Informativo SGSPI: Desenvolvimento Seguro

Processo seguro de desenvolvimento é um conjunto de técnicas e procedimentos de segurança aplicados no desenvolvimento de soluções para recepção, análise, digitalização e guarda de documentos. O foco é garantir integridade, sigilo e proteção dos dados manipulados, que devem ser acessados apenas por quem realmente precisa.

Todos os controles são realizados em nuvem da Microsoft, na ferramenta Azure DEVOPS. A demanda é validada pela liderança, analisada pela Coordenação de TI e aprovada pela Diretoria.

Desenvolvimento
Realiza-se a análise detalhada do projeto, considerando riscos, prazos, segurança e recursos. O ambiente é preparado pelo suporte e são aplicadas boas práticas baseadas em projetos anteriores.

Princípios Fundamentais
Adotam-se os princípios de menor privilégio, separação de funções, camadas de defesa, auditoria, controle de acesso, resiliência e criptografia obrigatória (TLS 1.2 ou superior).

Segurança das Aplicações
Implementação de autenticação multifator (MFA), controle de acesso por perfil, geração de logs e proteção contra ataques como SQL Injection.

Sigilo dos Dados
O acesso aos dados é restrito à equipe do projeto, com preferência pelo uso de dados fictícios em ambientes de desenvolvimento.

Homologação
Realização de testes com dados anonimizados. A aprovação do produto final é feita por escrito pelo cliente, incluindo validação de integrações externas.

Implantação em Produção
A implantação é realizada exclusivamente pela Diretoria de TI, com procedimentos de backup, controle de versão e autorização via Pull Request no DevOps.

---