# SDR — C3: Conformidade aplicada (PPSI/LGPD, criptografia, conscientização)

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md) |
| **SSoT** | Sim — dono do recorte **conformidade técnica** PPSI/LGPD (não substitui DPO nem decisão jurídica) |
| **Estado** | âncora |

---

## 1. Finalidade

Definir regras construtíveis do C3 para **criptografia**, **conscientização/capacitação** (apoio técnico), **retenção de log** e **trilhas de auditoria**, alinhadas ao **PPSI**, às **NCs DSIC/GSIPR** e à **IN GSI/PR nº 3/2021** (avaliação de conformidade — papel de insumo para C1).

---

## 2. Instrumentos de governo (prioridade)

- **PPSI** — medidas **0.16** (avaliação de conformidade em SI); **14.1**, **14.9** (conscientização e capacitação); **3.6, 3.9, 3.10, 3.11** (criptografia); **8.1** (logs).
- **IN GSI/PR nº 3/2021** — **Capítulo VI** (avaliação de conformidade nos aspectos de SI — arts. 39–43).
- **NC nº 09/IN01/DSIC/GSIPR** — criptografia (endpoint, mídia, trânsito, repouso).
- **NC nº 17/IN01/DSIC/GSIPR** — capacitação.
- **NC nº 18/IN01/DSIC/GSIPR** — conscientização.
- **NC nº 21/IN01/DSIC/GSIPR** — logs de auditoria.

**Padrões de mercado (complemento):** ISO/IEC 27001/27002; NIST Cybersecurity Framework.

---

## 3. Regras canônicas (recorte)

- C1 opera o processo de **avaliação de conformidade** e evidência; C3 fornece **artefatos técnicos** (configuração, *hardening*, relatórios de *scan*, *dashboards*).
- Criptografia: políticas técnicas e validação em C3; implementação em C2.
- Conscientização: C3 desenha conteúdo técnico e *phishing sim*; execução de campanha pode ser C2 ou órgão — conforme TR.
- Retenção de log compatível com LGPD e NC 21; classificação de dado com apoio ao DPO.

---

## 4. Itens PPSI endereçados (amostra)

| Medida | Descrição curta | C1 | C2 | C3 |
|--------|------------------|----|----|-----|
| 0.16 | Avaliação de conformidade em SI | Plano, relatório | Evidência operacional | Achados técnicos |
| 14.1 / 14.9 | Conscientização / capacitação | Métricas | Execução (se contratada) | Conteúdo, simulação |
| 3.6–3.11 | Criptografia | Ateste | Implementação | Política, validação |
| 8.1 | Logs de auditoria | Retenção, IMR | Coleta | Requisitos técnicos |

---

## Ligações

- [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0014](./sdr-0014-ppsi-lgpd-conformidade.md)
- [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).