42 documentos marcados com "policy"

Políticas organizacionais que sustentam a aplicação prática deste capítulo

Políticas formais necessárias para garantir a segurança, reversibilidade e rastreabilidade de deploys em produção.

Políticas formais que sustentam as práticas de governação, exceções e gestão de fornecedores descritas neste capítulo

Políticas necessárias para suportar práticas de logging, deteção e resposta contínua.

Políticas formais necessárias para legitimar e operacionalizar a validação contínua da segurança das aplicações.

Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.

Política organizacional que define o processo formal de revisão e aprovação de planos de execução de IaC (terraform plan ou equivalente) antes de qualquer apply em ambientes de staging ou produção, incluindo separação de funções, assinatura de planos, dupla aprovação e janelas de execução, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define o processo formal de decisão go/no-go para releases de software, incluindo alçadas de aprovação por nível de criticidade, separação entre sinal automático e decisão humana, aceitação formal de risco residual e registo de evidências, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a aplicação de princípios de arquitetura segura ao longo do ciclo de vida de aplicações classificadas L2 e L3, incluindo a definição de baseline, gestão de decisões arquiteturais (ADR), revisão de trust boundaries, integração com threat modeling e requisitos de aprovação formal.

Política organizacional que define os requisitos para a operação de bots de atualização automática de dependências, incluindo critérios de auto-merge, análise de impacto, handoff humano e configuração proporcional ao nível de criticidade da aplicação (L2, L3).

Política organizacional que define os requisitos de segurança para pipelines de integração e entrega contínua, incluindo gates obrigatórios, scanners integrados, separação de ambientes, assinatura de artefactos, gestão de segredos no pipeline e aprovações de promoção, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define o modelo obrigatório de classificação de risco por eixos (Exposição, Dados, Impacto), os momentos de aplicação, os critérios de revisão e os requisitos de registo formal, para todas as aplicações desenvolvidas ou operadas pela organização.

Política organizacional que define os requisitos de segurança para a construção, scanning, assinatura, configuração de runtime e gestão de imagens de container, incluindo hardening de securityContext, policies de admissão em Kubernetes, isolamento de rede e monitorização de runtime, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de segurança aplicáveis ao ciclo de vida contratual com fornecedores e contractors, incluindo due diligence pré-contratual, cláusulas contratuais mínimas por nível de risco, onboarding técnico, monitorização de conformidade, reavaliação periódica e offboarding seguro, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a seleção, tailoring, publicação, versionamento e revisão periódica de guidelines de desenvolvimento seguro por stack tecnológica, incluindo a conversão de regras em configurações automáticas de linters e SAST, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos, critérios de execução, gestão de findings e responsabilidades para testes dinâmicos de segurança (DAST) e fuzzing, proporcional ao nível de risco da aplicação.

Política organizacional que define os requisitos de segurança para o processo de deploy de software em produção, incluindo verificação de artefactos assinados, separação de ambientes, estratégias de rollout progressivo, separação entre automação e autorização humana, e rastreabilidade ponta-a-ponta, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Política organizacional que define os requisitos para o programa de formação e capacitação em segurança, incluindo onboarding obrigatório, trilhos formativos por perfil e nível de risco, programa de Security Champions, exercícios práticos, actualização de conteúdos, KPIs de eficácia e integração com os objectivos de performance individuais, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a configuração, classificação, SLAs de resposta, escalonamento, runbooks e calibração de alertas de segurança e operacionais, incluindo prevenção de fadiga de alertas e métricas de qualidade, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.

Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.

Política organizacional que define os requisitos para o armazenamento, injeção, rotação, auditoria e revogação de segredos (chaves, tokens, credenciais, certificados) em aplicações, pipelines CI/CD, containers e infraestrutura, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a criação, aprovação, versionamento semântico, patching, depreciação e revogação de imagens base de container aprovadas pela organização (Golden Base Images), incluindo SLAs de patching por criticidade e gestão do catálogo interno, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de segurança para a definição, validação, execução e manutenção de Infraestrutura como Código (IaC), incluindo scanning de configurações, policy-as-code, separação de ambientes, controlo de drift, módulos aprovados e assinatura de planos, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de integração entre a monitorização de segurança e o processo de resposta a incidentes (IRP), incluindo critérios de activação, playbooks obrigatórios, fases de resposta, notificação regulatória, post-mortem e testes periódicos, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a definição, recolha, análise e reporte de KPIs de governação de segurança, incluindo categorias de métricas, cadência de reporting, responsabilidades, thresholds de intervenção e integração com frameworks de maturidade (SAMM, SSDF), proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a produção, formatação, centralização, retenção e protecção de logs de aplicação e de segurança, incluindo schema mínimo de eventos, eventos obrigatórios, masking de dados sensíveis, imutabilidade e integração com SIEM, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de monitorização de segurança em produção, incluindo definição de eventos críticos, integração com SIEM, correlação comportamental, cobertura de domínios de monitorização e revisão periódica de regras de detecção, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de monitorização activa após cada deploy em produção, incluindo janela de observação obrigatória, métricas de saúde mínimas, thresholds de alerta, validação humana e critérios de activação de rollback, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a execução de testes de penetração (PenTesting) ofensivos, incluindo âmbito e autorização formal, modalidades de teste, regras de engajamento, conteúdo mínimo do relatório, processo de remediação e retest, cadência por nível de criticidade e integração com o processo de findings, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.

Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a aprovação formal de releases de software, incluindo checklist de segurança pré-release, gate automático de conformidade, critérios go/no-go, artefacto imutável de decisão e rastreabilidade ponta-a-ponta commit→pipeline→release, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define como os requisitos de segurança devem ser selecionados, documentados, rastreados, validados e mantidos ao longo do ciclo de vida de cada aplicação, de forma proporcional ao nível de risco classificado.

Política organizacional que define os requisitos para a revisão de código como ponto de controlo de segurança, incluindo checklist obrigatória, critérios de aprovação, papéis de reviewer, cobertura mínima e integração com ferramentas automáticas, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define a cadência obrigatória e os triggers de revisão da classificação de risco aplicacional, assegurando que o nível de criticidade e os controlos associados se mantêm adequados ao contexto técnico e de negócio ao longo de todo o ciclo de vida da aplicação.

Política organizacional que define os requisitos para a capacidade de rollback de deploys em produção, incluindo tipos de rollback por componente (binário, configuração, base de dados, infraestrutura), critérios de activação, RTO por nível de criticidade, procedimentos de teste periódico e rastreabilidade, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Política organizacional que define a obrigatoriedade, metodologia, triggers de execução, requisitos de aprovação formal, rastreabilidade e gestão dos artefactos de threat modeling ao longo do ciclo de vida de aplicações classificadas L2 e L3.

Política organizacional que define os requisitos para o uso controlado de ferramentas de apoio ao desenvolvimento, incluindo assistentes de IA generativa (GenAI/Copilot), com foco em revisão obrigatória de output, rastreabilidade, validação de licenças e manutenção da responsabilidade humana, proporcional ao nível de criticidade (L1, L2, L3).