Pular para o conteúdo principal

Política de Rastreabilidade e Auditoria

1. Objetivo

Esta política define os requisitos transversais de rastreabilidade e auditoria que devem ser satisfeitos ao longo de todo o ciclo de vida de cada aplicação.

Rastreabilidade é a capacidade de reconstituir, a qualquer momento, a cadeia de decisões, evidências e artefactos que suportam a postura de segurança de uma aplicação - desde os requisitos definidos até ao código em produção, passando pelas validações executadas, as exceções aprovadas e os eventos operacionais registados.

Sem rastreabilidade efetiva:

  • Auditorias de segurança tornam-se exercícios de reconstrução especulativa
  • A investigação de incidentes perde rigor e alcance
  • A conformidade regulatória não pode ser demonstrada de forma objetiva
  • Decisões de risco ficam sem evidência associada

Esta política é transversal - aplica-se a todos os domínios do manual SbD-ToE onde exista produção de evidências, aprovações, artefactos ou eventos auditáveis.

2. Âmbito

Esta política cobre as seguintes dimensões de rastreabilidade:

DimensãoDescriçãoCapítulos
RequisitosRastreabilidade entre requisitos de segurança, trabalho no backlog e evidências de validaçãoCap. 02
Código e pipelineRastreabilidade commit → build → pipeline → release → deployCap. 07
ArtefactosProveniência e integridade de artefactos de build (SBOM, assinaturas, SCA)Cap. 05, 07, 09
InfraestruturaRastreabilidade ficheiro IaC → recurso → ambienteCap. 08
Evidências de validaçãoArquivo de relatórios SAST, DAST, fuzzing, SCA, exceçõesCap. 06, 10
Eventos operacionaisLogs estruturados com integridade garantida, correlacionáveis com incidentesCap. 12
Decisões de segurançaAprovações, exceções, aceitações de risco, resultados de threat modelingCap. 01, 03, 14
Conformidade regulatóriaMapeamento entre controlos técnicos e requisitos normativosCap. 12, 14

3. Princípios fundamentais

  • Rastreabilidade bidirecional - deve ser possível navegar do requisito ao código e do código ao requisito
  • Evidência executável - relatórios produzidos por execução real, nunca por declaração manual sem suporte técnico
  • Imutabilidade - evidências de auditoria não devem ser alteráveis após produção; armazenamento WORM recomendado em L2/L3
  • Correlação - eventos de fontes distintas (commit, pipeline, log, incidente) devem ser correlacionáveis por identificadores comuns
  • Proporcionalidade - o nível de detalhe e formalismo escala com o nível de criticidade da aplicação

4. Rastreabilidade de requisitos (Cap. 02)

4.1 Requisitos por nível

PráticaL1L2L3
Requisitos de segurança no backlog com tagsRecomendadoObrigatórioObrigatório
Referência cruzada requisito → validaçãoRecomendadoObrigatórioObrigatório
Relatório de rastreabilidade exportávelOpcionalRecomendadoObrigatório
Revisão independente de rastreabilidadeNão aplicávelRecomendadoObrigatório

4.2 Requisitos mínimos

  • Todos os requisitos de segurança aplicáveis identificados com taxonomia rastreável (ex: SEC-L2-AUT-001)
  • Cada requisito ligado a pelo menos um item de backlog, PR ou tarefa técnica
  • Evidência de validação (teste, revisão, relatório) associada a cada requisito aplicado
  • Exceções a requisitos registadas formalmente com referência ao requisito excecionado

5. Rastreabilidade de código e pipeline (Cap. 07)

5.1 Cadeia obrigatória

A rastreabilidade deve cobrir a cadeia completa:

commit SHA → execução de pipeline → artefacto produzido → release tag → deployment

5.2 Requisitos por nível

ElementoL1L2L3
Commit SHA associado ao artefactoRecomendadoObrigatórioObrigatório
Logs de pipeline retidosBásicoObrigatório (90 dias)Obrigatório (1 ano)
Resultados de scanners correlacionados com commitOpcionalObrigatórioObrigatório
Export imutável de logs de pipelineNão aplicávelRecomendadoObrigatório
Não-repúdio de promoções irreversíveisNão aplicávelRecomendadoObrigatório

5.3 Requisitos mínimos

  • ID de correlação único por execução de pipeline
  • Relatórios de segurança (SAST, DAST, SCA) arquivados como artefactos do pipeline com referência ao commit
  • Logs de pipeline retidos conforme tabela acima
  • Promoções a produção associadas a aprovação humana rastreável (nome, timestamp, contexto)

6. Rastreabilidade de artefactos (Cap. 05, 07, 09)

6.1 Requisitos por nível

ElementoL1L2L3
SBOM gerado por buildRecomendadoObrigatórioObrigatório
Assinatura de artefactoNão aplicávelObrigatórioObrigatório
Proveniência registada (who/when/how)Não aplicávelObrigatórioObrigatório
Verificação de assinatura no deployNão aplicávelObrigatórioObrigatório
Digest-only para imagens de containerRecomendadoObrigatórioObrigatório

6.2 Requisitos mínimos

  • SBOM em formato CycloneDX ou SPDX, gerado automaticamente por build e arquivado
  • Artefactos de release assinados com chave gerida e rotacionada periodicamente
  • Metadados de proveniência (quem construiu, quando, a partir de que commit) associados ao artefacto

7. Rastreabilidade de infraestrutura (Cap. 08)

7.1 Requisitos mínimos

  • Cada ficheiro IaC rastreável ao recurso que provisiona e ao ambiente em que foi aplicado
  • Histórico de plan e apply retido e auditável
  • Alterações de infraestrutura associadas a PR com revisão documentada
  • Drift detetado e registado com referência ao estado esperado

8. Arquivo de evidências de validação (Cap. 06, 10)

8.1 Requisitos por nível

EvidênciaL1L2L3
Relatórios SAST arquivadosRecomendadoObrigatórioObrigatório
Relatórios DAST arquivadosOpcionalObrigatórioObrigatório
Relatórios SCA arquivadosRecomendadoObrigatórioObrigatório
Relatórios de fuzzing arquivadosOpcionalObrigatórioObrigatório
Armazenamento WORM ou equivalenteNão aplicávelRecomendadoObrigatório
Índice de evidências por aplicação/releaseOpcionalRecomendadoObrigatório

8.2 Requisitos mínimos

  • Repositório de evidências definido, com controlo de acesso adequado
  • Export automático por build/release para o repositório de evidências
  • Evidências retidas conforme prazos de retenção definidos (ver secção 10)
  • Evidências não alteráveis após arquivo (WORM ou equivalente em L2/L3)

9. Rastreabilidade de eventos operacionais (Cap. 12)

9.1 Requisitos mínimos

  • Logs em formato estruturado (JSON ou equivalente) com campos mínimos: timestamp, nível, evento, origem, contexto
  • Identificador de correlação (request_id ou equivalente) propagado em todos os logs do mesmo fluxo
  • Logs enviados para sistema centralizado (L2/L3)
  • Acesso a logs restrito e auditado - sem acesso direto por funções de produção
  • Integridade de logs verificável (hash ou assinatura) em L2/L3
  • Retenção WORM ativada no armazenamento em L3

10. Prazos de retenção mínimos

Tipo de evidênciaL1L2L3
Logs de aplicação30 dias90 dias1 ano
Logs de pipeline CI/CD30 dias90 dias1 ano
Relatórios de segurança (SAST/DAST/SCA)30 dias90 dias1 ano
Artefactos de build e SBOMPor release1 ano2 anos
Registos de aprovações e exceções1 ano2 anos3 anos
Registos de classificação e reavaliação2 anos3 anos5 anos
observação

Em contextos regulados (RGPD, DORA, NIS2, saúde, financeiro), os prazos de retenção podem ser superiores aos definidos nesta tabela. Prevalecem sempre os requisitos regulatórios aplicáveis.

11. Rastreabilidade de decisões de segurança

As seguintes decisões devem ser sempre registadas com rastreabilidade completa:

DecisãoElementos mínimos do registo
Aprovação de exceçãoQuem aprovou, quando, para que controlo, com que prazo
Aceitação de risco residualQuem aprovou, severidade, mitigação, TTL
Override de gate de pipelineQuem autorizou, contexto, timestamp
Alteração de nível de classificaçãoQuem decidiu, justificação, data
Aprovação de releaseQuem aprovou, checklist executada, findings em aberto
Resultado de threat modelingAmeaças identificadas, decisões de mitigação ou aceitação, aprovação

12. Responsabilidades

RoleResponsabilidade
Developer / Tech LeadGarantir tags de rastreabilidade no backlog e PRs; produzir evidências de validação
DevOps / SREConfigurar arquivo automático de artefactos e logs; garantir retenção e imutabilidade
AppSec EngineerVerificar completude da rastreabilidade em revisões de segurança e auditorias
GRC / ComplianceManter o índice centralizado de evidências; emitir relatórios de conformidade
CISOSupervisionar o programa de rastreabilidade; garantir alinhamento com requisitos regulatórios

13. Revisão e auditoria desta política

Esta política deve ser revista anualmente ou após qualquer um dos seguintes eventos:

  • Incidente em que a ausência de rastreabilidade dificultou a investigação
  • Alteração regulatória com impacto nos prazos de retenção ou requisitos de evidência
  • Alteração significativa da arquitetura de pipeline ou de logging

O índice de evidências e os logs de auditoria devem ser disponibilizados integralmente em auditorias internas e externas.

14. Referências normativas e técnicas

ReferênciaRelevância
SbD-ToE Cap. 02 - Requisitos de SegurançaRastreabilidade requisito → controlo → validação
SbD-ToE Cap. 06 - Desenvolvimento SeguroArquivo central de evidências de validação
SbD-ToE Cap. 07 - CI/CD SeguroRastreabilidade commit → pipeline → release
SbD-ToE Cap. 08 - IaC e InfraestruturaRastreabilidade ficheiro → recurso → ambiente
SbD-ToE Cap. 09 - Containers e ImagensProveniência e assinatura de imagens
SbD-ToE Cap. 12 - Monitorização e OperaçõesIntegridade e retenção de logs
SbD-ToE Cap. 14 - Governança e ContrataçãoRastreabilidade organizacional e conformidade
ISO/IEC 27001 - Cláusula 9.1Monitorização, medição, análise e avaliação
NIST SP 800-92Guide to Computer Security Log Management
SSDF PW.8Archive and protect each software release
NIS2 - Artigo 21Obrigações de registo e notificação
DORA - Artigo 10Rastreabilidade de eventos e logs