PSI
PSI
Compliance standard for information security.
Total Requirements
11
defined requirements
Mapped Controls
15
control mappings
Overall Compliance
60.0%
9/15 controls compliant
Related Risks
11
8 critical · 2 high
Compliance by Framework
Qriar IAM Security Framework
15 mapped controls
Assessment: Assessment 2026 v0.10
9 Compliant
6 Partial
0 Non-Compliant
Compliance Trend
Requirements Coverage
4.1
Princípio do Menor Privilégio
1 controls
O acesso aos recursos de informação deve ser restrito ao mínimo necessário para o desempenho da função (Need-to-Know), vedando-se a concessão de perfis genéricos ou cópia de perfil sem validação de função.
| ID | Description | Reference |
|---|---|---|
| JML-002 | Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... | 4.1 |
4.2
Gestão do Ciclo de Vida (JML)
1 controls
A concessão, alteração e revogação de acessos deve seguir fluxo formal. O acesso de colaboradores desligados deve ser revogado em tempo real ou no prazo máximo de 24 horas após a comunicação do RH.
| ID | Description | Reference |
|---|---|---|
| JML-003 | Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... | 4.2 |
4.3
Revisão de Acessos (IGA)
2 controls
Os direitos de acesso de usuários e contas privilegiadas devem ser revisados (recertificados) em intervalos regulares não superiores a 6 meses.
| ID | Description | Reference |
|---|---|---|
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | 4.3 |
| JML-004 | Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... | 4.3 |
5.1
Autenticação Humana (MFA)
2 controls
O uso de Múltiplo Fator de Autenticação (MFA) é obrigatório para todo acesso remoto, acesso a dados confidenciais e para todas as contas administrativas, sendo vedado o uso de SMS como fator único para administradores.
| ID | Description | Reference |
|---|---|---|
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... | 5.1 |
| AUTH-002 | Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. | 5.1 |
5.2
Gestão de Senhas
1 controls
É proibido o uso de senhas comuns, vazadas ou contendo dados pessoais. O sistema deve validar a qualidade da senha no momento da criação.
| ID | Description | Reference |
|---|---|---|
| AUTH-004 | Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... | 5.2 |
5.3
Identidades de Máquina (Non-Human)
2 controls
Toda identidade de máquina deve ter um Dono (Custodiante) humano identificado. É vedado o login interativo em contas de serviço. Credenciais estáticas devem ser rotacionadas a cada 90 dias ou gerenciadas via cofres/Managed Identities.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | 5.3 |
| MON-005 | Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... | 5.3 |
6.1
Restrição de Privilégios
1 controls
O uso de contas administrativas é restrito a tarefas de gestão. É proibido o uso dessas contas para atividades cotidianas (e-mail, navegação).
| ID | Description | Reference |
|---|---|---|
| PAM-002 | Separar contas: adm-user (sem email/web) para gestão e user para uso diário. | 6.1 |
6.2
Acesso Just-in-Time (JIT)
1 controls
O acesso privilegiado deve ser concedido sob demanda, por tempo limitado e revogado automaticamente após o uso. A permanência de privilégios (Standing Access) deve ser exceção justificada.
| ID | Description | Reference |
|---|---|---|
| PAM-001 | Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... | 6.2 |
6.3
Contas de Emergência (Break Glass)
2 controls
Devem existir no mínimo duas contas de emergência, não nominais, com senhas complexas fracionadas ou armazenadas em cofre seguro. Qualquer uso deve disparar alerta de prioridade máxima (P1).
| ID | Description | Reference |
|---|---|---|
| PAM-005 | 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... | 6.3 |
| MON-004 | Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... | 6.3 |
7.1
Logs e Auditoria
1 controls
Logs de auditoria devem ser coletados, centralizados e protegidos contra alteração por período mínimo de 12 meses.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | 7.1 |
7.2
Detecção de Ameaças
1 controls
A organização deve manter mecanismos ativos para detecção de comportamento anômalo, uso de credenciais vazadas e atividades de Shadow IT (aplicativos não homologados).
| ID | Description | Reference |
|---|---|---|
| MON-003 | Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... | 7.2 |
Risk Exposure
Risk Distribution
Educational Content
Standard Overview
Compliance standard for information security.
How Compliance is Calculated
Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.
- Compliant: Maturity level 3 or above
- Partial: Maturity level 1-2
- Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
- Conduct a gap analysis to identify areas needing improvement
- Prioritize controls based on risk assessment results
- Establish clear ownership and accountability for each control
- Implement continuous monitoring and regular reviews
- Document evidence of compliance for audit readiness
- Train staff on security awareness and standard requirements