Camadas 1 e 2 — Necessidade e ambiente normativo (S)
Camada 1 — Necessidade do negócio
Seção intitulada “Camada 1 — Necessidade do negócio”Definir o problema institucional, o público afetado, o valor esperado e o resultado esperado.
Contexto de uma aplicação institucional de médio porte
Seção intitulada “Contexto de uma aplicação institucional de médio porte”Os números abaixo são referências típicas observadas em projetos desse porte. Adapte-os ao caso concreto, em especial volumes e SLA, antes de incorporá-los ao contrato.
| Aspecto | Descrição |
|---|---|
| Escala de usuários | 500 a 5.000 usuários simultâneos; volume de dados entre 100 GB e 1 TB |
| Criticidade | Alta — impacto em processos críticos da instituição; SLA típico de 99,5% a 99,9% |
| Ciclo de vida | 6 a 12 meses do levantamento até produção; 3 a 5 anos de manutenção e evolução |
| Equipe | 4 a 8 desenvolvedores, 1 arquiteto, 1 product owner, 1 a 2 QA, suporte de DevOps |
| Tecnologia | Stack moderno: cloud-native, containers, microsserviços ou monolito modular escalável |
Problema institucional típico
Seção intitulada “Problema institucional típico”- Otimizar processo administrativo ou de negócio (hoje manual ou em sistema legado).
- Reduzir tempo de processamento e taxa de erros operacionais.
- Melhorar a conformidade com leis aplicáveis (LGPD, LAI, governo digital).
- Aumentar rastreabilidade e auditoria de decisões.
Público afetado
Seção intitulada “Público afetado”Cidadãos, servidores públicos, gestores da instituição, órgãos auditores e o poder judiciário em caso de contestação.
Valor esperado
Seção intitulada “Valor esperado”| Tipo de valor | Métrica de exemplo |
|---|---|
| Eficiência | Redução de tempo de processamento (por exemplo, de 2–3 dias para horas) |
| Qualidade | Redução expressiva de erros de entrada/processamento via validação automática |
| Conformidade | Auditoria das ações; rastreamento de quem fez o quê e quando |
| Satisfação | NPS pós-lançamento como indicador de adoção |
| Sustentabilidade | Custo operacional menor; facilidade de manutenção e evolução |
Os percentuais e metas de melhoria devem ser definidos e validados pela área de negócio. Trate os exemplos acima como ponto de partida para a discussão.
Camada 2 — Ambiente normativo e conformidade
Seção intitulada “Camada 2 — Ambiente normativo e conformidade”Mapear leis, políticas, regras de negócio, segurança, privacidade, acessibilidade e governança aplicáveis ao sistema. Para o panorama amplo de instrumentos normativos sobre IA, ver Conformidade e a seção Normas e Legislação das Referências.
Referenciais normativos críticos
Seção intitulada “Referenciais normativos críticos”| Referencial | Requisitos-chave | Responsável típico |
|---|---|---|
| LGPD — Lei 13.709/2018 | Proteção de dados pessoais; consentimento; direito de acesso/exclusão; criptografia em repouso e trânsito | Arquiteto + Encarregado/DPO |
| LAI — Lei 12.527/2011 | Acesso à informação pública; transparência; prazos de resposta | PO + Gestão |
| eMAG / WCAG 2.1 | Acessibilidade digital (contraste, navegação, leitores de tela, inclusão) | UX/UI + QA |
| Decreto 10.947/2022 | Governança de contratações de TI; planejamento e riscos | GTI / Arquiteto |
| ISO/IEC 27001 (NBR ISO/IEC 27001) | Segurança da informação; controles de acesso; autenticação; auditoria | Arquiteto + SecOps |
| Lei 14.129/2021 — Governo Digital | Transações eletrônicas, dados abertos, interoperabilidade, simplificação | GTI + PO |
Requisitos de segurança por camada
Seção intitulada “Requisitos de segurança por camada”| Camada | Controles típicos |
|---|---|
| Apresentação | HTTPS obrigatório, CSP headers, proteção contra XSS/CSRF |
| Aplicação | Validação de entrada, sanitização, rate limiting, autenticação MFA |
| Dados | Criptografia (por exemplo, AES-256), gerenciamento de chaves em vault externo, backup criptografado |
| Infraestrutura | Rede isolada, firewall, WAF, logging centralizado, alertas de anomalia |
Os controles concretos (algoritmos, produtos e parâmetros) devem ser definidos em ADRs e validados por arquitetura e segurança institucional, não copiados diretamente desta tabela.