Política organizacional que define os requisitos de segurança para a construção, scanning, assinatura, configuração de runtime e gestão de imagens de container, incluindo hardening de securityContext, policies de admissão em Kubernetes, isolamento de rede e monitorização de runtime, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para o armazenamento, injeção, rotação, auditoria e revogação de segredos (chaves, tokens, credenciais, certificados) em aplicações, pipelines CI/CD, containers e infraestrutura, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a criação, aprovação, versionamento semântico, patching, depreciação e revogação de imagens base de container aprovadas pela organização (Golden Base Images), incluindo SLAs de patching por criticidade e gestão do catálogo interno, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).