sem credencial em código ou em wiki.

---

## 7. Backup, restore e continuidade

Recorte normativo e PPSI: [sdr-0016c](./sdr-0016c-c3-bcp-drp-continuidade.md).

- **Política não basta.** Vale evidência de **restore bem-sucedido** dentro do RTO/RPO, em ciclo de teste obrigatório.
- **Backup imutável** ou com proteção contra ransomware (ex.: 3-2-1-1-0, conforme TR).
- **DR testado** com cenário, escopo, cronograma e indicador; relatório no ITSM.
- **Runbooks de retorno** com nome de responsável e dependências de C2 (rede, banco, aplicação).

---

## 8. Vulnerabilidades e patching

Recorte normativo e PPSI: [sdr-0016d](./sdr-0016d-c3-vulnerabilidades-patching.md).

- **Inventário** alinhado ao CMDB de C2 (sem ativo "fantasma" fora do alcance do C3).
- **Priorização por risco** em C3 (CVSS + contexto + exposição); execução em C2 dentro de janela.
- **Janela e prazo** por classe (crítica, alta, média) — **parametrização numérica no TR/ANS** (ver §10).
- **Validação pós-patch** em amostra; reabertura quando a vulnerabilidade persistir.

---

## 9. Resposta a incidente de segurança (ETIR + SOC C3; CTIR Gov; CISC Gov.br)

Recorte normativo e PPSI: [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md). A **ETIR** é a equipe institucional de prevenção, tratamento e resposta (**NC nº 05/IN01/DSIC/GSIPR**); o fornecedor C3 opera **SOC** e resposta contratual em **articulação** com a ETIR. Notificações e fluxo com **CTIR Gov** e **CISC Gov.br** conforme **PPSI** medidas 17.2 e correlatas.

- **Playbook por classe** (phishing, conta comprometida, malware em endpoint, ransomware, exfiltração, abuso interno, exposição em nuvem, etc.).
- **Linha do tempo viva** no ITSM, com pessoas nomeadas e decisões registradas.
- **Preservação de evidência** com cadeia de custódia, mesmo quando a restauração pressiona.
- **RPI** (relatório pós-incidente) em prazo, com causa raiz e ações de melhoria; acompanhamento por C1.
- **Comunicação** à Administração e a partes interessadas conforme matriz; comunicação institucional **não é decisão do C3**.

---

## 10. Parâmetros quantitativos (placeholder — fechar no TR/ANS)

> Os números abaixo **não são fixados aqui** e devem ser parametrizados no instrumento contratual (**TR**), refletidos no [ANS](../arquitetura-contratual/ANS-Acordo-de-Niveis-de-Servico-modelo.md) e medidos por C1 conforme [SDR-0007](./sdr-0007-ans-parametros-sla.md). Este SDR fixa **estrutura**; o TR fixa **valor**.

| Parâmetro | Onde fixar | Critério mínimo |
|-----------|------------|-----------------|
| Cobertura do SOC | TR + ANS | 24/7, sem janela cega |
| Tempo de primeiro reconhecimento | TR + ANS | Por severidade (P1–P5 ou equivalente) |
| Tempo de contenção e de comunicação | TR + ANS | Por severidade |
| RTO/RPO por serviço crítico | TR + ANS | Vinculado ao catálogo e ao CMDB |
| Janela de patch por classe | TR + ANS | Crítica/alta/média/baixa |
| Periodicidade de teste de restore e de DR | TR + ANS | Anual no mínimo, conforme criticidade |
| Periodicidade de pentest | TR + ANS | Anual no mínimo, conforme exposição |
| Retenção de log por classe | TR + ANS + LGPD | Conforme marco aplicável |
| Métrica de qualidade do SOC | TR + ANS | Falso positivo, tempo de triagem, *MTTR* |

---

## 11. Trilateralidade C1 ↔ C2 ↔ C3 (cobranças mútuas)

| Direção | Exemplo de cobrança |
|---------|---------------------|
| C3 → C2 | Patch no prazo; *hardening* efetivo; PAM íntegro; backup testado; logs íntegros e enviados ao SIEM; mudança comunicada antes |
| C2 → C3 | SLA do SOC; *playbook* usável; redução de falso positivo; liberação proporcional de regra; devolução de PAM; RPI no prazo |
| C1 → C2 e C3 | Evidência consultável; aderência PPSI/LGPD; coerência entre catálogo e execução; trava trilateral [SDR-0005](./sdr-0005-trava-e-glosa.md) |
| C2 e C3 → C1 | Decisão da Administração no prazo; congelamento da base CMDB; integridade do ITSM; sem dupla cobrança do mesmo CI |

A vedação central permanece: **nenhum fornecedor audita ou mede a si mesmo no mesmo serviço** — desenho herdado do [SDR-0001](./sdr-0001-arquitetura-tres-contratos.md).

### 11.1 RACI mínimo durante "sob ataque"

| Atividade | C3 | C2 | C1 | Administração |
|-----------|----|----|----|----------------|
| Diagnóstico, triagem e estratégia de resposta | **R/A** | C | I | I |
| Bloqueio em borda, EDR, IAM, firewall | **A** | **R** | I | I |
| Restauração técnica de serviço | C | **R/A** | I | I |
| Comunicação institucional | C | C | R | **A** |
| Aceite de risco e exceção | C | C | R | **A** |
| Linha do tempo, evidência e ateste de tempos | C | C | **R/A** | I |
| RPI, causa raiz e melhoria | **R/A** | C | R | I |

Critério de saída do estado "sob ataque": vetor encerrado e controle compensatório em vigor, serviços críticos restaurados (RTO/RPO) ou risco aceito formal, evidência preservada com RPI no ITSM e comunicação concluída conforme matriz da Administração.

---

## 12. Regras para agentes

- Separar **"proteger e validar"** de **"operar infraestrutura"**.
- Todo controle de segurança deve ter **evidência consultável por C1**.
- Incidente sob ataque deve ter **linha do tempo, responsáveis e RPI**.
- Continuidade exige **testes**, não apenas política declarada.
- **Não fixar números canônicos no HTML** — estrutura aqui, valor no TR/ANS.

---

## 13. Derivação para documentos de contratação (checklist)

| Entregável | O que trazer deste SDR |
|------------|------------------------|
| **TR / anexos técnicos** | Camadas C3, SOC 24/7, IAM/PAM, backup com teste, vuln mgmt, IR, validação ofensiva, conformidade, integração C2 ↔ C3 (logs, mudança), vedação de duplo papel. |
| **ETP / justificativa** | Risco, parque sensível, criticidade por serviço, base CMDB que será congelada. |
| **ANS** | Valores de cobertura, severidade, RTO/RPO, janela e retenção, em conjunto com [SDR-0007](./sdr-0007-ans-parametros-sla.md). |
| **Matriz de riscos** | Cenários de ataque e continuidade, com tratamento e dono — [SDR-0012](./sdr-0012-matriz-riscos.md). |
| **PPSI/LGPD** | Articulação com [SDR-0014](./sdr-0014-ppsi-lgpd-conformidade.md) para tratamento de dado pessoal e incidente correlato. |

---

## 14. Consumidores

- TR C3, ANS, matriz de riscos, [site de Segurança](../arquitetura-contratual/site/seguranca.html), PPSI/LGPD, continuidade e resposta a incidentes.

---

## Ligações

- [sdr-0016a-c3-soc-deteccao-resposta.md](./sdr-0016a-c3-soc-deteccao-resposta.md) · [sdr-0016b-c3-iam-pam-identidade.md](./sdr-0016b-c3-iam-pam-identidade.md) · [sdr-0016c-c3-bcp-drp-continuidade.md](./sdr-0016c-c3-bcp-drp-continuidade.md) · [sdr-0016d-c3-vulnerabilidades-patching.md](./sdr-0016d-c3-vulnerabilidades-patching.md) · [sdr-0016e-c3-validacao-ofensiva.md](./sdr-0016e-c3-validacao-ofensiva.md) · [sdr-0016f-c3-conformidade-aplicada.md](./sdr-0016f-c3-conformidade-aplicada.md)
- [sdr-0014a-ppsi-mapeamento-trilateral.md](./sdr-0014a-ppsi-mapeamento-trilateral.md)
- [sdr-0015a-catalogo-gsi-dsic.md](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0001-arquitetura-tres-contratos.md](./sdr-0001-arquitetura-tres-contratos.md)
- [sdr-0006-operacao-c2-niveis-capacidade.md](./sdr-0006-operacao-c2-niveis-capacidade.md)
- [sdr-0011-governanca-c1-medicao.md](./sdr-0011-governanca-c1-medicao.md)
- [sdr-0014-ppsi-lgpd-conformidade.md](./sdr-0014-ppsi-lgpd-conformidade.md)
- [sdr-0012-matriz-riscos.md](./sdr-0012-matriz-riscos.md)
- [sdr-0005-trava-e-glosa.md](./sdr-0005-trava-e-glosa.md)
- [sdr-0007-ans-parametros-sla.md](./sdr-0007-ans-parametros-sla.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).