Catálogo canónico de requisitos de segurança aplicacional do SbD-ToE, organizado por domínio técnico, com aplicabilidade por nível de risco (L1–L3) e critérios de aceitação mínimos para validação, auditoria e integração em backlogs.
Catálogo canónico de requisitos de segurança estruturais e de design (ARC-001 a ARC-013), organizados por nível de risco, com critérios de aceitação para revisão de arquitectura, ADRs e auditorias técnicas.
Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.
Catálogo canónico de requisitos de classificação de criticidade aplicacional (CLA-001 a CLA-008), com aplicabilidade por nível de risco e critérios de aceitação para classificação formal, reclassificação, risco residual e proporcionalidade de controlos.
Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.
Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.
Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.
Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Catálogo canónico de requisitos de formação e onboarding de segurança (TRN-001 a TRN-009), com aplicabilidade por nível de risco e critérios de aceitação para trilhos formativos, onboarding verificável, Security Champions e eficácia formativa.
Catálogo canónico de requisitos de governação organizacional de segurança (GOV-001 a GOV-012), com aplicabilidade por nível de risco e critérios de aceitação para ownership, excepções, contratação, rastreabilidade, validação contínua e maturidade.
Catálogo canónico de requisitos de segurança para projectos IaC (IAC-001 a IAC-013), organizados por nível de risco, com critérios de aceitação para governação de repositórios, pipelines, estado, módulos e drift de configuração.
Catálogo canónico de requisitos do programa de monitorização e operações de segurança (OPS-001 a OPS-010), com aplicabilidade por nível de risco e critérios de aceitação para logging centralizado, eventos críticos, retenção, SIEM, alertas, SLA de resposta, correlação, integração com IRP, detecção comportamental e métricas de eficácia.
Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.
Instrumento de avaliação de adopção do modelo SbD-ToE - 96 pontos de verificação organizados por domínio e nível de risco, derivados das políticas organizacionais. Responde à pergunta "esta equipa/organização está a fazer SbD-ToE?" e serve como ferramenta de auto-avaliação, auditoria interna e requisito contratual.
Indicadores técnicos e de processo específicos do domínio de governação organizacional de segurança (GOV), com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da eficácia dos controlos de arquitectura segura, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança em pipelines de integração e entrega contínua, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da qualidade, cobertura e actualidade da classificação de risco de aplicações, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança em imagens de container e ambientes de orquestração, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de gestão de dependências, geração de SBOM e análise de composição de software, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança no processo de deploy e gestão de releases, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da eficácia dos controlos de desenvolvimento seguro, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da eficácia, cobertura e impacto do programa de formação e onboarding em segurança, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança em Infrastructure as Code, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia do programa de monitorização de segurança, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da cobertura, rastreabilidade e validação efectiva dos requisitos de segurança aplicados por nível de risco, com mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia do programa de testes de segurança, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e de processo para avaliação da cobertura, qualidade e integração do threat modeling no ciclo de desenvolvimento, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Seis dimensões transversais de medição da saúde do programa SbD-ToE, agregando indicadores de domínio de todos os capítulos para visibilidade executiva e de gestão de risco.
Aplicação proporcional dos controlos de monitorização e resposta conforme a classificação de risco da aplicação.
Critérios de validação por requisito (ARC-001 a ARC-013), com métodos, momentos e responsáveis, organizados por nível de risco
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.
Política organizacional que define o processo formal de revisão e aprovação de planos de execução de IaC (terraform plan ou equivalente) antes de qualquer apply em ambientes de staging ou produção, incluindo separação de funções, assinatura de planos, dupla aprovação e janelas de execução, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define o processo formal de decisão go/no-go para releases de software, incluindo alçadas de aprovação por nível de criticidade, separação entre sinal automático e decisão humana, aceitação formal de risco residual e registo de evidências, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de segurança para pipelines de integração e entrega contínua, incluindo gates obrigatórios, scanners integrados, separação de ambientes, assinatura de artefactos, gestão de segredos no pipeline e aprovações de promoção, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define o modelo obrigatório de classificação de risco por eixos (Exposição, Dados, Impacto), os momentos de aplicação, os critérios de revisão e os requisitos de registo formal, para todas as aplicações desenvolvidas ou operadas pela organização.
Política organizacional que define os requisitos de segurança para a construção, scanning, assinatura, configuração de runtime e gestão de imagens de container, incluindo hardening de securityContext, policies de admissão em Kubernetes, isolamento de rede e monitorização de runtime, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de segurança aplicáveis ao ciclo de vida contratual com fornecedores e contractors, incluindo due diligence pré-contratual, cláusulas contratuais mínimas por nível de risco, onboarding técnico, monitorização de conformidade, reavaliação periódica e offboarding seguro, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a seleção, tailoring, publicação, versionamento e revisão periódica de guidelines de desenvolvimento seguro por stack tecnológica, incluindo a conversão de regras em configurações automáticas de linters e SAST, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de segurança para o processo de deploy de software em produção, incluindo verificação de artefactos assinados, separação de ambientes, estratégias de rollout progressivo, separação entre automação e autorização humana, e rastreabilidade ponta-a-ponta, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).
Política organizacional que define os requisitos para o programa de formação e capacitação em segurança, incluindo onboarding obrigatório, trilhos formativos por perfil e nível de risco, programa de Security Champions, exercícios práticos, actualização de conteúdos, KPIs de eficácia e integração com os objectivos de performance individuais, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a configuração, classificação, SLAs de resposta, escalonamento, runbooks e calibração de alertas de segurança e operacionais, incluindo prevenção de fadiga de alertas e métricas de qualidade, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional que define os requisitos para o armazenamento, injeção, rotação, auditoria e revogação de segredos (chaves, tokens, credenciais, certificados) em aplicações, pipelines CI/CD, containers e infraestrutura, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a criação, aprovação, versionamento semântico, patching, depreciação e revogação de imagens base de container aprovadas pela organização (Golden Base Images), incluindo SLAs de patching por criticidade e gestão do catálogo interno, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de segurança para a definição, validação, execução e manutenção de Infraestrutura como Código (IaC), incluindo scanning de configurações, policy-as-code, separação de ambientes, controlo de drift, módulos aprovados e assinatura de planos, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de integração entre a monitorização de segurança e o processo de resposta a incidentes (IRP), incluindo critérios de activação, playbooks obrigatórios, fases de resposta, notificação regulatória, post-mortem e testes periódicos, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a definição, recolha, análise e reporte de KPIs de governação de segurança, incluindo categorias de métricas, cadência de reporting, responsabilidades, thresholds de intervenção e integração com frameworks de maturidade (SAMM, SSDF), proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a produção, formatação, centralização, retenção e protecção de logs de aplicação e de segurança, incluindo schema mínimo de eventos, eventos obrigatórios, masking de dados sensíveis, imutabilidade e integração com SIEM, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de monitorização de segurança em produção, incluindo definição de eventos críticos, integração com SIEM, correlação comportamental, cobertura de domínios de monitorização e revisão periódica de regras de detecção, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de monitorização activa após cada deploy em produção, incluindo janela de observação obrigatória, métricas de saúde mínimas, thresholds de alerta, validação humana e critérios de activação de rollback, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a execução de testes de penetração (PenTesting) ofensivos, incluindo âmbito e autorização formal, modalidades de teste, regras de engajamento, conteúdo mínimo do relatório, processo de remediação e retest, cadência por nível de criticidade e integração com o processo de findings, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a aprovação formal de releases de software, incluindo checklist de segurança pré-release, gate automático de conformidade, critérios go/no-go, artefacto imutável de decisão e rastreabilidade ponta-a-ponta commit→pipeline→release, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define como os requisitos de segurança devem ser selecionados, documentados, rastreados, validados e mantidos ao longo do ciclo de vida de cada aplicação, de forma proporcional ao nível de risco classificado.
Política organizacional que define os requisitos para a revisão de código como ponto de controlo de segurança, incluindo checklist obrigatória, critérios de aprovação, papéis de reviewer, cobertura mínima e integração com ferramentas automáticas, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define a cadência obrigatória e os triggers de revisão da classificação de risco aplicacional, assegurando que o nível de criticidade e os controlos associados se mantêm adequados ao contexto técnico e de negócio ao longo de todo o ciclo de vida da aplicação.
Política organizacional que define os requisitos para a capacidade de rollback de deploys em produção, incluindo tipos de rollback por componente (binário, configuração, base de dados, infraestrutura), critérios de activação, RTO por nível de criticidade, procedimentos de teste periódico e rastreabilidade, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).
Política organizacional que define os requisitos para o uso controlado de ferramentas de apoio ao desenvolvimento, incluindo assistentes de IA generativa (GenAI/Copilot), com foco em revisão obrigatória de output, rastreabilidade, validação de licenças e manutenção da responsabilidade humana, proporcional ao nível de criticidade (L1, L2, L3).
Modelo de rastreabilidade entre requisitos ARC, ameaças, decisões arquitecturais e evidência auditável, com template de matriz e critérios de actualização