Fundamentos do Manual Técnico
Este capítulo estabelece os fundamentos conceptuais e operacionais do Security by Design – Theory of Everything (SbD-ToE).
Define como o manual deve ser lido, aplicado e governado, e clarifica os princípios não negociáveis que orientam todos os capítulos.
O SbD-ToE não é um catálogo de boas práticas nem um guia opcional.
É um modelo prescritivo, proporcional ao risco, baseado em evidência e suportado por mecanismos formais de governação organizacional.
🧭 O que este manual é (e não é)
O SbD-ToE é:
- Um sistema integrado para desenhar, desenvolver, operar e governar software seguro;
- Um modelo onde práticas técnicas, pessoas e decisões organizacionais estão ligadas;
- Um manual aplicável a aplicações, pipelines, infraestrutura, fornecedores e equipas.
O SbD-ToE não é:
- Um conjunto de recomendações facultativas;
- Um manual dependente de ferramentas específicas;
- Um modelo baseado em confiança implícita ou decisões locais não rastreadas.
📚 Estrutura e navegação
Este capítulo funciona como ponto de entrada para os fundamentos do manual:
-
Como Usar o Manual
Guia de leitura e aplicação por perfil (Dev, AppSec, Gestão, Procurement, etc.). -
Papéis e Responsabilidades
Definição clara dos papéis envolvidos, respetivas responsabilidades e alçadas de decisão. -
Baseline Obrigatório
Conjunto mínimo de obrigações técnicas e organizacionais que todas as aplicações devem cumprir, independentemente de tecnologia ou equipa.
🏛️ Princípios fundamentais
Ao longo de todo o manual, aplicam-se os seguintes princípios:
- A segurança não é opcional nem local: práticas não aplicadas requerem decisão formal.
- A automação executa, a governação autoriza: pipelines, ferramentas e processos não substituem responsabilidade organizacional.
- Toda a exceção é explícita, temporária e rastreável.
- O ciclo de vida é completo: formação, onboarding, execução, validação contínua e offboarding fazem parte do modelo.
Estes princípios são operacionalizados nos capítulos organizacionais e técnicos do manual.