Registro de alterações de políticas

1) Destino e valor

• Um histórico transparente de mudanças: quem, quando e porquê.
• Conformidade com os requisitos dos auditores/reguladores (ISO 27001, SOC 2, PCI DSS, GDPR e normas locais).
• Gerenciamento de risco: alteração associada a avaliações de risco, incidentes e planos CAPA.
• Uma única fonte de verdade para funcionários, provedores e parceiros.

Resultado: reduz o risco operacional e de compliance, acelera as auditorias e as investigações e reduz o tempo de negociação.

2) Área de alcance (scope)

• Segurança e acesso: política de BI, gerenciamento de incidentes, vulnerabilidades, chaves/criptografia, gestão de segredo, política de senhas, IAM.
• Dados e privacidade: GDPR/DSAR/PTBF, armazenamento e remoção, classificação de dados, DLP, logs e auditoria.
• Finanças/AML/KYC: AML/KYB/KYC, screening de sanções, confirmação da fonte dos fundos.
• Operações: BCP/DRP, gerenciamento de alterações, política de lançamento, RACI, SRE/SLO.
• Legais/Regulatórios: exigências locais dos mercados, restrições publicitárias, jogo responsável.

3) Papéis e Responsabilidades (RACI)

R: Proprietário de políticas (Policy Owner) e Editor (Policy Editor).
A (Accountable): Documentos proprietários do domínio/CISCO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Todos os funcionários, contratantes externos (por necessidade).

Princípios: dual-controle para publicação; segregação de responsabilidades; aconselhamento legal/DPO obrigatório para tópicos de regulação PII.

4) Ciclo de vida de mudança

1. Iniciativa: desencadeador (exigência regulatória, auditoria-finding, incidente, pentest, alteração da arquitetura).
2. Rascunho: alteração no sistema de gerenciamento de documentos (Confluence/Git/Policy CMS).
3. Avaliação do impacto em processos, registro de risco, treinamento, contratos, integração.
4. Concordância: Legal/DPO/Compliance/Tech/Operations, afirmação final do proprietário.
5. Publicação: atribuição da versão, data de entrada em vigor, distribuição.
6. Treinamento/recibo, atualização SOP/Runbook.
7. Monitorização, monitoramento, métricas, retrospectiva.

5) Modelo de dados de registro (campos obrigatórios)

'policy _ id' é um ID de política permanente.
'policy _ title' é o nome do documento.
'mudança _ id' é um ID de alteração exclusivo.
'version' é uma versão semântica (MAJOR. MINOR. PATCH) ou datado.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Requisitos de versão e tipos de alterações

MAJOR: Altera requisitos/controles obrigatórios, afeta auditorias/riscos; exige treinamento e transição.
MENOR: Clarificações, exemplos, não mudam o controle basicamente.
PATCH: edição ortográfica/links; fast-track.
URGENT: Edição urgente devido a um incidente/vulnerabilidade; publicação em ordem acelerada.
REGULATORY: Atualização em relação ao novo regulador/regulador.

Versioning: capture marcas de formatação/lançamento; artefatos imutáveis PDF/HTML com hash.

7) Concordância workflow

1. Draft → Review: Teste automático do modelo, referências e metadados.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations.
3. Approval: dono do domínio + Accountable.
4. Publish: geração de notas de lançamento, registro, distribuição, atualização de «efetive _ from».
5. Acknowledgement: coleta de recibos de funcionários (LMS/HRIS).
6. Post-publish controls: tarefas para atualização SOP/contratos/script.

Regra de duas chaves: a publicação só pode ser feita com 2 + concordâncias na lista de papéis aprovados.

8) Fixação legal e congelamento (Legal Hold)

Uma investigação, um pedido judicial, uma inspeção regulatória.
O que fazemos é: bandeira 'hold _ flags = [«legal»]', congelamento de remoção/edição de versão, arquivo WORM, registro de ação Hold.
Levantamento Hold: somente Legal/DPO; todas as ações são relatadas.

9) Privacidade e regulações locais

Minimizar o PII em um registro (armazene o imployee ID em vez do e-mail, se possível).
Prazo de armazenamento = «gráficos de armazenamento» (policy records normalmente 5-7 anos).
DSAR/PTBF: O registro é excluído da remoção se houver obrigação legal de armazenamento; Fixamos a base legal.

10) Integração

Confidence/Docs/Git: origem de edição e artefatos (diff, PDF).
IAM/SSO: papéis e atributos dos funcionários; auditoria de acesso ao diário.
LMS/HRIS: treinamento, testes, recibos.
GRC/IRM: ligação com riscos, controladores, SARA/planos.
SIEM/Logi: Auditoria das transações do registro (quem visualizou/exportou).
Ticketing (Jira/YouTrack): tarefas iniciais e folhas de cheque de lançamento.

11) Métricas e SLO

Coverage:% das políticas atuais com registro mais recente (alvo ≥ 99%).
Time-to-Publish: Mediana do tempo de 'submitted _ at' a 'published _ at' (alvo ≤ 14 dias; urgent ≤ 48 horas).
Ack-rate: proporção de funcionários que confirmaram a consulta (meta ≥ 98% em 14 dias).
Audit-readiness: proporção de políticas com um conjunto completo de artefatos (diff, PDF, assinaturas) (objetivo 100%).
Exceptions closed:% de exceções fechadas/desvios de prazo.
Acesso à revista: 0 incidentes de acesso não autorizado.

12) Dashboard (conjunto mínimo de widgets)

A fita das últimas publicações e entradas em vigor.
Mapa de status por domínio (Security, Data, AML, Ops).
Mapa térmico de atrasos de negociação.
Histograma Time-to-Publish/Time-in-Review.
Ack-rate para departamentos e papéis.
Lista REGULATORY/URGENT abertos.

13) Procedimentos e modelos

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Preenchidos todos os campos obrigatórios e links de artefatos
• Avaliação do impacto e atualização dos riscos
• Concordâncias obtidas (dual-controle)
• Pacote imutável formado (PDF + hash)
• Remetentes configurados e campanha ack
• Atualizados SOP/Runbooks/contratos (se necessário)

14) Controle de acesso e segurança

RBAC: papéis para leitura/criação/aprovação/arquivamento.
Just-in-Time: permissões temporárias para publicação/exportação.
Criptografia: TLS in-transit, KMS at-rest; a proibição de exportação anónima.
Auditoria: logs de todas as operações, alertas para ações extraordinárias (exposição em massa, edição frequente).

15) Implementação por passo

1. O catálogo de políticos e seus donos.

2. Modelo de gravação único + campos obrigatórios.

3. Registro em Confluence/Notion ou simples Policy-CMS; exportar um PDF imutável.

4. O workflow básico de negociação e campanha ack através do e-mail/LMS.

5. Funções de acesso e registro de ações.

• Integração com Git para diff e versionagem semântica.
• Vínculos GRC com riscos/controladores, relatórios para auditoria.
• Dashboard KPI/SLO, lembretes automáticos.

• API/webhooks para sistemas externos, rule-as-código de verificação de conformidade com o modelo.
• Arquivo legal Hold + WORM, criptopodescrever pacotes de lançamento.
• Multiplicidade (tags de mercado/linguagens/versões).

16) Erros frequentes e como evitá-los

Alterações fora do registro: proibição de publicações sem gravação, verificações automáticas.
Sem racional/links: Faça o campo obrigatório + modelos de origem (regulador, auditoria, incidente).
Sem controle ack: integre o LMS/HRIS e monitorize o KPI.
Mistura de rascunhos e publicações: use espaços/ramos individuais.
Acesso a todos: RBAC rigoroso, auditoria de leitura de exportação.

17) Glossário (breve)

Policy é um documento de gestão obrigatório.
Standard/Procedure/SOP - detalhamento e ordem de execução.
CAPA - Ações corretivas e de advertência.
Acknowledgement (ack) - confirmação de conhecimento por um funcionário.
Legal Hold - congelamento legal de alterações/remoções.

18) Total

O registro de alterações de políticas não é apenas um «histórico de edição», mas um processo controlado com papéis claros, modelo de dados, controles de acesso, fixação legal e métricas. Sua implementação madura acelera as auditorias, reduz os riscos de inconsistência e aumenta a disciplina operacional em toda a organização.