Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.
Processo de triagem, priorização, rastreio e resolução de vulnerabilidades detetadas nos testes de segurança.
Mecanismos de feedback contínuo dos resultados dos testes de segurança às equipas de desenvolvimento e produto.
Indicadores técnicos e operacionais para avaliação da eficácia do programa de testes de segurança, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Política organizacional que define os requisitos, critérios de execução, gestão de findings e responsabilidades para testes dinâmicos de segurança (DAST) e fuzzing, proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).