9 min leitura • Guide 775 of 877
Projetos de Conformidade e Regulatórios
Projetos de conformidade têm prazos rígidos e requisitos de documentação. O GitScrum ajuda equipes a rastrear trabalho regulatório, manter trilhas de auditoria e demonstrar conformidade.
Planejamento de Conformidade
Rastreamento de Requisitos
RASTREAMENTO DE REQUISITO DE CONFORMIDADE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ ÉPICO DE CONFORMIDADE: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-001: Implementação de Conformidade GDPR ││
│ │ ││
│ │ Regulamentação: Regulamento Geral de Proteção de Dados ││
│ │ Prazo: 25 Maio, 2024 ││
│ │ Proprietário: @privacy-lead ││
│ │ Status: Em Andamento (65%) ││
│ │ ││
│ │ REQUISITOS: ││
│ │ Artigo 15 - Direito de Acesso: ││
│ │ ├── COMP-010: Exportação de dados de usuário ││
│ │ ├── COMP-011: Inventário de dados ││
│ │ └── COMP-012: Processo de tratamento de solicitação ││
│ │ ││
│ │ Artigo 17 - Direito de Apagamento: ││
│ │ ├── COMP-020: Capacidade de exclusão de dados ││
│ │ ├── COMP-021: Propagação para processadores ││
│ │ └── COMP-022: Aplicação de política de retenção ││
│ │ ││
│ │ Artigo 32 - Segurança: ││
│ │ ├── COMP-030: Criptografia em repouso ││
│ │ ├── COMP-031: Criptografia em trânsito ││
│ │ └── COMP-032: Controles de acesso ││
│ │ ││
│ │ DOCUMENTAÇÃO: ││
│ │ ├── COMP-040: Atualização de política de privacidade ││
│ │ ├── COMP-041: Templates de acordo de processamento ││
│ │ └── COMP-042: Documentação DPIA ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Tarefa de Requisito
ESTRUTURA DE TAREFA DE CONFORMIDADE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ TAREFA COM CONTEXTO DE CONFORMIDADE: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-020: Implementar capacidade de exclusão de dados ││
│ │ ││
│ │ FONTE DO REQUISITO: ││
│ │ GDPR Artigo 17 - Direito de Apagamento ││
│ │ "O titular dos dados terá o direito de obter ││
│ │ do controlador o apagamento de dados pessoais..." ││
│ │ ││
│ │ CRITÉRIOS DE ACEITAÇÃO: ││
│ │ ☐ Usuário pode solicitar exclusão das configurações ││
│ │ ☐ Todos dados do usuário excluídos dentro de 30 dias ││
│ │ ☐ Exclusão confirmada via email ││
│ │ ☐ Exclusão registrada para auditoria ││
│ │ ☐ Sistemas terceiros notificados ││
│ │ ││
│ │ ESCOPO: ││
│ │ Tipos de dados: Perfil, atividade, preferências ││
│ │ Exceções: Registros financeiros (retenção legal) ││
│ │ ││
│ │ EVIDÊNCIA REQUERIDA: ││
│ │ • Resultados de teste mostrando exclusão funciona ││
│ │ • Log de auditoria de exclusão de teste ││
│ │ • Aprovação de jurídico ││
│ │ ││
│ │ PRAZO: 30 Abril, 2024 (antes do prazo GDPR) ││
│ │ STATUS: Em Desenvolvimento ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Trilhas de Auditoria
Documentando Conformidade
DOCUMENTAÇÃO DE AUDITORIA:
┌─────────────────────────────────────────────────────────────┐
│ │
│ PARA CADA REQUISITO, DOCUMENTE: │
│ │
│ EVIDÊNCIA DE REQUISITO: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-020: Exclusão de Dados - EVIDÊNCIA ││
│ │ ││
│ │ REQUISITO ATENDIDO: ✅ Sim ││
│ │ DATA DE CONCLUSÃO: 25 Abril, 2024 ││
│ │ ││
│ │ IMPLEMENTAÇÃO: ││
│ │ • Código: PR #1234 (mesclado 20 Abril) ││
│ │ • Testes: QA-567 (passou 22 Abril) ││
│ │ • Deploy: Lançado v2.5.0 (25 Abril) ││
│ │ ││
│ │ EVIDÊNCIA: ││
│ │ • Relatório de teste: [link para resultados] ││
│ │ • Amostra de log de auditoria: [link para amostra] ││
│ │ • Screenshot de fluxo de usuário: [link] ││
│ │ ││
│ │ APROVAÇÕES: ││
│ │ • Técnica: @tech-lead (22 Abril) ││
│ │ • Jurídica: @legal-counsel (24 Abril) ││
│ │ • Privacidade: @dpo (25 Abril) ││
│ │ ││
│ │ NOTAS: ││
│ │ Registros financeiros excluídos por req. retenção ││
│ │ jurídica. Ver COMP-025 para tratamento de dados ││
│ │ financeiros. ││
│ └─────────────────────────────────────────────────────────┘│
│ │
│ LINK TUDO: │
│ Requisito → Tarefa → Código → Teste → Aprovação │
│ Rastreabilidade completa para auditores │
└─────────────────────────────────────────────────────────────┘
Dashboard de Conformidade
VISÃO GERAL DE STATUS DE CONFORMIDADE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ DASHBOARD DE CONFORMIDADE GDPR │
│ │
│ Geral: ██████████████████░░ 85% │
│ Prazo: 25 Maio, 2024 (30 dias restantes) │
│ │
│ POR ARTIGO: │
│ Art. 15 (Acesso): ████████████████████ 100% ✅ │
│ Art. 17 (Apagamento): ██████████████░░░░░░ 70% ⏳ │
│ Art. 32 (Segurança): ████████████████████ 100% ✅ │
│ Art. 33 (Violação): ████████████████░░░░ 80% ⏳ │
│ Documentação: ██████████████████░░ 90% ⏳ │
│ │
│ ─────────────────────────────────────────────────────────── │
│ │
│ ITENS BLOQUEANTES: │
│ 🔴 COMP-021: Notificação de processador terceiro │
│ Bloqueado: Aguardando API do fornecedor │
│ Risco: Pode atrasar conformidade Art. 17 │
│ Mitigação: Processo manual como backup │
│ │
│ PRÓXIMOS: │
│ ⏳ COMP-035: Processo de notificação de violação (devido │
│ 15 Abr) │
│ ⏳ COMP-042: Documentação DPIA (devido 20 Abr) │
│ │
│ CONCLUÍDOS ESTA SEMANA: │
│ ✅ COMP-030: Criptografia em repouso │
│ ✅ COMP-040: Atualização de política de privacidade │
└─────────────────────────────────────────────────────────────┘
Priorização
Conformidade vs Funcionalidades
PRIORIZAÇÃO DE CONFORMIDADE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ ORDEM DE PRIORIDADE: │
│ │
│ 1. CONFORMIDADE (Prazos rígidos, consequências legais) │
│ Prazo GDPR é 25 Maio - não-negociável │
│ │
│ 2. CORREÇÕES DE SEGURANÇA (Redução de risco) │
│ Não pode ser conforme se não seguro │
│ │
│ 3. BUGS CRÍTICOS (Impacto no usuário) │
│ Problemas de produção afetando usuários │
│ │
│ 4. FUNCIONALIDADES (Valor de negócio) │
│ Apenas após conformidade estar no caminho │
│ │
│ ─────────────────────────────────────────────────────────── │
│ │
│ PLANEJAMENTO DE SPRINT: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ Alocação Sprint 15 ││
│ │ ││
│ │ Capacidade: 30 pontos ││
│ │ ││
│ │ Conformidade (deve fazer): 18 pontos (60%) ││
│ │ ├── COMP-021: Notificação processador (8 pts) ││
│ │ ├── COMP-035: Notificação violação (5 pts) ││
│ │ └── COMP-042: Documentação DPIA (5 pts) ││
│ │ ││
│ │ Funcionalidades (pode fazer): 12 pontos (40%) ││
│ │ ├── FEAT-101: Melhorias dashboard (5 pts) ││
│ │ └── FEAT-102: Formatos export (7 pts) ││
│ │ ││
│ │ NOTA: Se conformidade atrasar, funcionalidades cortadas││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘
Múltiplas Regulamentações
Gerenciando Múltiplos Padrões
CONFORMIDADE MULTI-REGULAMENTAÇÃO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ RASTREAMENTO DE REGULAMENTAÇÕES: │
│ │
│ GDPR (UE): │
│ Status: ██████████████████ 90% │
│ Prazo: 25 Maio, 2024 │
│ │
│ SOC 2 (Auditoria anual): │
│ Status: ██████████████ 70% │
│ Próxima auditoria: Julho 2024 │
│ │
│ HIPAA (Saúde): │
│ Status: ██████████████████ 85% │
│ Conformidade contínua │
│ │
│ PCI-DSS (Pagamentos): │
│ Status: ████████████████████ 100% │
│ Recertificação: Dezembro 2024 │
│ │
│ ─────────────────────────────────────────────────────────── │
│ │
│ MAPEAMENTO DE SOBREPOSIÇÃO: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ Controle: Criptografia em repouso ││
│ │ ││
│ │ Satisfaz: ││
│ │ ☑ GDPR Art. 32 ││
│ │ ☑ SOC 2 CC6.1 ││
│ │ ☑ HIPAA 164.312(a)(2)(iv) ││
│ │ ☑ PCI-DSS 3.4 ││
│ │ ││
│ │ Implementação: COMP-030 ││
│ │ Status: Completo ││
│ └─────────────────────────────────────────────────────────┘│
│ │
│ EFICIÊNCIA: │
│ Mapeie controles para múltiplas regulamentações │
│ Implemente uma vez, satisfaça muitos │
│ Reduz trabalho duplicado │
└─────────────────────────────────────────────────────────────┘
Conformidade Contínua
Conformidade Contínua
CONFORMIDADE CONTÍNUA:
┌─────────────────────────────────────────────────────────────┐
│ │
│ TAREFAS RECORRENTES: │
│ │
│ TRIMESTRAL: │
│ ☐ Revisão de acesso (quem tem acesso ao quê) │
│ ☐ Avaliação de segurança de fornecedor │
│ ☐ Verificação de conclusão de treinamento │
│ ☐ Revisão de política │
│ │
│ MENSAL: │
│ ☐ Revisão de varredura de vulnerabilidade │
│ ☐ Auditoria de log de acesso │
│ ☐ Revisão de incidente │
│ │
│ CONTÍNUO: │
│ ☐ Patches de segurança │
│ ☐ Monitoramento de conformidade │
│ ☐ Coleta de evidência │
│ │
│ ─────────────────────────────────────────────────────────── │
│ │
│ TAREFA RECORRENTE: │
│ ┌─────────────────────────────────────────────────────────┐│
│ │ COMP-REC-001: Revisão Trimestral de Acesso ││
│ │ ││
│ │ Frequência: Todo trimestre (Jan, Abr, Jul, Out) ││
│ │ Proprietário: @security-lead ││
│ │ Duração: 1 semana ││
│ │ ││
│ │ CHECKLIST: ││
│ │ ☐ Exportar lista de acesso atual ││
│ │ ☐ Revisar com cada líder de equipe ││
│ │ ☐ Remover funcionários terminados ││
│ │ ☐ Ajustar acesso superprovisionado ││
│ │ ☐ Documentar mudanças feitas ││
│ │ ☐ Aprovação do CISO ││
│ │ ││
│ │ EVIDÊNCIA: Relatório de revisão de acesso, log de ││
│ │ mudanças ││
│ └─────────────────────────────────────────────────────────┘│
└─────────────────────────────────────────────────────────────┘