[
  {
    "categoria": "documental",
    "numero": 1,
    "ponto": "Politica de classificacao de incidentes escrita e assinada pela direcao (matriz severidade para reporting DORA e NIS2)",
    "prioridade": "Critica",
    "prova_requerida": "Documento PDF assinado pelo COMEX + matriz severidade/reporting versionada"
  },
  {
    "categoria": "documental",
    "numero": 2,
    "ponto": "Procedimento de notificacao DORA 4 horas documentado, validado pela direcao juridica, atualizado anualmente",
    "prioridade": "Critica",
    "prova_requerida": "Runbook DORA + visto da direcao juridica + log de revisao anual"
  },
  {
    "categoria": "documental",
    "numero": 3,
    "ponto": "Procedimento de notificacao NIS2 24 horas documentado, alinhado com o portal nacional (MonEspaceNIS2, BSI, ACN)",
    "prioridade": "Critica",
    "prova_requerida": "Runbook NIS2 + mapping de portal por jurisdicao + contas de utilizador"
  },
  {
    "categoria": "documental",
    "numero": 4,
    "ponto": "DPA RGPD assinado com o fornecedor de status page, incluindo a lista de subcontratados",
    "prioridade": "Alta",
    "prova_requerida": "DPA contra-assinado + anexo de subcontratados atualizado"
  },
  {
    "categoria": "documental",
    "numero": 5,
    "ponto": "Registo de fornecedores ICT atualizado, conforme DORA Artigo 28 paragrafo 3",
    "prioridade": "Critica",
    "prova_requerida": "Registo Excel/SaaS + campo CIFA + data da ultima revisao"
  },
  {
    "categoria": "documental",
    "numero": 6,
    "ponto": "Exit strategy do fornecedor de status page testada anualmente e documentada",
    "prioridade": "Alta",
    "prova_requerida": "Plano de saida + ata do teste anual"
  },
  {
    "categoria": "documental",
    "numero": 7,
    "ponto": "Plano de comunicacao de crise validado pelo COMEX (papeis, mensagens tipo, canais)",
    "prioridade": "Alta",
    "prova_requerida": "Documento assinado pelo COMEX + RACI + templates de comunicacao"
  },
  {
    "categoria": "tecnico",
    "numero": 8,
    "ponto": "Status page hospedada fora da infraestrutura aplicacional, com prova de independencia testada",
    "prioridade": "Critica",
    "prova_requerida": "Diagrama de arquitetura + resultado do teste de isolamento (chaos test)"
  },
  {
    "categoria": "tecnico",
    "numero": 9,
    "ponto": "Marca temporal RFC 3339 UTC em todo o lado, sem excecao (interface, API, exportacoes)",
    "prioridade": "Critica",
    "prova_requerida": "Captura de interface + payload API + exportacao JSON/RSS datada UTC"
  },
  {
    "categoria": "tecnico",
    "numero": 10,
    "ponto": "Severidade codificada em 4 niveis minimo (operational, degraded, partial outage, major outage)",
    "prioridade": "Alta",
    "prova_requerida": "Documentacao de produto + capturas de estado + tabela de correspondencia interna"
  },
  {
    "categoria": "tecnico",
    "numero": 11,
    "ponto": "Exportacao estruturada disponivel em JSON, RSS e Atom, completada por ICS para manutencao",
    "prioridade": "Alta",
    "prova_requerida": "URLs publicos dos feeds + exemplos de payload arquivados"
  },
  {
    "categoria": "tecnico",
    "numero": 12,
    "ponto": "Audit trail visivel em cada atualizacao, identificando o autor (papel minimo)",
    "prioridade": "Critica",
    "prova_requerida": "Captura de interface + extrato log de auditoria + politica de papeis"
  },
  {
    "categoria": "tecnico",
    "numero": 13,
    "ponto": "Versionamento das atualizacoes de incidentes, jamais sobrescrita retroativa",
    "prioridade": "Critica",
    "prova_requerida": "Demonstracao de historico de um incidente + politica de modificacao"
  },
  {
    "categoria": "tecnico",
    "numero": 14,
    "ponto": "Monitoring multirregiao em pelo menos 4 zonas (UE, US, APAC, UK)",
    "prioridade": "Alta",
    "prova_requerida": "Lista de sondas por regiao + relatorio de cobertura mensal"
  },
  {
    "categoria": "tecnico",
    "numero": 15,
    "ponto": "Notificacoes multicanal operacionais: email, webhook, RSS, SMS opcional",
    "prioridade": "Media",
    "prova_requerida": "Lista de canais ativos + teste de envio trimestral"
  },
  {
    "categoria": "tecnico",
    "numero": 16,
    "ponto": "Arquivamento imutavel WORM ou registo assinado durante pelo menos 6 anos",
    "prioridade": "Critica",
    "prova_requerida": "Estrategia de arquivamento + prova de imutabilidade (hash, S3 Object Lock, Glacier)"
  },
  {
    "categoria": "tecnico",
    "numero": 17,
    "ponto": "Seguranca do dominio status: DNSSEC ativo, HTTPS estrito, HSTS, CAA, teste HSTS validado",
    "prioridade": "Alta",
    "prova_requerida": "Relatorio DNSSEC + captura HSTS preload + registo CAA + scan TLS"
  },
  {
    "categoria": "organizacional",
    "numero": 18,
    "ponto": "Papel DORA Incident Notifier designado por escrito, com backup (equivalente CSSF eDesk role)",
    "prioridade": "Critica",
    "prova_requerida": "Carta de nomeacao + backup + extrato de organograma"
  },
  {
    "categoria": "organizacional",
    "numero": 19,
    "ponto": "Disponibilidade 24/7 no canal status page, com rotacao documentada e calendario anual",
    "prioridade": "Critica",
    "prova_requerida": "Calendario de disponibilidade + ferramenta de paging + politica de rotacao"
  },
  {
    "categoria": "organizacional",
    "numero": 20,
    "ponto": "Drill 4 horas trimestral em forma de tabletop exercise, seguido de um post-mortem do drill",
    "prioridade": "Alta",
    "prova_requerida": "Ata do drill + plano de acao + post-mortem assinado"
  },
  {
    "categoria": "organizacional",
    "numero": 21,
    "ponto": "Mapping documentado das autoridades nacionais por jurisdicao (ACPR / BaFin / ACN / CSSF / Banca d'Italia + CSIRT NIS2 + CNIL e equivalentes RGPD)",
    "prioridade": "Alta",
    "prova_requerida": "Tabela de correspondencia + URLs e contactos oficiais por pais"
  },
  {
    "categoria": "organizacional",
    "numero": 22,
    "ponto": "KPI delay-to-publish seguido em continuo, com objetivo inferior a 15 minutos",
    "prioridade": "Alta",
    "prova_requerida": "Dashboard interno + relatorio mensal + limiares de alerta"
  },
  {
    "categoria": "organizacional",
    "numero": 23,
    "ponto": "Comunicacoes a clientes pre-redigidas por cenario, validadas pelo DPO e direcao juridica",
    "prioridade": "Media",
    "prova_requerida": "Biblioteca de mensagens tipo + visto DPO + visto direcao juridica"
  },
  {
    "categoria": "organizacional",
    "numero": 24,
    "ponto": "Formacao anual das equipas SRE e comunicacao sobre as obrigacoes DORA e NIS2",
    "prioridade": "Alta",
    "prova_requerida": "Plano de formacao + lista de presencas + folha de avaliacao"
  },
  {
    "categoria": "organizacional",
    "numero": 25,
    "ponto": "Revisao anual COMEX e conselho de administracao sobre os incidentes graves (DORA Artigo 17)",
    "prioridade": "Critica",
    "prova_requerida": "Ata COMEX + deliberacao do conselho + indicadores de incidentes"
  }
]