# Análise de Cobertura: Modelo de Prestação de Serviços × Requisitos PPSI

**Data:** 24/04/2026  
**Escopo:** Verificação da capacidade do **Central de Serviços de TI** (três contratos integrados — C1/C2/C3) em elevar os controles PPSI para nível aceitável (≥ Nível 3 — Intermediário)

---

## 1. Metodologia

O **nível aceitável** foi definido como **Nível 3 — Intermediário** (implementação entre 40% e 80% do propósito) ou superior, conforme escala do PPSI. Cada medida foi avaliada quanto à sua cobertura pelo modelo de serviços, classificada em:

| Classificação | Significado |
|---|---|
| **TOTAL** | O modelo cobre diretamente o requisito, elevando para ≥ Nível 3 |
| **SUBSTANCIAL** | O modelo eleva significativamente, dependendo de ação complementar mínima |
| **PARCIAL** | O modelo contribui, mas a elevação depende de decisão do órgão |
| **NÃO** | O requisito é de responsabilidade exclusiva do órgão (decisão institucional, jurídica ou política) |
| **OK (já adequado)** | Medida já está em nível aceitável (≥ 4) independentemente do modelo |

---

## 2. Resumo Executivo

De **210 medidas analisadas** nos 3 segmentos do PPSI:

| Situação | Qtd | % |
|---|---|---|
| Já em nível aceitável (≥ Nível 4) antes do modelo | 74 | 35% |
| Elevadas para ≥ Nível 3 com cobertura **total** pelo modelo | 44 | 21% |
| Elevadas para ≥ Nível 3 com cobertura **substancial** pelo modelo | 56 | 27% |
| Elevação **parcial** — depende de decisão do órgão | 18 | 9% |
| **Fora do alcance do modelo** (decisão institucional/jurídica) | 18 | 9% |

**Conclusão:** O modelo de serviços é capaz de endereçar direta ou substancialmente **82% das medidas PPSI** (148 de 210 — entre as já adequadas, as de cobertura total e substancial). As 18 medidas fora do alcance dizem respeito a obrigações legais da LGPD e decisões de governança que são competência exclusiva da Administração.

---

## 3. Análise por Segmento

---

### 3.1 Segmento Base — Governança e Instrumentos Fundamentais

> Controle 0: Estruturação básica e instrumentos fundamentais

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado | Observação |
|---|---|---|---|---|---|---|
| 0.1 | Gestão de riscos e controles internos | 2 | SUBSTANCIAL | Governança | 3 | Governança fornece evidências, controles e relatórios que estruturam o sistema de gestão de riscos. Formalização é decisão da Administração. |
| 0.2 | Gestor de TIC nomeado | ✅ OK | — | Adm | OK | Já implementado. |
| 0.3 | Gestor de SI nomeado | 1 | NÃO | Adm | 1 | Nomeação formal é ato exclusivo da Administração. A contratação do Segurança cria demanda natural por este gestor. |
| 0.4 | Encarregado de dados pessoais (DPO) | ✅ OK | — | Adm | OK | Já implementado. |
| 0.5 | Responsável por integridade/transparência | ✅ OK | — | Adm | OK | Já implementado. |
| 0.6 | Comitê de Segurança da Informação | ✅ OK | — | Adm | OK | Já implementado. |
| 0.7 | Comitê de Proteção de Dados Pessoais | ✅ OK | — | Adm | OK | Já implementado. |
| 0.8 | ETIR instituída | ✅ OK | — | Adm | OK | Já implementado. |
| 0.9 | PGSI (Programa de Governança em SI) | 1 | SUBSTANCIAL | Governança+Segurança | 3 | Governança provê framework de controles, evidências e indicadores. Segurança provê gestão técnica. Juntos sustentam elaboração e execução do PGSI. |
| 0.10 | PGP (Programa de Governança em Privacidade) | 4 | — | OK | 4 | Já em nível aceitável. |
| 0.11 | POSIN (Política de Segurança da Informação) | 4 | — | OK | 4 | Já em nível aceitável. |
| 0.12 | Política de Proteção de Dados Pessoais | 4 | — | OK | 4 | Já em nível aceitável. |
| 0.13 | Processo de gestão de riscos de SI | 1 | SUBSTANCIAL | Governança+Segurança | 3 | Segurança fornece inventário de vulnerabilidades e plano de tratamento. Governança formaliza o processo e o monitoramento contínuo. |
| 0.14 | Processo de continuidade de negócios em SI | 1 | TOTAL | Segurança+Governança | 3 | Segurança possui DRP, RTO/RPO, testes de restore e simulados como obrigação contratual. Governança coordena sala de crise. |
| 0.15 | Processo de gestão de mudanças em SI | 1 | TOTAL | Governança | 3 | Governança inclui gestão de mudanças com auditoria, evidência e aprovação como responsabilidade principal. |
| 0.16 | Processo de avaliação de conformidade em SI | 1 | TOTAL | Governança | 3 | Governança inclui gestão de conformidade PPSI/LGPD, auditoria de evidências e verificação de aderência. |
| 0.17 | Gestão de riscos de dados pessoais | 2 | SUBSTANCIAL | Segurança+Governança | 3 | Segurança trata logs, acessos, criptografia e incidentes com dados. Governança fornece controle de conformidade. |

**⚠️ Ação necessária — fora do alcance do modelo:**
- **0.3** — Nomeação formal do Gestor de Segurança da Informação é decisão da Administração.

---

### 3.2 Segmento de Segurança da Informação — Controles Técnicos (Controles 1–18)

#### Controle 1 — Inventário de Ativos Institucionais

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 1.1 | Inventário detalhado de ativos | 3 | TOTAL | Governança+Operação | 4 |
| 1.2 | Tratamento de ativos não autorizados | 2 | SUBSTANCIAL | Segurança+Operação | 3 |
| 1.3 | Ferramenta de descoberta ativa | 3 | SUBSTANCIAL | Governança+Operação | 4 |
| 1.4 | Uso de DHCP para inventário | 3 | SUBSTANCIAL | Operação | 4 |
| 1.5 | Ferramenta de descoberta passiva | 1 | SUBSTANCIAL | Segurança | 3 |

> Governança (CMDB + monitoramento) e Operação (operação e registro) elevam o inventário. Segurança (SIEM) adiciona descoberta passiva via correlação de logs.

#### Controle 2 — Inventário de Soluções de Software

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 2.1 | Inventário de soluções de software | 3 | SUBSTANCIAL | Governança+Operação | 4 |
| 2.2 | Apenas software sancionado no ambiente | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 2.3 | Tratamento de software não autorizado | 2 | SUBSTANCIAL | Segurança+Operação | 3 |
| 2.4 | Ferramentas automatizadas de inventário | 4 | — | OK | 4 |
| 2.5 | Lista de software autorizado | 1 | SUBSTANCIAL | Operação | 3 |
| 2.6 | Lista de bibliotecas autorizadas | 2 | PARCIAL | Operação+Segurança | 3 |
| 2.7 | Lista de scripts autorizados | 1 | PARCIAL | Segurança | 2 |

#### Controle 3 — Proteção de Dados

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 3.1 | Processo de gestão de dados | 3 | PARCIAL | Governança | 4 |
| 3.2 | Inventário de dados | 4 | — | OK | 4 |
| 3.3 | Listas de controle de acesso (ACL) | 5 | — | OK | 5 |
| 3.4 | Retenção de dados | 4 | — | OK | 4 |
| 3.5 | Descarte seguro de dados | 2 | SUBSTANCIAL | Operação+Segurança | 3 |
| 3.6 | Criptografia em dispositivos de usuário final | 2 | SUBSTANCIAL | Segurança+Operação | 3 |
| 3.7 | Esquema de classificação de dados | 2 | PARCIAL | Governança | 3 |
| 3.8 | Documentação de fluxos de dados | 1 | SUBSTANCIAL | Governança | 3 |
| 3.9 | Criptografia em mídia removível | 1 | SUBSTANCIAL | Segurança+Operação | 3 |
| 3.10 | Criptografia em dados em trânsito | 4 | — | OK | 4 |
| 3.11 | Criptografia em dados em repouso | 2 | SUBSTANCIAL | Segurança | 3 |
| 3.12 | Segmentação por classificação de dados | 3 | SUBSTANCIAL | Segurança+Operação | 4 |
| 3.13 | Solução DLP (prevenção de perda de dados) | 1 | SUBSTANCIAL | Segurança | 3 |
| 3.14 | Registro de acesso a dados críticos | 4 | — | OK | 4 |

#### Controle 4 — Configuração Segura de Ativos e Software

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 4.1 | Processo de configuração segura | 3 | TOTAL | Segurança | 4 |
| 4.2 | Configuração segura para infra de rede | 3 | TOTAL | Segurança+Operação | 4 |
| 4.3 | Bloqueio automático de sessão | 5 | — | OK | 5 |
| 4.4 | Firewall em servidores | 5 | — | OK | 5 |
| 4.5 | Firewall em dispositivos de usuário final | 5 | — | OK | 5 |
| 4.6 | Gestão segura de ativos e software | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 4.7 | Gerenciamento de contas padrão | 3 | SUBSTANCIAL | Segurança+Operação | 4 |
| 4.8 | Desinstalação de serviços desnecessários | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 4.9 | Configuração de DNS seguros | 5 | — | OK | 5 |
| 4.10 | Bloqueio automático em dispositivos portáteis | 3 | SUBSTANCIAL | Operação (MDM) | 4 |
| 4.11 | Limpeza remota de dispositivos portáteis | 1 | TOTAL | Segurança+Operação | 3 |
| 4.12 | Separação de workspaces em móveis | 1 | SUBSTANCIAL | Operação (MDM) | 3 |

#### Controle 5 — Gestão de Contas

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 5.1 | Inventário de contas | 3 | SUBSTANCIAL | Segurança (IAM) | 4 |
| 5.2 | Evitar reutilização de senhas | 4 | — | OK | 4 |
| 5.3 | Desabilitar contas inativas | 4 | — | OK | 4 |
| 5.4 | Limitar privilégios de administrador | 4 | — | OK | 4 |
| 5.5 | Inventário de contas de serviço | 1 | TOTAL | Segurança (PAM) | 3 |
| 5.6 | Centralizar gestão de contas | 4 | — | OK | 4 |

#### Controle 6 — Gestão de Acesso

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 6.1 | Processo de concessão de acesso | 4 | — | OK | 4 |
| 6.2 | Processo de revogação de acesso | 3 | SUBSTANCIAL | Segurança (IAM) | 4 |
| 6.3 | MFA para acesso administrativo | 4 | — | OK | 4 |
| 6.4 | MFA para acesso remoto | 4 | — | OK | 4 |
| 6.5 | MFA para acesso a aplicações críticas | 2 | SUBSTANCIAL | Segurança | 3 |
| 6.6 | Inventário de sistemas de autenticação | 3 | SUBSTANCIAL | Segurança+Governança | 4 |
| 6.7 | Centralizar controle de acesso | 4 | — | OK | 4 |
| 6.8 | Controle de acesso baseado em funções (RBAC) | 4 | — | OK | 4 |

#### Controle 7 — Gestão Contínua de Vulnerabilidades

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 7.1 | Processo de gestão de vulnerabilidades | 4 | — | OK | 4 |
| 7.2 | Processo de remediação | 4 | — | OK | 4 |
| 7.3 | Gestão automatizada de atualizações de SO | 4 | — | OK | 4 |
| 7.4 | Gestão automatizada de atualizações de apps | 4 | — | OK | 4 |
| 7.5 | Varreduras automatizadas internas | 4 | — | OK | 4 |
| 7.6 | Varreduras automatizadas externas | 2 | TOTAL | Segurança | 4 |
| 7.7 | Correção de vulnerabilidades detectadas | 4 | — | OK | 4 |

#### Controle 8 — Gestão de Registros de Auditoria

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 8.1 | Processo de gestão de logs | 2 | TOTAL | Segurança+Governança | 4 |
| 8.2 | Coleta de logs de auditoria | 4 | — | OK | 4 |
| 8.3 | Armazenamento adequado de logs | 2 | TOTAL | Segurança | 4 |
| 8.4 | Sincronização de tempo (NTP) | 4 | — | OK | 4 |
| 8.5 | Logs de auditoria detalhados | 3 | SUBSTANCIAL | Segurança (SIEM) | 4 |
| 8.6 | Logs de consulta DNS | 4 | — | OK | 4 |
| 8.7 | Logs de requisição URL | 4 | — | OK | 4 |
| 8.8 | Logs de linha de comando | 1 | TOTAL | Segurança (EDR) | 3 |
| 8.9 | Centralização de logs (SIEM) | 2 | TOTAL | Segurança | 4 |
| 8.10 | Retenção de logs | 3 | TOTAL | Segurança | 4 |
| 8.11 | Revisão de logs de auditoria | 3 | TOTAL | Segurança (SOC) | 4 |
| 8.12 | Logs de provedores de serviços | 1 | SUBSTANCIAL | Governança+Segurança | 3 |

#### Controle 9 — Proteção de E-mail e Navegador Web

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 9.1 | Apenas navegadores/e-mail suportados | 1 | SUBSTANCIAL | Operação+Segurança | 3 |
| 9.2 | Filtragem de DNS | 4 | — | OK | 4 |
| 9.3 | Filtros de URL por categoria | 4 | — | OK | 4 |
| 9.4 | Restrição de extensões de navegador | 1 | SUBSTANCIAL | Segurança+Operação | 3 |
| 9.5 | DMARC implementado | 4 | — | OK | 4 |
| 9.6 | Bloqueio de tipos de arquivo | 4 | — | OK | 4 |
| 9.7 | Antimalware em servidores de e-mail | 4 | — | OK | 4 |

#### Controle 10 — Defesa Contra Malware

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 10.1–10.6 | Antimalware (instalação, atualização, varredura, gerenciamento) | 4 | — | OK | 4 |
| 10.7 | Antimalware baseado em comportamento (EDR/XDR) | 2 | TOTAL | Segurança | 4 |

#### Controle 11 — Recuperação de Dados

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 11.1 | Processo de backup | 3 | TOTAL | Segurança | 5 |
| 11.2 | Backups automatizados | 4 | — | OK | 4 |
| 11.3 | Proteção dos dados de recuperação | 2 | TOTAL | Segurança | 4 |
| 11.4 | Instância isolada de recuperação (air-gap) | 1 | TOTAL | Segurança | 3 |
| 11.5 | Teste de recuperação de dados (restore) | 2 | TOTAL | Segurança | 4 |

> Segurança possui gestão completa de backup, testes de restore, RTO/RPO e DRP como obrigações contratuais. Este controle é **integralmente coberto** pelo contrato Segurança.

#### Controle 12 — Gestão de Infraestrutura de Rede

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 12.1 | Infraestrutura de rede atualizada | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 12.2 | Arquitetura de rede segura | 2 | TOTAL | Segurança+Operação | 3 |
| 12.3 | Gerenciamento seguro de rede | 2 | TOTAL | Segurança+Operação | 4 |
| 12.4 | Diagramas de arquitetura | 3 | SUBSTANCIAL | Governança+Operação | 4 |
| 12.5 | AAA centralizado | 3 | SUBSTANCIAL | Segurança (IAM) | 4 |
| 12.6 | Protocolos seguros de comunicação | 4 | — | OK | 4 |
| 12.7 | VPN para acesso remoto | 4 | — | OK | 4 |
| 12.8 | Recursos dedicados para tarefas administrativas | 2 | SUBSTANCIAL | Operação+Segurança | 3 |

#### Controle 13 — Monitoramento e Defesa da Rede

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 13.1 | Centralização de alertas (SIEM) | 3 | TOTAL | Segurança | 5 |
| 13.2 | Detecção de intrusão em host (HIDS/EDR) | 2 | TOTAL | Segurança | 4 |
| 13.3 | Detecção de intrusão de rede (NIDS) | 1 | TOTAL | Segurança | 3 |
| 13.4 | Filtragem de tráfego entre segmentos | 1 | TOTAL | Segurança+Operação | 3 |
| 13.5 | Controle de acesso para ativos remotos | 2 | SUBSTANCIAL | Segurança (IAM/PAM) | 3 |
| 13.6 | Coleta de logs de fluxo de rede | 4 | — | OK | 4 |
| 13.7 | Prevenção de intrusão em host (HIPS) | 1 | TOTAL | Segurança (EDR) | 3 |
| 13.8 | Prevenção de intrusão de rede (NIPS) | 1 | SUBSTANCIAL | Segurança | 3 |
| 13.9 | Controle de acesso em nível de porta (NAC) | 1 | PARCIAL | Segurança+Operação | 2 |
| 13.10 | Filtragem na camada de aplicação (WAF) | 3 | TOTAL | Segurança | 5 |
| 13.11 | Ajuste de limites de alertas de segurança | 1 | TOTAL | Segurança (SIEM) | 3 |

> **⚠️ Exceção:** 13.9 (NAC — controle em nível de porta) requer investimento em hardware/plataforma específica. O modelo orienta, mas não cobre sozinho.

#### Controle 14 — Conscientização e Treinamento

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 14.1 | Programa de conscientização em SI | 3 | PARCIAL | Governança | 3 |
| 14.2 | Reconhecer ataques de engenharia social | 4 | — | OK | 4 |
| 14.3 | Melhores práticas de autenticação | 4 | — | OK | 4 |
| 14.4 | Tratamento seguro de dados | 2 | NÃO | Adm | 2 |
| 14.5 | Conscientização sobre ocorrências não intencionais | 2 | NÃO | Adm | 2 |
| 14.6 | Notificação de incidentes | 2 | PARCIAL | Segurança | 3 |
| 14.7 | Informações confidenciais | 1 | NÃO | Adm | 1 |
| 14.8 | Redes não confiáveis | 2 | NÃO | Adm | 2 |
| 14.9 | Capacitação em SI | 2 | PARCIAL | Segurança | 3 |

> **⚠️ Ação necessária:** 14.4, 14.5, 14.7, 14.8 dependem de programa de capacitação conduzido pelo próprio órgão. O modelo não substitui o programa de cultura organizacional em segurança.

#### Controle 15 — Gestão de Provedores de Serviços

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 15.1 | Inventário de provedores | 3 | SUBSTANCIAL | Governança | 4 |
| 15.2 | Política de gestão de provedores | 1 | PARCIAL | Governança | 2 |
| 15.3 | Categorização de provedores | 1 | PARCIAL | Governança | 2 |
| 15.4 | Requisitos mínimos de SI em contratos | 1 | PARCIAL | Governança | 2 |
| 15.5 | Avaliação de provedores | 1 | SUBSTANCIAL | Governança | 3 |
| 15.6 | Monitoramento de provedores | 3 | SUBSTANCIAL | Governança | 4 |
| 15.7 | Encerramento seguro de contrato | 2 | SUBSTANCIAL | Governança | 3 |

> **⚠️ Ação necessária:** 15.2, 15.3, 15.4 requerem elaboração de política formal de gestão de provedores pela Administração. Governança apoia com evidências, mas não substitui o ato normativo.

#### Controle 16 — Segurança de Aplicações

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 16.1 | Processo de desenvolvimento seguro | 3 | PARCIAL | Segurança | 3 |
| 16.2 | Processo para vulnerabilidades em aplicações | 2 | SUBSTANCIAL | Segurança | 3 |
| 16.3 | Análise de causa raiz | 4 | — | OK | 4 |
| 16.4 | Inventário de componentes de software de terceiros | 2 | SUBSTANCIAL | Governança+Operação | 3 |
| 16.5 | Uso de componentes atualizados e confiáveis | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 16.6 | Classificação de severidade de vulnerabilidades | 4 | — | OK | 4 |
| 16.7 | Modelos de configuração padrão para dev | 1 | SUBSTANCIAL | Segurança | 3 |
| 16.8 | Separação de ambientes prod/não-prod | 3 | SUBSTANCIAL | Operação+Segurança | 4 |
| 16.9 | Treinamento de desenvolvedores em segurança | 2 | NÃO | Adm | 2 |
| 16.10 | Design seguro em arquiteturas | 3 | SUBSTANCIAL | Segurança | 4 |
| 16.11 | Reutilização de módulos validados | 2 | PARCIAL | Segurança | 2 |
| 16.12 | Verificações de segurança em código (SAST) | 3 | PARCIAL | Segurança | 3 |
| 16.13 | Pentest de aplicações | 2 | TOTAL | Segurança | 4 |
| 16.14 | Modelagem de ameaças | 1 | SUBSTANCIAL | Segurança | 3 |

#### Controle 17 — Gestão de Incidentes

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 17.1 | Responsável por gestão de incidentes | ✅ OK | — | Adm | OK |
| 17.2 | Contatos para notificação de incidentes | 1 | TOTAL | Segurança+Governança | 3 |
| 17.3 | Processo de notificação de incidentes | 1 | TOTAL | Segurança+Governança | 3 |
| 17.4 | Processo de gestão de incidentes de SI | 2 | TOTAL | Segurança+Governança | 4 |
| 17.5 | Funções e responsabilidades em incidentes | 3 | TOTAL | Segurança+Governança | 4 |
| 17.6 | Mecanismos de comunicação durante incidentes | 2 | TOTAL | Governança+Segurança | 4 |
| 17.7 | Exercícios de tratamento de incidentes | 1 | TOTAL | Segurança | 3 |
| 17.8 | Análises pós-incidente | 2 | TOTAL | Segurança+Governança | 4 |
| 17.9 | Diferenciação entre evento e incidente | 2 | TOTAL | Segurança (SOC) | 3 |

> **Controle 17 é integralmente coberto pelo modelo.** Segurança (SOC, resposta a incidentes, simulados) + Governança (ITSM, sala de crise, relatórios pós-incidente) cobrem todas as medidas deste controle.

#### Controle 18 — Testes de Intrusão

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 18.1 | Programa de pentest | 1 | TOTAL | Segurança | 3 |
| 18.2 | Pentests externos periódicos | 1 | TOTAL | Segurança | 3 |
| 18.3 | Correção de resultados de pentest | 1 | TOTAL | Operação+Segurança | 3 |
| 18.4 | Validação de medidas de segurança | 1 | TOTAL | Segurança | 3 |
| 18.5 | Pentests internos periódicos | 1 | TOTAL | Segurança | 3 |

> **Controle 18 é integralmente coberto pelo contrato Segurança.** Todo o programa de pentest (interno, externo, correção e validação) é obrigação contratual do C3.

---

### 3.3 Segmento de Privacidade — LGPD (Controles 19–25)

| Medida | Descrição | Nível Atual | Cobertura | Contrato | Nível Esperado |
|---|---|---|---|---|---|
| 19.1 | Processo de registro de operações de tratamento | 5 | — | OK | 5 |
| 19.2 | Fluxo de dados no registro de operações | 2 | PARCIAL | Governança | 3 |
| 19.3 | Medidas de segurança no registro de operações | 2 | SUBSTANCIAL | Segurança+Governança | 3 |
| 19.4 | Riscos no registro de operações | 2 | SUBSTANCIAL | Segurança+Governança | 3 |
| 20.1 | Gestão de incidentes com dados pessoais | 5 | — | OK | 5 |
| 20.2 | Programa de conscientização em privacidade | 5 | — | OK | 5 |
| 20.3 | Capacitação em privacidade e proteção de dados | 5 | — | OK | 5 |
| 20.4 | Privacy by design | 1 | PARCIAL | Segurança | 2 |
| 21.1 | Meios para o encarregado exercer atividades | 5 | — | OK | 5 |
| 21.2 | Meios para viabilizar direitos dos titulares | 5 | — | OK | 5 |
| 21.3 | Processo de atendimento aos titulares | 5 | — | OK | 5 |
| 21.4 | Divulgação pública da identidade do encarregado | ✅ OK | — | Adm | OK |
| 21.5 | Assistência do encarregado em operações | 5 | — | OK | 5 |
| 21.6 | Revisão de decisões automatizadas | 2 | NÃO | Adm | 2 |
| 22.1 | Papéis de proteção de dados em contratos | 5 | — | OK | 5 |
| 22.2 | Avaliação de agentes de tratamento | 1 | SUBSTANCIAL | Governança | 3 |
| 22.3 | Encerramento seguro de contrato com dados pessoais | 2 | SUBSTANCIAL | Governança | 3 |
| 22.4 | Cláusulas protetivas em contratos | 5 | — | OK | 5 |
| 23.1 | Tratamento para finalidade legítima | 2 | NÃO | Adm | 2 |
| 23.2 | Conformidade com hipóteses de tratamento (LGPD) | 2 | NÃO | Adm | 2 |
| 23.3 | Relatório de Impacto (RIPD) | 1 | PARCIAL | Governança | 2 |
| 23.4 | Dados em estudos de saúde pública | N/A | — | N/A | N/A |
| 23.5 | Dados de crianças/adolescentes | N/A | — | N/A | N/A |
| 23.6 | Anonimização de dados pessoais | 2 | SUBSTANCIAL | Segurança | 3 |
| 23.7 | Término e eliminação de dados pessoais | 2 | SUBSTANCIAL | Operação+Segurança | 3 |
| 24.1 | Interoperabilidade de dados | 5 | — | OK | 5 |
| 24.2 | Compartilhamento com outros órgãos | 5 | — | OK | 5 |
| 24.3 | Informar ANPD sobre compartilhamento | 1 | NÃO | Adm | 1 |
| 24.4 | Comunicar agentes sobre incidentes | 1 | NÃO | Adm | 1 |
| 24.5 | Regras de transferência internacional | 1 | NÃO | Adm | 1 |
| 25.1 | Tratamento para propósitos legítimos (finalidade) | 1 | NÃO | Adm | 1 |
| 25.2 | Tratamento compatível com finalidades (adequação) | 1 | NÃO | Adm | 1 |
| 25.3 | Apenas dados necessários (necessidade) | 1 | NÃO | Adm | 1 |
| 25.4 | Consulta facilitada e gratuita aos titulares | 5 | — | OK | 5 |
| 25.5 | Exatidão e atualização dos dados | 2 | NÃO | Adm | 2 |
| 25.6 | Informações claras sobre tratamento (transparência) | 1 | NÃO | Adm | 1 |
| 25.7 | Medidas técnicas de proteção de dados pessoais | 2 | TOTAL | Segurança | 4 |
| 25.8 | Prevenção de danos no tratamento | 1 | SUBSTANCIAL | Segurança+Governança | 3 |
| 25.9 | Tratamento não discriminatório | 1 | NÃO | Adm | 1 |
| 25.10 | Responsabilização e prestação de contas | 1 | SUBSTANCIAL | Governança | 3 |

> **⚠️ Observação sobre o segmento de privacidade:** A maioria das medidas não cobertas pelo modelo (25.1 a 25.3, 25.5, 25.6, 25.9, 24.3 a 24.5) são **obrigações jurídicas e de governança** da LGPD, de responsabilidade exclusiva da Administração. O modelo **não pode substituí-las**, mas o Governança (conformidade PPSI/LGPD) fornece o suporte de evidências, controle e monitoramento necessário para que o órgão as execute.

---

## 4. Controles completamente cobertos pelo modelo

Os controles abaixo são **integralmente endereçados** pela combinação dos 3 contratos, elevando todas as medidas para nível ≥ 3 sem necessidade de ação adicional do órgão além da contratação:

| Controle | Descrição | Contrato Principal |
|---|---|---|
| **11** | Recuperação de dados (backup, restore, DRP) | Segurança |
| **13 (parcial)** | Monitoramento e defesa da rede (exceto 13.9 — NAC) | Segurança |
| **17** | Gestão de incidentes de segurança | Segurança+Governança |
| **18** | Testes de intrusão (pentest) | Segurança |
| **0.14** | Continuidade de negócios em SI | Segurança+Governança |
| **0.15** | Gestão de mudanças em SI | Governança |
| **0.16** | Avaliação de conformidade em SI | Governança |

---

## 5. Ações necessárias fora do alcance do modelo

As medidas abaixo **não são cobríveis pelos contratos** e requerem ação direta da Administração:

| # | Medida | Ação necessária |
|---|---|---|
| 1 | 0.3 — Gestor de SI nomeado | Ato formal de nomeação |
| 2 | 14.4, 14.5, 14.7, 14.8 — Conscientização | Programa interno de cultura de SI |
| 3 | 15.2–15.4 — Política de provedores | Elaboração de política formal |
| 4 | 16.9 — Treinamento de desenvolvedores | Programa da equipe de desenvolvimento |
| 5 | 21.6 — Revisão de decisões automatizadas | Processo interno do órgão |
| 6 | 23.1–23.2 — Bases legais LGPD | Análise jurídica das operações de tratamento |
| 7 | 24.3–24.5 — Comunicação e transferência LGPD | Obrigações legais diretas perante a ANPD |
| 8 | 25.1–25.3, 25.5–25.6, 25.9 — Princípios LGPD | Governança de dados pelo órgão |

---

## 6. Conclusão

O **Central de Serviços de TI (três contratos integrados — C1/C2/C3)** demonstra capacidade de endereçar a grande maioria dos requisitos técnicos e operacionais do PPSI, com destaque para:

- **Segurança** como o principal habilitador dos controles de segurança técnica (SOC, SIEM, EDR/XDR, IAM, PAM, backup, DRP, pentest, WAF, resposta a incidentes).
- **Governança** como habilitador dos controles de governança, conformidade, evidência, gestão de mudanças e continuidade.
- **Operação** como executor das correções técnicas, mantendo a separação de responsabilidades essencial ao modelo.

O modelo é **insuficiente apenas para medidas que são, por natureza, decisões de governança, jurídicas ou culturais** do órgão — que representam 9% do total de medidas analisadas.

Para os 18 requisitos fora do alcance do modelo, recomenda-se que a contratação do Governança inclua o apoio formal ao órgão na elaboração dos documentos e processos correspondentes, reduzindo o esforço necessário da Administração.