Papéis e Responsabilidades Organizacionais

Estrutura e Escopo

O SbD-ToE define 13 papéis organizacionais com responsabilidades específicas ligadas aos capítulos técnicos e às obrigações regulatórias (NIS2, DORA, GDPR). Cada papel é documentado com User Stories mapeadas aos capítulos onde intervêm.

Princípios de Atribuição

Atividades Existentes, Formalizadas

As atividades prescritas no SbD-ToE formalizam processos que já existem:

• Correcção de vulnerabilidades → papel Developer
• Validação de critérios de segurança → papel QA
• Priorização de requisitos de segurança → papel Product Owner
• Pipelines com controlos de segurança → papel DevOps

O manual tipifica estas atividades para rastreabilidade e conformidade regulatória.

Flexibilidade Estrutural

A atribuição de papéis varia por organização. Múltiplos papéis podem concentrar-se numa pessoa, ou distribuir-se por equipas especializadas. O SbD-ToE exige execução das atividades; não prescreve estrutura organizacional.

---

Os 13 Roles

📋 Roles Cobertos

Cada role tem o seu próprio documento detalhado com:

• Descrição do papel e responsabilidades gerais
• Atividades específicas por capítulo do manual
• Enquadramento regulatório (NIS2, DORA, GDPR, AI Act)
• Referências aos lifecycles onde essas atividades são detalhadas

Roles técnicos:

• Developer
• Quality Assurance (QA)
• DevOps / SRE
• AppSec Engineer
• Arquitetos de Software
• Operações (Ops)

Roles de produto e gestão:

• Product Owner
• Scrum Master / Team Lead
• Gestão Executiva

Roles de segurança e governance:

• Security Champion
• GRC / Compliance

Terceiros:

• Fornecedores / Terceiros
• Auditores

Cada Papel Inclui

• Responsabilidade primária e âmbito de atuação
• Enquadramento regulatório (NIS2, DORA, GDPR, ISO, NIST)
• User Stories por capítulo
• Links aos capítulos técnicos
• Métricas de cobertura

---