Política de Gestão de Acessos

1. Modelo de controle

• RBAC como modelo primário (papéis por função/projeto).
• Segregação de Funções (SoD) para evitar conflitos (ex.: solicitar × aprovar).
• Controles complementares: MFA, SSO e restrições de rede/dispositivo.
• ABAC não é modelo primário; usado apenas em casos específicos.

2. Princípios e escopo

• Menor privilégio e necessidade de saber.
• Accountability: aprovações registradas e trilhas de auditoria.
• Escopo: colaboradores, terceiros e contas de serviço, em ambientes e dados da empresa e de clientes.

3. Provisionamento (Joiner)

• Origem no cadastro de RH; criação de identidade única.
• Associação a roles padronizados conforme função/projeto.
• MFA e políticas de senha aplicáveis.
• Aprovação por gestor e dono do sistema, com evidências.

4. Movimentações (Mover)

• Troca de cargo/projeto remove acessos antigos e solicita os novos.
• Validação de SoD para perfis sensíveis.
• Revisão de grupos/roles após mudanças organizacionais.

5. Desprovisionamento (Leaver)

• Revogação imediata de contas, grupos, chaves e tokens.
• Tratamento acelerado para acessos privilegiados.
• Terceiros: data de expiração e revogação ao término.
• Bloqueio de dispositivos e revogação de certificados quando aplicável.

6. Revisões periódicas de acesso

• Trimestral para sistemas críticos; semestral para os demais.
• Donos de sistemas e gestores validam sob sua alçada.
• Escopo: contas, roles, privilégios admin, chaves e terceiros.
• Registro de evidências e correções para auditoria.
• Preferência por cadastro unificado com login do Google Workspace.

7. Controles técnicos e registros

• SSO, MFA, políticas de sessão e de rede.
• Inventário centralizado de identidades (IAM na AWS e Google Workspace como padrão), papéis e permissões.
• Logs de solicitação, aprovação, concessão e revogação.

Aprovação

Documento oficial publicado pela Bix Tecnologia. Diretrizes de caráter geral e orientador; detalhamentos operacionais constam em normas internas complementares.