SDR — C3: IAM, PAM e identidade

Página estática gerada a partir do Markdown do repositório — o texto abaixo já vem no HTML (adequado a importação por URL em ferramentas que não executam o ver-md.html). Arquivo: sdr-0016b-c3-iam-pam-identidade.md

Baixar o .mdAbrir no visualizador MarkdownCatálogo de SDRsInício do site

Fonte: SDRs/sdr-0016b-c3-iam-pam-identidade.md

SDR — C3: IAM, PAM e identidade

Eixo: Modelo de Servicos (Modelo de Servicos | Arquitetura Contratual | Ambos)

Campo Valor
Pai sdr-0016-seguranca-c3-continuidades.md
SSoT Sim — dono do recorte IAM / PAM / MFA / contas privilegiadas
Estado âncora

1. Finalidade

Definir regras construtíveis do C3 para identidade, acesso privilegiado, MFA, JIT/JEA, break-glass, ciclo joiner/mover/leaver e contas de serviço, alinhadas ao PPSI (controles 5 e 6) e à IN GSI/PR nº 1/2020 (contexto institucional).

2. Instrumentos de governo (prioridade)

  • PPSI — controle 5 (gestão de contas) e 6 (gestão de controle de acesso); medida 0.13 (gestão de riscos de SI — pano de fundo).
  • IN GSI/PR nº 1/2020 — arts. 19–20 (Gestor de SI, Comitê de SI); decisões de política de acesso permanecem com a Administração.

LACUNA-GSI-DSIC (detalhe técnico): PAM com sessão gravada, JIT, break-glass automatizado, segredos em cofre — não há NC dedicada no catálogo sdr-0015a. Citar NIST SP 800-63 (IAL/AAL/FAL), NIST SP 800-207 (Zero Trust), CIS Controls 5 e 6.

3. Regras canônicas (recorte)

  • MFA obrigatório em acesso privilegiado e remoto.
  • JIT/JEA com janela mínima e aprovação explícita.
  • Break-glass documentado, auditado em tempo real e revisado a cada uso.
  • Joiner/mover/leaver com SLA e evidência no ITSM.
  • Inventário de contas de serviço; rotação de segredos; sem credencial em código.

4. Itens PPSI endereçados (amostra)

Medida Descrição curta C1 C2 C3
5.x Gestão de contas de usuário Medição, catálogo Provisionamento Política, revisão
6.x Gestão de controle de acesso Ateste Implementação PAM, MFA, segregação
0.13 Riscos de SI (identidade) Relatório, trava Dados operacionais Avaliação técnica

Ligações

Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.

Agente Regra Cursor Norma em SDRs/governance/rules/
Verificador de conformidade SDR sdr-conformity-checker.mdc sdr-conformity-checker.md
Detector de implementação sem vínculo SDR implementation-without-sdr-detector.mdc implementation-without-sdr-detector.md
Anti-vibecoding sem SDR no-vibecoding-without-sdr.mdc no-vibecoding-without-sdr.md

Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).