Fonte: SDRs/sdr-0011d-c1-ppsi-medido-pelo-c1.md
SDR — C1-GOV: controles PPSI medidos e atestados pelo C1
Eixo:
Ambos(Modelo de Serviços | Arquitetura Contratual | Ambos)
| Campo | Valor |
|---|---|
| Pai | sdr-0011-governanca-c1-medicao.md |
| SSoT | Sim — dono do recorte PPSI/GSI sob medição/ateste C1; o mapa trilateral PPSI × C1/C2/C3 permanece em sdr-0014a |
| Status | Em validação |
1. Finalidade
Especificar, como sub-SDR de sdr-0011, os controles do PPSI (e instrumentos correlatos do GSI/PR e da DSIC) cuja medição e ateste ficam sob responsabilidade do C1-GOV, sem duplicar o mapa trilateral canônico que vive em sdr-0014a. A regra é: C2-OPR executa; C3-SEC desenha e valida; C1-GOV mede e atesta o que pode ser medido com evidência consultável e nexo ao contrato.
2. Regra de leitura
- O PPSI é a base central de referência. O C1-GOV mede o que dá para medir (com evidência observável em ITSM, CMDB, painéis e SIEM/EDR pactuados pelo C3-SEC) e atesta com base nessa evidência.
- O C1-GOV não desenha controle (papel do C3-SEC) e não executa controle (papel do C2-OPR); recebe e consolida.
- Onde houver lacuna (sem NC DSIC aplicável, sem evidência produzida por C2-OPR/C3-SEC, sem fonte estável), o C1-GOV declara o ponto cego no painel — é melhor que fingir conformidade.
- Citação no TR/ANS do C1-GOV: (1) PPSI medido no período; (2) IN/NC GSI/DSIC aplicáveis (ex.: IN nº 3/2021 — Cap. VI, avaliação de conformidade em SI); (3) boas práticas de mercado como reforço, não substituto.
3. Controles PPSI tipicamente sob medição/ateste C1-GOV
| Controle | Tema | O que C1-GOV mede e atesta (exemplos) |
|---|---|---|
| 0.13 | Gestão de riscos de SI | Existência e atualização de relatório de risco; gatilhos de trava trilateral por risco não tratado |
| 0.16 | Avaliação de conformidade em SI | Evidência de avaliação periódica; cobertura por contrato; ações pós-avaliação |
| 17.4 | Processo de gestão de incidentes | Tempos no ITSM (primeiro reconhecimento, contenção, comunicação à Administração) — IMR |
| 17.6 | Comunicação durante incidente | Linha do tempo registrada; comunicação à Administração no prazo da matriz |
| 17.8 | Análises pós-incidente (RPI) | RPI no prazo; ações de melhoria com responsável e prazo, acompanhadas mês a mês |
(Lista exemplificativa; o conjunto completo e as classificações TOTAL/SUBSTANCIAL/PARCIAL/NÃO/OK vivem em sdr-0014a e na analise-cobertura-ppsi.md. Não duplicar a tabela medida a medida aqui.)
4. Outros controles em que o C1-GOV mede aderência (em parceria com C3-SEC e C2-OPR)
- Controle 1 (Inventário) — evidência consolidada no CMDB, com reconciliação cruzada (C2-OPR opera o inventário operacional; C3-SEC faz descoberta/reconciliação; C1-GOV ateste).
- Controle 7 (Vulnerabilidades) — SLA por classe; glosa quando vencer sem aceite formal.
- Controle 8 (Registro e auditoria) — retenção, integridade e cobertura de log; ponto cego declarado.
- Controle 11 (Recuperação) — RTO/RPO medidos contra resultado real de teste de DR.
- Controle 14 (Conscientização) — métricas de adesão a campanhas e simulações.
Mapa detalhado dos papéis (C1/C2/C3) por controle: sdr-0014a §4.
5. Evidência mínima exigida pelo C1-GOV
Para cada controle medido, o C1-GOV exige:
- Fonte (ITSM, CMDB, SIEM, painel, ferramenta de mudança, relatório de teste de backup);
- Periodicidade (em tempo real, diária, mensal, trimestral, anual);
- Responsável (contratante, C2-OPR, C3-SEC);
- Canal (formato, repositório, retenção);
- Trilha (quem viu, quem decidiu, quando).
Texto canônico do princípio “evidência mínima” em sdr-0002. Aqui se aplica ao recorte PPSI.
6. Vedações
- C1-GOV não desenha controle nem executa — papéis do C3-SEC e do C2-OPR, respectivamente.
- C1-GOV não decide aceite de risco; instrui pauta para a Administração.
- C1-GOV não “preenche lacuna” inventando evidência — declara ponto cego.
7. Regras para agentes
- Em texto novo sobre PPSI/GSI/DSIC, manter a divisão de papéis: desenha (C3) → executa (C2) → mede (C1) → decide (Adm).
- Sempre remeter ao mapa trilateral sdr-0014a em vez de duplicar tabelas.
- Citar GSI/DSIC quando aplicável; declarar
LACUNA-GSI-DSICse o tópico não tiver NC vigente — ver sdr-0015a.
8. Consumidores
- sdr-0011 (hub),
- sdr-0014 (PPSI/LGPD geral),
- sdr-0014a (mapa trilateral),
- TR C1-GOV, ANS, painéis institucionais, analise-cobertura-ppsi.md.
9. Ligações
- sdr-0014-ppsi-lgpd-conformidade.md
- sdr-0014a-ppsi-mapeamento-trilateral.md
- sdr-0015-rastreabilidade-normativa.md
- sdr-0015a-catalogo-gsi-dsic.md
- sdr-0016-seguranca-c3-continuidades.md
- sdr-0011a-c1-itsm-cmdb-noc-medicao.md
- sdr-0011b-c1-ciclo-mensal-ateste.md
- sdr-0011c-c1-trilateralidade-cobranca-mutua.md
Agentes de conformidade (Cursor)
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).