Política organizacional que define o processo formal de revisão e aprovação de planos de execução de IaC (terraform plan ou equivalente) antes de qualquer apply em ambientes de staging ou produção, incluindo separação de funções, assinatura de planos, dupla aprovação e janelas de execução, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de segurança para a definição, validação, execução e manutenção de Infraestrutura como Código (IaC), incluindo scanning de configurações, policy-as-code, separação de ambientes, controlo de drift, módulos aprovados e assinatura de planos, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.