Fonte: SDRs/sdr-0014a-ppsi-mapeamento-trilateral.md
SDR — PPSI: mapeamento trilateral (C1 / C2 / C3)
Eixo:
Modelo de Servicos(Modelo de Servicos | Arquitetura Contratual | Ambos)
| Campo | Valor |
|---|---|
| Pai | sdr-0014-ppsi-lgpd-conformidade.md |
| SSoT | Sim — dono do mapa PPSI × contratos (C1, C2, C3, Adm) no âmbito SDR |
| Estado | âncora; consumidor narrativo: analise-cobertura-ppsi.md |
1. Finalidade
Fixar, como fonte única entre SDRs, como o PPSI (Programa de Promoção da Segurança da Informação — três segmentos, 210 medidas) se distribui entre Governança (C1), Operação (C2) e Segurança (C3), e o que permanece indelegável da Administração (Adm). O PPSI é a base central de referência do projeto; este arquivo é o ponto de entrada normativo do mapeamento.
2. Regra de leitura
- C1 — medição, ITSM, CMDB, evidência, fiscalização, conformidade, sala de crise e comunicação operacional de incidente (sem substituir ETIR/SOC).
- C2 — execução operacional: infraestrutura, mudança, disponibilidade, patching, inventário operacional, NOC.
- C3 — postura, proteção, deteção, resposta (incluindo ETIR como equipe institucional; o contrato C3 apoia com SOC, SIEM, playbooks, RPI — ver sdr-0016a).
- Adm — nomeações (ex.: Gestor de SI), comitês, aceite de risco, comunicação institucional, decisões LGPD estritamente jurídicas.
Normas de governo: ver sdr-0015a. Regra de citação: instrumento de governo primeiro, depois padrão de mercado — ver sdr-0015.
3. Taxonomia de cobertura (herdada da análise)
| Classificação | Significado |
|---|---|
| TOTAL | O modelo cobre diretamente o requisito (≥ Nível 3 no PPSI) |
| SUBSTANCIAL | Eleva significativamente; ação mínima complementar do órgão |
| PARCIAL | Contribui; depende de decisão da Administração |
| NÃO | Exclusivo da Administração / jurídico |
| OK | Já ≥ Nível 4 antes do modelo |
Totais agregados (referência): 210 medidas analisadas — ver analise-cobertura-ppsi.md §2. Não duplicar a tabela medida a medida aqui.
4. Resumo por controle PPSI (1 linha por controle — papéis C1/C2/C3)
| Controle | Tema (resumo) | C1 | C2 | C3 |
|---|---|---|---|---|
| 0 (Base) | PGSI, riscos, continuidade SI, mudança SI, conformidade SI | Medição, relatório, trava | — | Postura, risco técnico, DRP, vuln |
| 1 | Inventário de ativos | Evidência, CMDB | Inventário operacional | Descoberta, reconciliação |
| 2 | Software | Catálogo, licenças | Instalação, patch | SBOM, SCA, hardening |
| 3 | Proteção de dados (criptografia) | Ateste | Execução | Política, NC 09 (via 0015a) |
| 4 | Configuração segura | Mudança, auditoria | Baseline, aplicação | Definição, validação |
| 5–6 | Contas e acesso | Evidência ITSM | Provisionamento | IAM, PAM — 0016b |
| 7 | Vulnerabilidades | SLA, glosa | Patch | Priorização — 0016d |
| 8 | Registro e auditoria (logs) | Retenção, IMR | Coleta | SIEM, NC 21 — 0016a |
| 9–10 | E-mail, malware | Métricas | Gateway, endpoint | EDR, análise — 0016a |
| 11 | Recuperação de dados | RTO/RPO medidos | Restore | Backup, DR — 0016c |
| 12–13 | Rede, monitoramento | Indicadores | Operação rede/NOC | Deteção, segmentação — 0016a |
| 14 | Conscientização SI | Métricas | Execução de campanha (se contratada) | Desenho, phishing sim — 0016f |
| 15 | Controle de mídia | Ateste | Destruição, mídia | Classificação |
| 16 | Desenvolvimento seguro | Gate de mudança | Build | SAST/DAST, pentest — 0016e |
| 17 | Gestão de incidentes | ITSM, crise, RPI | Execução técnica | ETIR/SOC, CTIR Gov — 0016a |
| 18 | Testes de intrusão | Evidência contratual | Correção | Pentest — 0016e |
| 19–25 (LGPD) | Privacidade | Gaps, RIPD insumos | Operações de dado | Controles técnicos, incidente com dado pessoal — 0016f |
5. Controles integralmente endereçados (síntese)
Conforme analise-cobertura-ppsi.md §4: controles 11, 17, 18, 0.14, 0.15, 0.16 (e 13 com ressalvas) — combinação C1+C2+C3 eleva medidas para ≥ Nível 3 sem duplicar dono normativo.
6. Fora do alcance do contrato (Adm)
Exemplos: 0.3 (nomeação formal do Gestor de SI — IN GSI/PR nº 1/2020, art. 19); atos de comitê; aceite de risco; comunicação institucional; várias medidas LGPD puramente jurídicas — ver analise-cobertura-ppsi.md §5.
7. Consumidores
- sdr-0011, sdr-0006, sdr-0016 e sub-SDRs
sdr-0016a–f. - sdr-0011d — recorte canônico dos controles PPSI sob medição/ateste C1-GOV; remete a este mapa, não duplica.
- analise-cobertura-ppsi.md — não é dono do mapa; permanece como relatório executivo.
Ligações
- sdr-0014-ppsi-lgpd-conformidade.md
- sdr-0015a-catalogo-gsi-dsic.md
- sdr-0001-arquitetura-tres-contratos.md
Agentes de conformidade (Cursor)
Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).