Catálogo canónico de requisitos de segurança estruturais e de design (ARC-001 a ARC-013), organizados por nível de risco, com critérios de aceitação para revisão de arquitectura, ADRs e auditorias técnicas.
Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.
Catálogo canónico de requisitos de classificação de criticidade aplicacional (CLA-001 a CLA-008), com aplicabilidade por nível de risco e critérios de aceitação para classificação formal, reclassificação, risco residual e proporcionalidade de controlos.
Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.
Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.
Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.
Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Catálogo canónico de requisitos de formação e onboarding de segurança (TRN-001 a TRN-009), com aplicabilidade por nível de risco e critérios de aceitação para trilhos formativos, onboarding verificável, Security Champions e eficácia formativa.
Catálogo canónico de requisitos de governação organizacional de segurança (GOV-001 a GOV-012), com aplicabilidade por nível de risco e critérios de aceitação para ownership, excepções, contratação, rastreabilidade, validação contínua e maturidade.
Catálogo canónico de requisitos de segurança para projectos IaC (IAC-001 a IAC-013), organizados por nível de risco, com critérios de aceitação para governação de repositórios, pipelines, estado, módulos e drift de configuração.
Catálogo canónico de requisitos do programa de monitorização e operações de segurança (OPS-001 a OPS-010), com aplicabilidade por nível de risco e critérios de aceitação para logging centralizado, eventos críticos, retenção, SIEM, alertas, SLA de resposta, correlação, integração com IRP, detecção comportamental e métricas de eficácia.
Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.
Catálogo canónico de requisitos de threat modeling (THR-001 a THR-007), com aplicabilidade por nível de risco e critérios de aceitação para identificação de ameaças, disposição formal, derivação de requisitos e rastreabilidade metodológica.