Voltar para Documentos

Evidências para Auditoria

Processos e Procedimentos

Evidências para Auditoria - nCommand Lite

Documento: Mapeamento de Evidências para Auditoria
Versão: 1.0
Data: 1/12/2025
Responsável: QA Leader

1. Objetivo

Este documento mapeia todas as evidências necessárias para auditorias regulatórias (ISO 13485, IEC 62304, ISO 14971, ISO 27001), indicando claramente onde cada evidência está armazenada e como acessá-la.

2. Arquitetura de Evidências

2.1 Sistemas de Armazenamento

SistemaFunçãoTipo de EvidênciaAcesso
Azure DevOpsFonte da Verdade de ExecuçãoRequisitos, código, testes, aprovaçõesWeb UI / API
DefectDojoFonte da Verdade de SegurançaVulnerabilidades, scans, triagemWeb UI / API
SharePoint OnlineRepositório Legal (DHF)Documentos assinados, imutáveisWeb UI / Microsoft 365
Azure ReposVersionamento GitHistórico de código, commitsWeb UI / Git CLI
SonarCloudQualidade de CódigoRelatórios SAST, métricasWeb UI / API
Azure SentinelMonitoramento SIEMLogs, incidentesWeb UI

3. Evidências por Fase do Ciclo de Vida

FASE 1: Planejamento, Risco e Infraestrutura

3.1 Requisitos e Especificações

EvidênciaOnde EstáComo AcessarResponsável
Work Items (Features/User Stories)Azure DevOps → Boardshttps://dev.azure.com/ionic-health/nCommand-Lite/_boardsPO/UX
Perfil de Usuário (IEC 62366)Azure DevOps → Work Item → Campos customizadosWork Item → Campo "Perfil de Usuário"PO/UX
Tarefas Principais (IEC 62366)Azure DevOps → Work Item → Campos customizadosWork Item → Campo "Tarefas Principais"PO/UX
Histórico de RequisitosAzure DevOps → Boards → Work ItemsFiltros por área/persona/sprintPO/UX

Auditoria: Mostrar criação, aprovação e rastreabilidade de requisitos.

3.2 Análise de Riscos (ISO 14971)

EvidênciaOnde EstáComo AcessarResponsável
Work Items de RiscoAzure DevOps → Boards → Tipo "Risk"Filtro: Work Item Type = RiskQA
Análise de Risco (RPN)Azure DevOps → Work Item → Campos customizadosWork Item → Campos: Severidade, Probabilidade, Detectabilidade, RPNQA/PO
Consulta Histórico DefectDojoDefectDojo → FindingsBuscar por projeto/engagements antigosArquiteto
uFMEA (Análise de Erro de Uso)Azure DevOps → Work Item → Comentários/AnexosWork Item → Aba "Attachments"UX
Relacionamento Risco → RequisitoAzure DevOps → Work Item → LinksWork Item → Aba "Links" → Relação "Mitigates"QA

Auditoria: Mostrar identificação, análise e rastreabilidade de riscos.

3.3 Aceitação de Riscos

EvidênciaOnde EstáComo AcessarResponsável
Risk Acceptance FormSharePoint → /Risk Management/Risk Acceptance Forms/https://[tenant].sharepoint.com/...QA Leader
Risk Acceptance RegisterSharePoint → /Risk Management/Risk Acceptance Register/Excel/PDF com lista completaQA Leader
Status de Aceitação no ADOAzure DevOps → Work Item → Campo "Risk Acceptance Status"Work Item → Campo customizadoQA Leader
Aprovações DigitaisSharePoint → PDF assinadoArquivo PDF com assinaturasQA Leader
Análise de Benefício/RiscoSharePoint → /Risk Management/Risk Analysis/Benefit-Risk-Analysis/Documento Word/PDFQA Leader

Auditoria: Mostrar processo formal de aceitação e justificativas.

3.4 Gate de Aprovação (FASE 1)

EvidênciaOnde EstáComo AcessarResponsável
Aprovação do QA LeaderAzure DevOps → Work Item → State = "Approved"Work Item → Histórico de mudançasQA Leader
Comentário de AprovaçãoAzure DevOps → Work Item → ComentáriosWork Item → Aba "Comments"QA Leader
Work Item State HistoryAzure DevOps → Work Item → HistoryWork Item → Aba "History"Sistema

Auditoria: Mostrar aprovação formal antes do desenvolvimento iniciar.

FASE 2: Desenvolvimento e Codificação

3.5 Versionamento e Código

EvidênciaOnde EstáComo AcessarResponsável
Branches GitAzure Repos → Brancheshttps://dev.azure.com/.../_git/nCommand-Lite/branchesDeveloper
Commits com Work Item IDAzure Repos → CommitsFiltro: commits contendo "[WORKITEM-ID]"Developer
Histórico de CommitsAzure Repos → HistoryBranch → View HistorySistema
Estrutura de Branches (Gitflow)Azure Repos → BranchesVisualização de branches: main/develop/feat/*Sistema

Auditoria: Mostrar rastreabilidade código → requisito.

3.6 Code Review e Pull Requests

EvidênciaOnde EstáComo AcessarResponsável
Pull RequestsAzure Repos → Pull Requestshttps://dev.azure.com/.../_git/nCommand-Lite/pullrequestsDeveloper
Work Item Vinculado no PRAzure Repos → PR → Description/Linked Work ItemsPR → Aba "Work Items"Developer
Aprovações de Code ReviewAzure Repos → PR → ReviewersPR → Aba "Reviewers" → Status "Approved"Dev Team
Comentários de ReviewAzure Repos → PR → Files/CommentsPR → Comentários inlineDev Team
Build Status no PRAzure Repos → PR → ChecksPR → Aba "Checks" → Status do PipelineSistema
Histórico de PRsAzure Repos → Pull Requests → CompletedFiltro por data/statusSistema

Auditoria: Mostrar processo de review e aprovação de código.

3.7 Pre-commit Hooks e Validações

EvidênciaOnde EstáComo AcessarResponsável
Configuração de HooksAzure Repos → .pre-commit-config.yamlArquivo no repositórioDevOps
Execução de HooksLogs do Git client (local)git log + histórico localDeveloper
Falhas de HooksLogs de commit (quando hooks falham)Mensagens de erro no commitSistema

Auditoria: Mostrar validações automáticas antes do commit.

3.8 Testes Unitários

EvidênciaOnde EstáComo AcessarResponsável
Código de TestesAzure Repos → tests/Arquivos de teste no repositórioDeveloper
Relatórios de TestesAzure DevOps → Pipelines → Test ResultsBuild → Aba "Tests" → RelatórioSistema
Cobertura de CódigoAzure DevOps → Pipelines → Code CoverageBuild → Aba "Code Coverage"Sistema
Pass Rate (100%)Azure DevOps → Pipelines → Test ResultsBuild → Test SummarySistema

Auditoria: Mostrar execução e resultados de testes unitários.

3.9 Infraestrutura como Código (IaC)

EvidênciaOnde EstáComo AcessarResponsável
Código TerraformAzure Repos → infrastructure/azure/Arquivos .tf no repositórioDevOps
Estado do TerraformAzure Storage Account (backend)Via Terraform CLI ou Azure PortalDevOps
Histórico de Mudanças IaCAzure Repos → Commits em infrastructure/Git history dos arquivos IaCDevOps
Proibição de Mudanças ManuaisAzure Portal → Activity Log (ausência de mudanças)Verificar logs de atividadeSistema

Auditoria: Mostrar controle de infraestrutura via código.

FASE 3: Verificação Automatizada e Ingestão de Segurança

3.10 Pipeline CI/CD

EvidênciaOnde EstáComo AcessarResponsável
Definição do PipelineAzure Repos → pipelines/azure-pipelines.ymlArquivo YAML no repositórioDevOps
Execução do PipelineAzure DevOps → Pipelines → RunsHistórico de execuçõesSistema
Logs de BuildAzure DevOps → Pipeline Run → LogsRun → Aba "Logs"Sistema
Status do PipelineAzure DevOps → Pipelines → StatusVisualização de status (Success/Failed)Sistema
Gates de PipelineAzure DevOps → Pipeline → Gates/ChecksConfiguração de gatesDevOps

Auditoria: Mostrar execução automatizada e gates configurados.

3.11 SAST (SonarCloud)

EvidênciaOnde EstáComo AcessarResponsável
Quality Gate StatusSonarCloud → Project Dashboardhttps://sonarcloud.io/project/overview?id=...DevOps
Relatório de QualidadeSonarCloud → Project → Quality GateDashboard com métricasSistema
Issues IdentificadasSonarCloud → Project → IssuesLista de code smells/bugsSistema
Métricas de CódigoSonarCloud → Project → MeasuresCoverage, duplicação, etc.Sistema
Histórico de ScansSonarCloud → Project → ActivityTimeline de análisesSistema

Auditoria: Mostrar qualidade de código e conformidade com Quality Gate A.

3.12 SCA (Trivy)

EvidênciaOnde EstáComo AcessarResponsável
Relatório Trivy (JSON/XML)Azure DevOps → Pipeline → ArtifactsRun → Aba "Artifacts" → trivy-report.jsonSistema
Findings no DefectDojoDefectDojo → Findings → Tipo "SCA"Filtro: Test Type = TrivySistema
CVE IdentificadosDefectDojo → FindingsDetalhes do finding → CVE IDSistema
Status de CorreçãoDefectDojo → Findings → StatusMitigated, Active, etc.AppSec

Auditoria: Mostrar scan de dependências e tratamento de vulnerabilidades.

3.13 DefectDojo - Gestão Centralizada

EvidênciaOnde EstáComo AcessarResponsável
Findings (SAST/SCA/DAST)DefectDojo → FindingsLista completa de vulnerabilidadesAppSec
Engagement/TestDefectDojo → EngagementsEngagement por release/branchSistema
Relatórios de ScanDefectDojo → ReportsRelatórios gerados automaticamenteSistema
Deduplicação AutomáticaDefectDojo → Findings → "Duplicate"Status do findingSistema
Auto-Close de VulnerabilidadesDefectDojo → Findings → Status = "Mitigated"Histórico de mudançasSistema
Triagem (False Positive)DefectDojo → Findings → Status = "False Positive"Comentários de triagemAppSec
Ciclo de VidaDefectDojo → Findings → HistoryTimeline de mudançasSistema

Auditoria: Mostrar gestão centralizada e ciclo de vida completo.

3.14 Bloqueio de Pipeline por Vulnerabilidades

EvidênciaOnde EstáComo AcessarResponsável
Pipeline FailedAzure DevOps → Pipeline → Failed RunsRun → Status "Failed"Sistema
DefectDojo CheckAzure DevOps → Pipeline → LogsLogs do script defectdojo-check.shSistema
Vulnerabilidades Críticas/AltasDefectDojo → Findings → SeverityFiltro: Critical/HighSistema
Gate de SegurançaAzure DevOps → Pipeline → GatesConfiguração do gateDevOps

Auditoria: Mostrar bloqueio automático quando há vulnerabilidades.

3.15 DAST (OWASP ZAP)

EvidênciaOnde EstáComo AcessarResponsável
Relatório OWASP ZAPAzure DevOps → Pipeline → ArtifactsRun → zap-report.xmlSistema
Findings DAST no DefectDojoDefectDojo → Findings → Tipo "DAST"Filtro: Test Type = ZAPSistema
Deploy em StagingAzure DevOps → Pipeline → Deploy StageLogs de deploySistema

Auditoria: Mostrar testes dinâmicos de segurança.

3.15.1 Testes E2E Automatizados (Playwright/Selenium)

EvidênciaOnde EstáComo AcessarResponsável
Sanity Tests E2E (PR)Azure DevOps → Pipeline → Stage SanityTestsPR Checks → Status dos testesSistema
Smoke Tests E2EAzure DevOps → Pipeline → Stage SmokeTestsRun → Aba "Tests" → Smoke TestsSistema
Sanity Tests E2E (Staging)Azure DevOps → Pipeline → Stage SanityTestsStagingRun → Aba "Tests" → Sanity TestsSistema
E2E Tests (Fluxos Críticos)Azure DevOps → Pipeline → Stage E2ETestsRun → Aba "Tests" → E2E TestsSistema
Regression Tests E2EAzure DevOps → Pipeline → Stage RegressionTestsRun → Aba "Tests" → Regression TestsSistema
Relatórios Playwright (HTML)Azure DevOps → Pipeline → ArtifactsRun → Artifacts → playwright-reportSistema
Vídeos de Execução E2EAzure DevOps → Pipeline → ArtifactsRun → Artifacts → playwright-report/videosSistema
Screenshots E2EAzure DevOps → Pipeline → ArtifactsRun → Artifacts → playwright-report/screenshotsSistema
Playwright Trace ViewerAzure DevOps → Pipeline → ArtifactsRun → Artifacts → playwright-report/traceSistema
Test Cases no Azure Test PlansAzure DevOps → Test PlansTest Cases vinculados a E2E TestsSistema
Pass Rate (100%)Azure DevOps → Pipeline → Test ResultsRun → Test SummarySistema

Auditoria: Mostrar execução automatizada de testes E2E e evidências visuais.

FASE 4: Validação e Liberação

3.16 Testes Funcionais

Nota: Testes E2E automatizados reduzem significativamente a carga de testes funcionais manuais. Testes manuais focam em casos complexos e específicos.

EvidênciaOnde EstáComo AcessarResponsável
Test Cases (Manuais)Azure DevOps → Test Planshttps://dev.azure.com/.../_testManagement/...QA
Test Cases (E2E Automatizados)Azure DevOps → Test PlansTest Cases criados automaticamente a partir de E2E TestsSistema
Resultados de TestesAzure DevOps → Test Plans → RunsTest Run → ResultadosQA
Pass Rate (100%)Azure DevOps → Test Plans → SummaryRelatório de testesSistema
Screenshots/EvidênciasAzure DevOps → Test Plans → AttachmentsTest Case → AnexosQA
Evidências E2E AutomatizadasAzure DevOps → Pipeline → ArtifactsPlaywright reports com screenshots/vídeosSistema

Auditoria: Mostrar execução e resultados de testes funcionais (automatizados e manuais).

3.17 Testes de Usabilidade Somativos (IEC 62366)

EvidênciaOnde EstáComo AcessarResponsável
Plano de Teste de UsabilidadeAzure DevOps → Test Plans → Suite "Usability"Test Suite específicaUX/QA
Resultados SomativosAzure DevOps → Test Plans → ResultsTest Run → ResultadosQA
Análise de Erro de UsoAzure DevOps → Test Plans → AnnotationsComentários nos resultadosUX
Aprovação de UsabilidadeAzure DevOps → Test Plans → StatusSuite → Status "Passed"QA Leader

Auditoria: Mostrar conformidade com IEC 62366-1.

3.18 Geração do DHF (Design History File)

EvidênciaOnde EstáComo AcessarResponsável
Script de GeraçãoAzure Repos → pipelines/scripts/generate-dhf.shArquivo shell scriptDevOps
Matriz de RastreabilidadeSharePoint → /DHF/Version/v1.0.0/traceability-matrix-v1.0.0.pdfPDF geradoSistema
DHF CompletoSharePoint → /DHF/Version/v1.0.0/nCommand-Lite-DHF-v1.0.0.pdfPDF assinadoQA Leader
Logs de GeraçãoAzure DevOps → Pipeline → LogsRun → Logs do scriptSistema

Auditoria: Mostrar geração automatizada do DHF.

3.19 Certificado de Segurança

EvidênciaOnde EstáComo AcessarResponsável
Resumo DefectDojoDefectDojo → Reports → Security CertificateRelatório exportadoSistema
0 Vulnerabilidades Críticas/AltasDefectDojo → Findings → FiltroStatus: Active, Severity: Critical/High = 0Sistema
Certificado no DHFSharePoint → /DHF/Version/v1.0.0/security-certificate-v1.0.0.pdfPDF incluído no DHFQA Leader

Auditoria: Mostrar status de segurança no release.

3.20 Gate de Liberação

EvidênciaOnde EstáComo AcessarResponsável
Aprovação Digital do QA LeaderAzure DevOps → Work Item → State = "Approved"Work Item de ReleaseQA Leader
Comentário de AprovaçãoAzure DevOps → Work Item → CommentsComentário de aprovaçãoQA Leader
Checklist de LiberaçãoAzure DevOps → Work Item → ChecklistLista de verificaçãoQA Leader

Auditoria: Mostrar aprovação formal para liberação.

3.21 Transferência para SharePoint

EvidênciaOnde EstáComo AcessarResponsável
DHF PDF AssinadoSharePoint → /DHF/Version/v1.0.0/nCommand-Lite-DHF-v1.0.0.pdfPDF com assinatura digitalQA Leader
Matriz de RastreabilidadeSharePoint → /DHF/Version/v1.0.0/traceability-matrix-v1.0.0.pdfPDF geradoSistema
Certificado de SegurançaSharePoint → /DHF/Version/v1.0.0/security-certificate-v1.0.0.pdfPDF exportadoSistema
Metadados do ArquivoSharePoint → PropertiesData de upload, versão, etc.Sistema

Auditoria: Mostrar armazenamento imutável de artefatos.

3.22 Git Tag (Release)

EvidênciaOnde EstáComo AcessarResponsável
Tag v1.0.0Azure Repos → Tagshttps://dev.azure.com/.../_git/nCommand-Lite/tagsQA Leader
Commit da TagAzure Repos → Tags → CommitLink para commit específicoSistema
Mensagem da TagAzure Repos → Tags → DetailsDescrição do releaseQA Leader

Auditoria: Mostrar versionamento de release.

FASE 5: Monitoramento e Gestão de Vulnerabilidades

3.23 Monitoramento SIEM (Azure Sentinel)

EvidênciaOnde EstáComo AcessarResponsável
Incidentes de SegurançaAzure Sentinel → IncidentsLista de incidentes detectadosAppSec
AlertasAzure Sentinel → Incidents → AlertsAlertas relacionadosSistema
Logs de MonitoramentoAzure Sentinel → LogsQueries KQLSistema
Dashboard de MonitoramentoAzure Sentinel → WorkbooksVisualizaçõesAppSec

Auditoria: Mostrar monitoramento contínuo de segurança.

3.24 Scans Diários (Trivy → DefectDojo)

EvidênciaOnde EstáComo AcessarResponsável
Scan Diário ConfiguradoAzure DevOps → Pipelines → ScheduledPipeline com trigger agendadoDevOps
Execuções DiáriasAzure DevOps → Pipelines → RunsHistórico de execuções diáriasSistema
Findings no DefectDojoDefectDojo → Findings → Source = "Daily Scan"Filtro por sourceSistema
Data de IdentificaçãoDefectDojo → Findings → CreatedTimeline de criaçãoSistema

Auditoria: Mostrar vigilância contínua.

3.25 Triagem de Vulnerabilidades

EvidênciaOnde EstáComo AcessarResponsável
Triagem (True Positive)DefectDojo → Findings → StatusStatus mudado de "Active" para "Triaged"AppSec
False Positive MarcadoDefectDojo → Findings → Status = "False Positive"Comentários de triagemAppSec
Comentários de TriagemDefectDojo → Findings → CommentsAnálise do AppSec/QAAppSec/QA

Auditoria: Mostrar processo de triagem.

3.26 Push to Azure DevOps (Criação de Bug)

EvidênciaOnde EstáComo AcessarResponsável
Bug Criado no ADOAzure DevOps → Boards → BugWork Item do tipo BugSistema
Link DefectDojo → ADOAzure DevOps → Bug → LinksLink para Finding no DefectDojoSistema
Histórico de CriaçãoAzure DevOps → Bug → HistoryData/hora de criaçãoSistema

Auditoria: Mostrar integração DefectDojo → Azure DevOps.

3.27 SLA de Correção

EvidênciaOnde EstáComo AcessarResponsável
Bug Status no ADOAzure DevOps → Bug → StateEstado atual do bugDev Team
Data de Criação vs. ResoluçãoAzure DevOps → Bug → DatesLead time de correçãoSistema
SLA TrackingAzure DevOps → Boards → Custom Field "SLA"Campo customizadoQA
Histórico de CorreçãoAzure DevOps → Bug → HistoryTimeline de mudançasSistema

Auditoria: Mostrar conformidade com SLAs definidos.

3.28 Change Request e LTF (Letter to File)

EvidênciaOnde EstáComo AcessarResponsável
Change RequestAzure DevOps → Boards → Work Item Type "Change Request"Work Item específicoQA Leader
LTF DocumentadoSharePoint → /Change Management/LTF/Documento PDFQA Leader
Aprovação de MudançaAzure DevOps → Change Request → State = "Approved"Aprovação formalQA Leader

Auditoria: Mostrar controle de mudanças em produção.

3.29 Reavaliação Trimestral de Riscos

EvidênciaOnde EstáComo AcessarResponsável
Work Items AtualizadosAzure DevOps → Boards → Risk → Updated DateFiltro por data de atualizaçãoQA
Reavaliação DocumentadaSharePoint → /Risk Management/Reassessment/Relatório trimestralQA Leader
Novos Riscos IdentificadosAzure DevOps → Boards → Risk → Created DateRiscos criados no trimestreQA

Auditoria: Mostrar processo contínuo de reavaliação.

4. Evidências de Processo

4.1 Documentação de Processos

EvidênciaOnde EstáComo AcessarResponsável
PROCESS.mdAzure Repos → docs/PROCESS.mdArquivo MarkdownQA Leader
SOP-001 a SOP-005Azure Repos → docs/sop/Arquivos MarkdownQA Leader
Versionamento de SOPsAzure Repos → Git HistoryHistórico de commitsSistema
Aprovação de SOPsAzure Repos → docs/sop/ → HeaderMetadados no arquivoQA Leader

Auditoria: Mostrar processos documentados e aprovados.

4.2 Matriz de Conformidade

EvidênciaOnde EstáComo AcessarResponsável
COMPLIANCE-MATRIX.mdAzure Repos → docs/regulatory/COMPLIANCE-MATRIX.mdMapeamento requisito → implementaçãoQA Leader
RastreabilidadeSharePoint → DHF → Seção "Traceability"Matriz completa no DHFSistema

Auditoria: Mostrar mapeamento de requisitos regulatórios.

5. Como Preparar para Auditoria

5.1 Checklist Pré-Auditoria

FASE 1:

  • Work Items de requisitos acessíveis
  • Work Items de riscos documentados
  • Risk Acceptance Forms no SharePoint
  • Aprovações do QA Leader visíveis

FASE 2:

  • Commits rastreáveis (Work Item ID)
  • Pull Requests com aprovações
  • Testes unitários com 100% pass
  • Código Terraform versionado

FASE 3:

  • Pipeline executado com sucesso
  • SonarCloud Quality Gate A
  • DefectDojo com 0 vulns críticas/altas
  • Relatórios de scan disponíveis

FASE 4:

  • Testes funcionais aprovados
  • Testes de usabilidade somativos
  • DHF gerado e no SharePoint
  • Tag de release criada

FASE 5:

  • Scans diários executando
  • Incidentes monitorados no Sentinel
  • Vulnerabilidades triadas
  • SLAs sendo cumpridos

5.2 Acesso para Auditores

Credenciais Temporárias:

  • Azure DevOps: Conta de leitura (Read-only)
  • DefectDojo: Usuário com permissão de visualização
  • SharePoint: Acesso de leitura ao diretório DHF
  • SonarCloud: Acesso público ou conta de leitura

Documentação para Auditores:

  • Este documento (AUDIT-EVIDENCES.md)
  • COMPLIANCE-MATRIX.md
  • PROCESS.md
  • SOPs completos

6. Retenção de Evidências

Tipo de EvidênciaPeríodo de RetençãoLocalização
DHFIndefinido (regulatório)SharePoint
Work ItemsIndefinidoAzure DevOps
Commits GitIndefinidoAzure Repos
Findings DefectDojo7 anosDefectDojo
Logs Sentinel365 dias (prod) / 30 dias (dev)Azure Sentinel
Relatórios de Testes7 anosSharePoint + Azure Test Plans

7. Responsável pelas Evidências

ÁreaResponsável PrincipalBackup
Azure DevOpsQA LeaderDevOps Lead
DefectDojoAppSec LeadQA Leader
SharePointQA LeaderCompliance Officer
Azure ReposDevOps LeadTech Lead
SonarCloudDevOps LeadAppSec Lead

Última Atualização: 1/12/2025
Próxima Revisão: Trimestral
Responsável: QA Leader