Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.
Política organizacional que define o processo formal de decisão go/no-go para releases de software, incluindo alçadas de aprovação por nível de criticidade, separação entre sinal automático e decisão humana, aceitação formal de risco residual e registo de evidências, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos, critérios de execução, gestão de findings e responsabilidades para testes dinâmicos de segurança (DAST) e fuzzing, proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a execução de testes de penetração (PenTesting) ofensivos, incluindo âmbito e autorização formal, modalidades de teste, regras de engajamento, conteúdo mínimo do relatório, processo de remediação e retest, cadência por nível de criticidade e integração com o processo de findings, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a aprovação formal de releases de software, incluindo checklist de segurança pré-release, gate automático de conformidade, critérios go/no-go, artefacto imutável de decisão e rastreabilidade ponta-a-ponta commit→pipeline→release, proporcional ao nível de criticidade (L1, L2, L3).