Resposta Avaliação Netglobe TPRM — Fase Final

3 Controles Restantes — Passo a Passo

Maju Personalizados / AXIA Energia — BRIIN Marketing

Código
MJ.BRN_GUIA_3CTRL_v1.0
Data
25/05/2026
Responsável Maju
Diogo Martins / TI
Tempo total Maju
~1h20
Controles
CRIP 5 · BD 3 · BKP 5
🔍

Contexto e Diagnóstico

Por que esses 3 controles ficaram por último — e o que cada um exige

🎯
Estado atual: CRIP 3 e CRIP 4 já estão fechados (pacotes prontos e prints capturados). Restam 3 controles sob responsabilidade da Maju TI. Os 3 têm naturezas distintas — não é trabalho repetitivo. Após esses, todos os controles do Grupo E (Responsabilidade Maju) estarão finalizados e o pacote consolidado poderá ser submetido à Netglobe para reavaliação.
~40min
CRIP 5
Matriz + política + 7 prints
~15min
BD 3
Política + 1 print extra
~25min
BKP 5
Corrigir documento original
~1h20
Total Maju
Tempo somado
Boa notícia: 70% do BD 3 já está coberto pelo print Microsoft Service Assurance capturado para o CRIP 3 (menciona literalmente TDE no SQL Azure e chaves no Azure Key Vault). Reaproveitamos sem refazer.
📥

Downloads dos Modelos

Arquivos prontos para preenchimento — clique para baixar

📊

CRIP5_matriz_SoD.xlsx

Planilha com 6 abas: instruções, perfis Bling, usuários ativos, matriz de 13 pares de funções conflitantes, conflitos detectados, referências normativas. Preencher antes de mandar.

Baixar XLSX
📄

MJ.GER_PL_XXX - Politica de Controle de Acesso e SoD.docx

Política formal do CRIP 5 — basta revisar, ajustar campos entre [colchetes], definir o número definitivo (XXX) e aprovar. Estrutura completa: glossário, ISO 27001 A.5.3/A.5.15/A.5.16/A.8.2, matriz de 13 conflitos, ciclo de vida de acesso, papéis e revisão.

Baixar DOCX
📄

MJ.GER_PL_116 - Politica de Gestao de Chaves do BD.docx

Política formal do BD 3 — modelo SaaS-first reconhecendo que a Maju não opera banco próprio. Defesa apoiada em ISO 27001 A.5.21 (cadeia de fornecimento). Inclui inventário dos bancos em uso, gestão por plataforma (Microsoft 365 e Bling) e plano de evolução.

Baixar DOCX
ℹ️
Três modelos prontos para download: matriz SoD (XLSX), política CRIP 5 e política BD 3 (DOCX). Para o BKP 5, a Maju utiliza o documento original que já existe no SharePoint e aplica as 4 correções descritas no passo a passo do controle.
🔐

CRIP 5 — Segregação de Funções (SoD)

Garantir que funções conflitantes estão em pessoas diferentes

~40 min Maju
CRIP 5

Matriz SoD + Política de Controle de Acesso + prints Entra ID / Bling

Provar que ninguém acumula funções conflitantes (cadastra fornecedor ≠ aprova pagamento, etc.)

~40 min
O que a Netglobe pediu
Matriz de responsabilidades mostrando que funções críticas estão separadas + prints das roles no Microsoft Entra ID confirmando que ninguém acumula funções conflitantes.
Por que recebeu nota 0
A evidência anterior não mostrou a segregação na prática. Netglobe precisa ver matriz formal + prints técnicos do sistema. Sem isso, considerou não implementado.
Passo a passo
  • PASSO 1 — Preencher a Matriz SoD (15 min): Abrir o arquivo CRIP5_matriz_SoD.xlsx (download acima). Aba 1 (Perfis Bling): apagar perfis-exemplo que não existem, ajustar nomes reais. Aba 2 (Usuários): listar usuários ativos do Bling e M365 com perfil de cada. Aba 3 (Matriz): marcar OK / CONFLITO / N/A em cada um dos 13 pares. Aba 4 (Conflitos): se algum CONFLITO foi marcado, registrar plano de mitigação.
  • PASSO 2 — Capturar 4 prints do Microsoft Entra ID (10 min): Acessar entra.microsoft.com → Identity → Roles & admins.
    (A) Lista de Roles administrativas → CRIP5_entra_roles_lista.png
    (B) Global Administrator → Assignments → CRIP5_entra_global_admins.png
    (C) User Administrator → Assignments → CRIP5_entra_user_admin.png
    (D) Billing Administrator → Assignments → CRIP5_entra_billing_admin.png
  • PASSO 3 — Capturar 3 prints do Bling (5 min): Acessar Configurações → Usuários.
    (A) Tela de Perfis de Acesso → CRIP5_bling_perfis.png
    (B) Lista de usuários ativos com perfis → CRIP5_bling_usuarios.png
    (C) Detalhe de 2-3 usuários representativos → CRIP5_bling_usuario_<nome>.png
  • PASSO 4 — Revisar e aprovar a Política de Controle de Acesso e SoD (10 min): Baixar o arquivo MJ.GER_PL_XXX - Politica de Controle de Acesso e SoD.docx (download acima). Preencher os campos entre [colchetes]: data de emissão, número oficial (substituir XXX por código real do controle de documentos da Maju, ex.: MJ.GER_PL_119), nomes dos aprovadores. Revisar o conteúdo — especialmente itens 7.2 (perfis por plataforma) e seção 9 (matriz de conflitos) para garantir alinhamento com a realidade da Maju. Salvar como CRIP5_politica_acesso_sod_v1.0.docx e assinar (Diogo + Fernando).
⚠️
Atenção crítica — Global Administrator: deve ter entre 2 e 4 pessoas. Se tiver apenas 1, é Single Point of Failure. Se tiver mais de 5, é privilégio excessivo. Ambos os extremos a Netglobe pode questionar — se for esse o caso, ajustar antes do print.
🗄️

BD 3 — Gestão de Chaves do Banco de Dados

Modelo SaaS-first — reaproveita evidência do CRIP 3

~15 min Maju
BD 3

Política formal de gestão de chaves do banco + print do gerenciamento de chaves

A Maju não opera banco próprio — defesa via ISO 27001 A.5.21 (cadeia de fornecimento)

~15 min
O que a Netglobe pediu
Documento formal de gestão de chaves do banco de dados (geração, armazenamento, rotação, expiração, descarte) + print da configuração das chaves do banco com evidência de rotação.
Estratégia adotada
A Maju opera modelo SaaS-first — sem banco próprio. Bancos estão no Bling (LWSA) e no Microsoft 365 (Exchange/SharePoint usam Azure SQL). Defesa pela ISO 27001 A.5.21 (delegação contratual a fornecedores certificados).
70% do BD 3 já está coberto pelo CRIP 3. O print Microsoft Service Assurance que o Diogo capturou diz literalmente: "Encriptação de Dados Transparente (TDE) na Base de Dados SQL do Azure" e "chave de cliente é armazenada no Azure Key Vault". Isso é exatamente o que BD 3 pede.
Passo a passo
  • PASSO 1 — Baixar e revisar a Política BD 3 (10 min): Baixar o arquivo MJ.GER_PL_116 - Politica de Gestao de Chaves do BD.docx (download na seção de modelos). Preencher os campos entre [colchetes]: data de emissão, datas de assinatura. Revisar o conteúdo — especialmente itens 6 (Modelo Operacional), 7 (Bancos em Uso) e 8 (Gestão de Chaves por Plataforma SaaS). Salvar como BD3_politica_chaves_bd_v1.0.docx e assinar (Diogo + Fernando).
  • PASSO 2 — Capturar 1 print extra do Microsoft Service Assurance (5 min): Acessar https://learn.microsoft.com/pt-br/compliance/assurance/assurance-encryption-for-microsoft-365-services. Rolar até a seção "BitLocker e Distributed Key Manager (DKM) para criptografia" ou "Gerenciamento de chaves". Capturar mostrando como Microsoft gerencia as chaves do SQL Azure. Garantir URL visível. Salvar como BD3_microsoft_key_management.png.
  • PASSO 3 — Reaproveitar prints existentes (0 min): Renomear os prints que já capturamos para o CRIP 3:
    → Microsoft Service Assurance SharePoint/OneDrive (TDE + Key Vault) → BD3_microsoft_tde_keyvault.png
    → Termos Bling cláusula 4.9 (backup) → BD3_bling_backup_termos.png
    → Política LWSA Seção 10 (Segurança) → BD3_lwsa_seguranca.png
  • PASSO 4 — Consolidar o pacote BD 3: Reunir em uma pasta BD3/: política assinada + 4 prints. Pasta pronta para envio à Netglobe.
💾

BKP 5 — Revisão Periódica de Backup

Correção pontual do documento existente — não é refazer tudo

~25 min Maju
BKP 5

Localizar e corrigir o documento original de backup

Não é refazer tudo — só corrigir 4 pontos no documento que já existe

~25 min
O que a Netglobe rejeitou
Data de "próxima revisão" no documento é anterior à data de aprovação — inconsistência cronológica grave. Netglobe interpretou como documento gerado por IA sem revisão humana.
O que precisa ser corrigido
(1) Ajustar data de próxima revisão para futura coerente; (2) incrementar V01→V02; (3) histórico de revisões explicando a correção; (4) adicionar referência NIST SP 800-111.
Passo a passo
  • PASSO 1 — Localizar o documento original (5 min): Buscar no SharePoint da Maju o arquivo que foi rejeitado pela Netglobe. Provavelmente algo como: Procedimento_Backup_Restauracao.docx ou Politica_Backup_v01.docx. Fazer uma cópia para edição.
  • PASSO 2 — Aplicar as 4 correções (15 min):
    (a) Ajustar a data de "próxima revisão" para uma data futura coerente (ex.: aprovado em 25/05/2026 → próxima revisão em 25/05/2027);
    (b) Incrementar a versão: V01V02;
    (c) Adicionar a tabela de histórico de revisões no início do documento, contendo:
    V01 — DD/MM/AAAA — Emissão inicial
    V02 — 25/05/2026 — Correção de inconsistência cronológica entre data de aprovação e data de próxima revisão. Adicionada referência NIST SP 800-111.
    (d) Adicionar a referência normativa NIST SP 800-111 — Guide to Storage Encryption Technologies for End User Devices na seção de Referências Normativas do documento.
    Salvar como BKP5_politica_backup_v02.docx e coletar assinatura.
  • PASSO 3 — (Opcional, mas recomendado) Prints de evidência (5 min):
    (A) Configuração de retenção/backup do M365 (Purview) → BKP5_m365_retencao.png
    (B) Backup do Bling (se disponível) → BKP5_bling_backup.png
    (C) Histórico de backup recente → BKP5_evidencia_backup_recente.png
  • PASSO 4 — Consolidar o pacote BKP 5: Reunir em uma pasta BKP5/: documento V02 assinado + prints opcionais. Pasta pronta para envio à Netglobe.

Fluxo Operacional Sugerido

Ordem de execução otimizada — do mais simples ao mais complexo

1
Primeiro — Mais simples
BKP 5 — Localizar e corrigir o documento de backup
Abrir o SharePoint, localizar o arquivo de Procedimento de Backup, aplicar as 4 correções (datas, versão V02, histórico de revisões, referência NIST SP 800-111) e coletar assinatura.
⏱ 25 min📄 1 documento corrigido
2
Segundo — Reaproveita CRIP 3
BD 3 — Revisar política modelo + capturar 1 print extra
Baixar a política BD 3 (modelo pronto), revisar, assinar. Capturar 1 print extra na página da Microsoft (Gerenciamento de chaves / BitLocker DKM). Reaproveitar prints do CRIP 3.
⏱ 15 min📄 1 política📷 1 print novo
3
Terceiro — Mais trabalhoso
CRIP 5 — Preencher matriz + revisar política + capturar 7 prints
Baixar a planilha e a política (modelos prontos), preencher com dados reais, capturar 4 prints do Entra ID + 3 prints do Bling. Assinar e consolidar.
⏱ 40 min📊 1 planilha📄 1 política📷 7 prints
Resultado final
3 pacotes prontos para envio à Netglobe
Após executar os 3 controles, a Maju terá: BKP5/ (1 doc corrigido + prints opcionais) · BD3/ (1 política + 4 prints) · CRIP5/ (1 política + 1 matriz + 7 prints). Pronto para reavaliação Netglobe.
📦 3 pacotes📄 2 políticas novas📄 1 corrigida📷 ~12 prints
📁

Organização Final do Pacote

Estrutura de pastas para envio à Netglobe

Organize tudo em uma pasta única antes do envio

Estrutura recomendada para entrega à Netglobe:

📂 evidencias-3-controles/
  1. Criar uma pasta única chamada evidencias-3-controles
  2. Dentro dela, criar 3 subpastas:
    • CRIP5/ — matriz preenchida + política assinada + 7 prints (Entra ID + Bling)
    • BD3/ — política assinada + 1 print novo + 3 prints reaproveitados do CRIP 3
    • BKP5/ — documento V02 corrigido e assinado + (opcional) 3 prints
  3. Renomear cada arquivo seguindo o padrão definido em cada passo (ex.: CRIP5_entra_global_admins.png)
  4. Compactar a pasta inteira em ZIP (clique direito → "Comprimir")
  5. Submeter à Netglobe via canal oficial de reavaliação
🎯
Após esses 3 controles, todos os controles sob responsabilidade da Maju TI estarão fechados. O pacote consolidado final (CRIP 3, CRIP 4, CRIP 5, BD 3, BKP 5) poderá ser submetido à Netglobe para reavaliação.
BRIIN Marketing × AXIA Energia × Maju Personalizados · Resposta à avaliação Netglobe NGCSxAXIA
Documento elaborado por Douglas Henrique · 25/05/2026 · v1.0