Política organizacional que define os requisitos para a seleção, tailoring, publicação, versionamento e revisão periódica de guidelines de desenvolvimento seguro por stack tecnológica, incluindo a conversão de regras em configurações automáticas de linters e SAST, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos para a revisão de código como ponto de controlo de segurança, incluindo checklist obrigatória, critérios de aprovação, papéis de reviewer, cobertura mínima e integração com ferramentas automáticas, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para o uso controlado de ferramentas de apoio ao desenvolvimento, incluindo assistentes de IA generativa (GenAI/Copilot), com foco em revisão obrigatória de output, rastreabilidade, validação de licenças e manutenção da responsabilidade humana, proporcional ao nível de criticidade (L1, L2, L3).