Diretrizes de Desenvolvimento
22. Solicitações ao Time de Infraestrutura

22. Solicitações ao Time de Infraestrutura

22.1. Introdução

A gestão adequada das solicitações de infraestrutura é crucial para manter a segurança, estabilidade e conformidade de nossos sistemas. Esta política estabelece o processo detalhado para solicitar alterações na infraestrutura, garantindo que todas as modificações sejam devidamente documentadas, justificadas e aprovadas.

22.2. Escopo das Solicitações

As solicitações ao time de infraestrutura incluem, mas não se limitam a:

  1. Adição ou modificação de variáveis de ambiente (ENVs)
  2. Liberação de rotas no firewall
  3. Adição de IPs em whitelist
  4. Criação ou modificação de recursos na nuvem (ex: instâncias EC2, buckets S3)
  5. Alterações em configurações de rede (ex: VPCs, subnets)
  6. Solicitações de acesso a sistemas ou ambientes
  7. Modificações em bancos de dados de produção
  8. Alterações em configurações de balanceadores de carga
  9. Atualizações de sistemas operacionais ou software de infraestrutura
  10. Implementação de novas ferramentas de monitoramento ou logging

22.3. Processo Detalhado de Solicitação

Todas as solicitações devem seguir o seguinte processo:

  1. Preenchimento do Formulário SGSI:

    • O solicitante deve preencher o formulário padrão do Sistema de Gestão de Segurança da Informação (SGSI).
    • O formulário está disponível na intranet da empresa, na seção "Formulários de TI".
    • Todos os campos do formulário são obrigatórios.

  2. Documento de Justificativa:

    • Anexar um documento detalhando os motivos da solicitação, seguindo o modelo padrão.
    • Os modelos de documentos estão disponíveis na pasta compartilhada "Documentos Modelos" no Google Drive da empresa.
    • Use o modelo específico para o tipo de solicitação que está fazendo.

  3. Revisão Técnica:

    • A solicitação será revisada por um membro do time de infraestrutura para avaliar viabilidade e impacto.
    • O revisor pode solicitar informações adicionais ou esclarecimentos.
    • O prazo para a revisão técnica inicial é de 2 dias úteis.

  4. Análise de Segurança:

    • Após a revisão técnica, a solicitação é encaminhada para o departamento de segurança.
    • O departamento de segurança avaliará os riscos potenciais e a conformidade com as políticas de segurança da empresa.
    • O departamento de segurança pode negar a solicitação se identificar riscos significativos ou violações de política.
    • O prazo para a análise de segurança é de 3 dias úteis.

  5. Aprovação:

    • Dependendo do tipo e impacto da solicitação, pode ser necessária a aprovação adicional do CTO ou do comitê de segurança.
    • Solicitações de alto impacto ou que envolvam mudanças significativas na arquitetura requerem aprovação do CTO.
    • O prazo para aprovação final é de 2 dias úteis após a análise de segurança.

  6. Implementação:

    • Após aprovada, a solicitação será implementada pelo time de infraestrutura.
    • O solicitante será notificado sobre o início e a conclusão da implementação.
    • Para mudanças críticas, a implementação será feita fora do horário comercial.

  7. Documentação:

    • Todas as alterações serão documentadas no sistema de gerenciamento de configuração.
    • O documento de solicitação e aprovação será arquivado para fins de auditoria.

  8. Verificação Pós-Implementação:

    • Após a implementação, será realizada uma verificação para garantir que a mudança foi bem-sucedida.
    • O solicitante deve confirmar que a alteração atende às necessidades especificadas.

22.4. Requisitos do Documento de Justificativa

O documento de justificativa deve incluir:

  1. Descrição detalhada da alteração solicitada
  2. Motivo da solicitação (ex: novo recurso, correção de bug, melhoria de performance)
  3. Impacto esperado nos sistemas e processos existentes
  4. Análise de riscos de segurança
  5. Plano de rollback em caso de problemas
  6. Cronograma proposto para a implementação
  7. Recursos necessários para a implementação
  8. Testes realizados em ambientes não-produtivos (se aplicável)

22.5. Conformidade com ISO 27001 e SOC 2

Para garantir a conformidade com ISO 27001 e SOC 2, as seguintes práticas devem ser observadas:

  1. Controle de Mudanças: Todas as alterações devem seguir este processo formal de controle de mudanças.

  2. Segregação de Funções: As solicitações devem ser aprovadas por pessoas diferentes daquelas que as implementam.

  3. Registro de Auditoria: Manter registros detalhados de todas as solicitações e alterações realizadas por pelo menos 7 anos.

  4. Avaliação de Risco: Realizar uma avaliação de risco para cada solicitação significativa.

  5. Revisão Periódica: Revisar periodicamente as alterações implementadas para garantir sua contínua necessidade e eficácia.

  6. Treinamento: Fornecer treinamento regular sobre este processo a todos os colaboradores envolvidos.

  7. Monitoramento: Implementar monitoramento contínuo para detectar alterações não autorizadas na infraestrutura.

22.6. Prazos e SLAs

  • Solicitações de baixo impacto: Resposta em até 2 dias úteis, implementação em até 5 dias úteis após aprovação
  • Solicitações de médio impacto: Resposta em até 5 dias úteis, implementação em até 10 dias úteis após aprovação
  • Solicitações de alto impacto: Resposta em até 10 dias úteis, implementação conforme cronograma aprovado

22.7. Emergências e Exceções

Em casos de emergência (por exemplo, incidentes de segurança ou interrupções críticas do sistema), um processo expedito pode ser seguido:

  1. O solicitante deve entrar em contato diretamente com o líder do time de infraestrutura ou o CTO.
  2. A solicitação pode ser feita verbalmente, mas deve ser documentada assim que possível.
  3. A implementação pode ser feita imediatamente, se necessário.
  4. Uma revisão pós-implementação deve ser conduzida dentro de 24 horas.

22.8. Treinamento e Conscientização

Todos os colaboradores que possam necessitar fazer solicitações ao time de infraestrutura devem receber treinamento sobre esta política e o processo de solicitação. Este treinamento incluirá:

  1. Visão geral do processo de solicitação
  2. Como preencher corretamente o formulário SGSI
  3. Como usar os modelos de documento de justificativa
  4. Boas práticas para descrever e justificar solicitações
  5. Compreensão dos prazos e SLAs
  6. Conscientização sobre segurança e conformidade

22.9. Revisão e Atualização da Política

Esta política será revisada anualmente ou sempre que houver mudanças significativas nos processos ou requisitos de conformidade da empresa. A revisão incluirá:

  1. Análise da eficácia do processo atual
  2. Identificação de áreas de melhoria
  3. Atualização para refletir novas tecnologias ou práticas de segurança
  4. Alinhamento com quaisquer mudanças nas regulamentações aplicáveis

Lembre-se: A adesão a esta política é crucial para manter a integridade, segurança e conformidade de nossa infraestrutura. O não cumprimento pode resultar em riscos de segurança, não conformidade com regulamentações e possíveis ações disciplinares.

21. Política de Gerenciamento de Senhas23. Política de Relatórios Semanais para CTO e Diretoria