SDR — C3: Conformidade aplicada (PPSI/LGPD, criptografia, conscientização)

Página estática gerada a partir do Markdown do repositório — o texto abaixo já vem no HTML (adequado a importação por URL em ferramentas que não executam o ver-md.html). Arquivo: sdr-0016f-c3-conformidade-aplicada.md

Baixar o .mdAbrir no visualizador MarkdownCatálogo de SDRsInício do site

Fonte: SDRs/sdr-0016f-c3-conformidade-aplicada.md

SDR — C3: Conformidade aplicada (PPSI/LGPD, criptografia, conscientização)

Eixo: Modelo de Servicos (Modelo de Servicos | Arquitetura Contratual | Ambos)

Campo Valor
Pai sdr-0016-seguranca-c3-continuidades.md
SSoT Sim — dono do recorte conformidade técnica PPSI/LGPD (não substitui DPO nem decisão jurídica)
Estado âncora

1. Finalidade

Definir regras construtíveis do C3 para criptografia, conscientização/capacitação (apoio técnico), retenção de log e trilhas de auditoria, alinhadas ao PPSI, às NCs DSIC/GSIPR e à IN GSI/PR nº 3/2021 (avaliação de conformidade — papel de insumo para C1).

2. Instrumentos de governo (prioridade)

  • PPSI — medidas 0.16 (avaliação de conformidade em SI); 14.1, 14.9 (conscientização e capacitação); 3.6, 3.9, 3.10, 3.11 (criptografia); 8.1 (logs).
  • IN GSI/PR nº 3/2021Capítulo VI (avaliação de conformidade nos aspectos de SI — arts. 39–43).
  • NC nº 09/IN01/DSIC/GSIPR — criptografia (endpoint, mídia, trânsito, repouso).
  • NC nº 17/IN01/DSIC/GSIPR — capacitação.
  • NC nº 18/IN01/DSIC/GSIPR — conscientização.
  • NC nº 21/IN01/DSIC/GSIPR — logs de auditoria.

Padrões de mercado (complemento): ISO/IEC 27001/27002; NIST Cybersecurity Framework.

3. Regras canônicas (recorte)

  • C1 opera o processo de avaliação de conformidade e evidência; C3 fornece artefatos técnicos (configuração, hardening, relatórios de scan, dashboards).
  • Criptografia: políticas técnicas e validação em C3; implementação em C2.
  • Conscientização: C3 desenha conteúdo técnico e phishing sim; execução de campanha pode ser C2 ou órgão — conforme TR.
  • Retenção de log compatível com LGPD e NC 21; classificação de dado com apoio ao DPO.

4. Itens PPSI endereçados (amostra)

Medida Descrição curta C1 C2 C3
0.16 Avaliação de conformidade em SI Plano, relatório Evidência operacional Achados técnicos
14.1 / 14.9 Conscientização / capacitação Métricas Execução (se contratada) Conteúdo, simulação
3.6–3.11 Criptografia Ateste Implementação Política, validação
8.1 Logs de auditoria Retenção, IMR Coleta Requisitos técnicos

Ligações

Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.

Agente Regra Cursor Norma em SDRs/governance/rules/
Verificador de conformidade SDR sdr-conformity-checker.mdc sdr-conformity-checker.md
Detector de implementação sem vínculo SDR implementation-without-sdr-detector.mdc implementation-without-sdr-detector.md
Anti-vibecoding sem SDR no-vibecoding-without-sdr.mdc no-vibecoding-without-sdr.md

Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).