Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.
Especificidades da gestão de excepções no contexto de deploy seguro - emergency deploy, break glass e desvios a gates de promoção
Política organizacional que define o processo formal de revisão e aprovação de planos de execução de IaC (terraform plan ou equivalente) antes de qualquer apply em ambientes de staging ou produção, incluindo separação de funções, assinatura de planos, dupla aprovação e janelas de execução, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define o processo formal de decisão go/no-go para releases de software, incluindo alçadas de aprovação por nível de criticidade, separação entre sinal automático e decisão humana, aceitação formal de risco residual e registo de evidências, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional que define os requisitos para a aprovação formal de releases de software, incluindo checklist de segurança pré-release, gate automático de conformidade, critérios go/no-go, artefacto imutável de decisão e rastreabilidade ponta-a-ponta commit→pipeline→release, proporcional ao nível de criticidade (L1, L2, L3).
Processo formal, transversal e autoritário de gestão de excepções a requisitos e controlos de segurança no SbD-ToE