# SDR — C3: Validação ofensiva (pentest, red/purple, ASM, BAS)

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md) |
| **SSoT** | Sim — dono do recorte **testes de intrusão** e validação ofensiva |
| **Estado** | âncora |

---

## 1. Finalidade

Definir regras construtíveis do C3 para **programa de pentest**, testes **internos/externos**, **red/purple team**, **ASM** e **BAS**, alinhadas ao **PPSI** controle **18** e medidas **16.12–16.14** (contexto AppSec).

---

## 2. Instrumentos de governo (prioridade)

- **PPSI** — controle **18** (testes de intrusão — medidas 18.1–18.5); medidas **16.13** (*pentest* de aplicações), **16.12** (SAST — *hardening* de SDLC, interface com C3).

**LACUNA-GSI-DSIC explícita:** Não há no catálogo [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md) norma GSI/PR ou NC DSIC que discipline *pentest*, *red team*, BAS ou ASM. **Todo** o detalhe técnico deste recorte deve citar **apenas** padrão de mercado após registrar **LACUNA-GSI-DSIC** na frase.

**Padrões de mercado:** NIST SP 800-115; OWASP WSTG; PTES; OSSTMM; MITRE ATT&CK (TTPs para exercícios).

---

## 3. Regras canônicas (recorte)

- Programa anual (cadência no TR/ANS) com escopo aprovado e evidência de reteste após correção.
- Separação de papéis: quem testa não opera o mesmo alvo em produção sem vedação explícita ([sdr-0001](./sdr-0001-arquitetura-tres-contratos.md)).
- Correção de achados: C2 executa; C3 valida reabertura; C1 mede prazo.

---

## 4. Itens PPSI endereçados (amostra)

| Medida | Descrição curta | C1 | C2 | C3 |
|--------|------------------|----|----|-----|
| 18.1–18.5 | Programa de *pentest* | Contrato, evidência | Correção | Execução do teste |
| 16.13 | *Pentest* de aplicações | Ateste | Deploy corrigido | Teste, relatório |
| 16.12 | SAST (apoio) | Gate | *Pipeline* | Ferramenta, política |

---

## Ligações

- [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0014a](./sdr-0014a-ppsi-mapeamento-trilateral.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).