| IAC-001 | Backend remoto autenticado com locking ativo para controlo de estado | | ✓ | ✓ | – | SSDF PW.5, Terraform Docs | Evita concorrência, corrupção de estado e drift |
| IAC-002 | Ambientes (dev, staging, prod) segregados e versionados | ✓ | ✓ | ✓ | REQ-004 | CIS 4.5, SSDF PM.2 | Reduz impacto de erro e permite revisão por ambiente |
| IAC-003 | Validações automáticas obrigatórias (syntax, lint, segurança, policy) | ✓ | ✓ | ✓ | REQ-005 | SSDF PS.2, SLSA Build L2 | Garante integridade e bloqueia erro precoce |
| IAC-004 | Módulos reutilizados com origem confiável e versão imutável | | ✓ | ✓ | – | SLSA Source L2 | Mitiga risco de supply chain |
| IAC-005 | Histórico completo com versionamento, tags e releases | ✓ | ✓ | ✓ | REQ-002 | GitOps, SSDF CM.1 | Suporta rollback e auditoria |
| IAC-006 | Convenções formais de naming, tagging e layout de diretórios | | ✓ | ✓ | – | Terraform Best Practices | Facilita automação e revisão |
| IAC-007 | Plan rastreável e aprovado antes de qualquer apply | | ✓ | ✓ | – | SSDF PW.6 | Garante controlo explícito de mudanças |
| IAC-008 | Rastreabilidade ficheiro → recurso → ambiente | | ✓ | ✓ | – | SSDF CM.5 | Permite avaliação de impacto e accountability |
| IAC-009 | Enforcement automático de políticas em pipeline | | | ✓ | – | SSDF PW.5, SLSA L3 | Reduz dependência de revisão manual |
| IAC-010 | Artefactos (plan, apply, manifests) versionados e com hash | | ✓ | ✓ | – | SLSA Provenance, SSDF PW.4 | Garante integridade e evidência |
| IAC-011 | Gestão segura de segredos (sem hardcoding) | ✓ | ✓ | ✓ | REQ-008 | SSDF PW.6 | Previne exfiltração e abuso de credenciais |
| IAC-012 | Deteção automatizada de drift entre IaC e estado real | | ✓ | ✓ | – | SSDF CM.5 | Mantém coerência entre intenção e realidade |
| IAC-013 | Revisão periódica formal de módulos e templates IaC | | | ✓ | – | SAMM AA2.2, SR2.2 | Evita propagação de práticas obsoletas |