Controles Canônicos
Controles canônicos são uma camada de mapeamento entre frameworks que unifica requisitos de segurança equivalentes em múltiplos frameworks de conformidade — incluindo SOC 2, ISO 27001, GDPR, HIPAA, PCI DSS, LGPD e CCPA.
Em vez de tratar os controles de cada framework de forma isolada, os controles canônicos estabelecem uma identidade compartilhada para requisitos que abordam o mesmo objetivo de segurança. Um único controle canônico pode ser mapeado para vários controles específicos de frameworks simultaneamente, permitindo uma detecção de sobreposição mais precisa, coleta unificada de evidências e relatórios de status consistentes em todo o seu programa de conformidade.
Como Funciona
Cada controle canônico representa um requisito de segurança universal — por exemplo, Controle de Acesso Lógico ou Criptografia em Repouso. Os controles específicos de cada framework são então mapeados para esses controles canônicos, refletindo o grau em que abordam o mesmo requisito.
Controle Canônico: Controle de Acesso Lógico (AC-001)
├── SOC 2 CC6.1
├── ISO 27001 A.5.15
└── HIPAA §164.312(a)(1)
Essa estrutura habilita diversas funcionalidades na plataforma:
- Detecção de sobreposição — Ao ativar um segundo framework, a plataforma identifica controles já contemplados pelo seu programa existente.
- Compartilhamento de evidências — Evidências coletadas para um framework podem ser reutilizadas em controles equivalentes de outro, reduzindo a duplicação de esforço.
- Propagação de status — Satisfazer um controle em um framework pode automaticamente satisfazer seu equivalente em outro, dependendo do nível de confiança do mapeamento.
- Relatórios de cobertura — Entenda quanto de cada framework já está coberto por meio dos seus mapeamentos de controles canônicos.
Domínios de Segurança
Os controles canônicos estão organizados em 17 domínios de segurança. A tabela abaixo lista cada domínio, seus códigos de controle e a área de segurança que cobre.
| Domínio | Controles | Descrição |
|---|---|---|
| Controle de Acesso | AC-001 – AC-005 | Acesso lógico, acesso físico, gestão de identidades, gestão de privilégios e provisionamento |
| Criptografia | CR-001 – CR-003 | Criptografia em repouso, criptografia em trânsito e gestão de chaves |
| Logging e Monitoramento | LM-001 – LM-003 | Registro de auditoria, monitoramento de segurança e proteção da integridade de logs |
| Gestão de Mudanças | CM-001 – CM-002 | Processos de controle de mudanças e ciclo de vida de desenvolvimento seguro (SDLC) |
| Backup e Recuperação | BR-001 – BR-003 | Backup de dados, recuperação de desastres e planejamento de continuidade de negócios |
| Resposta a Incidentes | IR-001 – IR-003 | Programa de resposta, detecção e análise, e notificação de violações |
| Gestão de Fornecedores | VM-001 – VM-002 | Avaliação de risco de terceiros e acordos com fornecedores |
| Proteção de Dados | DP-001 – DP-004 | Classificação de dados, minimização, direitos dos titulares e privacidade por design |
| Política de Segurança | SP-001 – SP-003 | Política de segurança da informação, avaliação de riscos e gestão de conformidade |
| Conscientização em Segurança | SA-001 | Programas de treinamento e conscientização em segurança |
| Gestão de Vulnerabilidades | VU-001 – VU-002 | Varredura de vulnerabilidades e testes de penetração |
| Segurança de Rede | NS-001 – NS-002 | Controles de rede e segregação de rede |
| Gestão de Ativos | AM-001 – AM-002 | Inventário de ativos e proteção de endpoints |
| Segurança de Recursos Humanos | HR-001 – HR-002 | Verificação de antecedentes e termos de contratação |
| Consentimento e Base Legal | CL-001 – CL-002 | Base legal para tratamento de dados e gestão de consentimento |
| Transferência Internacional de Dados | IT-001 | Mecanismos para transferência de dados entre países |
| Governança | GV-001 – GV-002 | Designação de Encarregado de Dados (DPO) e registros das atividades de tratamento |
A plataforma conta atualmente com 42 controles canônicos e 168 mapeamentos entre frameworks suportados.
Níveis de Confiança do Mapeamento
Cada mapeamento entre um controle canônico e um controle específico de framework recebe um nível de confiança que reflete o grau de equivalência entre eles.
| Nível | Significado | Comportamento na Plataforma |
|---|---|---|
| Exato | Os controles abordam o mesmo requisito e exigem as mesmas evidências. | Evidências e status são compartilhados automaticamente entre os frameworks mapeados. |
| Parcial | Os controles se sobrepõem em escopo, mas as evidências podem não ser totalmente transferíveis. | A plataforma exibe a relação e notifica o usuário, mas não propaga o status automaticamente. |
| Relacionado | Os controles são tematicamente semelhantes, mas abordam requisitos distintos. | Exibido apenas como referência — nenhuma automação é aplicada. |
O nível de confiança do mapeamento influencia diretamente como a plataforma lida com o reaproveitamento de evidências e a propagação de status. Para mapeamentos do tipo exato, satisfazer um controle em um framework satisfará automaticamente seu equivalente em todos os frameworks mapeados. Para mapeamentos do tipo parcial e relacionado, é necessária revisão antes que qualquer crédito de equivalência seja aplicado.
À medida que novos frameworks são adicionados à plataforma, seus controles são mapeados para a biblioteca de controles canônicos existente onde houver equivalências, maximizando o reaproveitamento em todo o seu programa de conformidade.