# SDR — C3: IAM, PAM e identidade

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md) |
| **SSoT** | Sim — dono do recorte **IAM / PAM / MFA / contas privilegiadas** |
| **Estado** | âncora |

---

## 1. Finalidade

Definir regras construtíveis do C3 para **identidade**, **acesso privilegiado**, **MFA**, **JIT/JEA**, ***break-glass***, ciclo **joiner/mover/leaver** e **contas de serviço**, alinhadas ao **PPSI** (controles 5 e 6) e à **IN GSI/PR nº 1/2020** (contexto institucional).

---

## 2. Instrumentos de governo (prioridade)

- **PPSI** — controle **5** (gestão de contas) e **6** (gestão de controle de acesso); medida **0.13** (gestão de riscos de SI — pano de fundo).
- **IN GSI/PR nº 1/2020** — arts. 19–20 (Gestor de SI, Comitê de SI); decisões de política de acesso permanecem com a **Administração**.

**LACUNA-GSI-DSIC (detalhe técnico):** PAM com sessão gravada, JIT, *break-glass* automatizado, segredos em cofre — **não** há NC dedicada no catálogo [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md). Citar **NIST SP 800-63** (IAL/AAL/FAL), **NIST SP 800-207** (*Zero Trust*), **CIS Controls** 5 e 6.

---

## 3. Regras canônicas (recorte)

- MFA obrigatório em acesso privilegiado e remoto.
- JIT/JEA com janela mínima e aprovação explícita.
- *Break-glass* documentado, auditado em tempo real e revisado a cada uso.
- Joiner/mover/leaver com SLA e evidência no ITSM.
- Inventário de contas de serviço; rotação de segredos; sem credencial em código.

---

## 4. Itens PPSI endereçados (amostra)

| Medida | Descrição curta | C1 | C2 | C3 |
|--------|------------------|----|----|-----|
| 5.x | Gestão de contas de usuário | Medição, catálogo | Provisionamento | Política, revisão |
| 6.x | Gestão de controle de acesso | Ateste | Implementação | PAM, MFA, segregação |
| 0.13 | Riscos de SI (identidade) | Relatório, trava | Dados operacionais | Avaliação técnica |

---

## Ligações

- [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).