Sobre o Projeto

Uma visão geral do ciclo de vida de software médico

O nCommand Lite é uma plataforma SaMD (Software as a Medical Device) que implementa um ciclo de vida completo de desenvolvimento regulatório, seguindo rigorosamente o padrão IEC 62304 Class B. Esta aplicação de apresentação demonstra visualmente todo o processo, desde o planejamento inicial até o monitoramento pós-mercado.

Princípio: Compliance as Code

Todas as exigências regulatórias são impostas por barreiras técnicas automatizadas (Gates)dentro da esteira de produção, garantindo conformidade sem dependência de processos manuais. A conformidade é verificada automaticamente em cada etapa do desenvolvimento através de integrações automatizadas e gates de segurança.

Ferramentas e Fontes da Verdade

  • Azure DevOps - Fonte da Verdade de Execução (requisitos, código, testes)
  • OWASP DefectDojo - Fonte da Verdade de Segurança (vulnerabilidades centralizadas)
  • SharePoint Online - Repositório Legal (DHF e documentos imutáveis)
  • Azure Cloud (IaC) - Infraestrutura Imutável gerenciada via Terraform

Referências Normativas

  • ISO 13485:2016 - Sistema de Gestão da Qualidade
  • IEC 62304:2006+A1 - Ciclo de Vida de Software Médico
  • IEC 62366-1:2015 - Engenharia de Usabilidade
  • ISO 14971:2019 - Gestão de Riscos

As 5 Fases do Ciclo de Vida

Processo completo desde o planejamento até o monitoramento pós-mercado

1
Planejamento, Risco e Infraestrutura
Objetivo: Garantir que funcionalidades são seguras, necessárias e usáveis

Features nascem no Azure Boards com análise completa de usabilidade (IEC 62366). O Arquiteto consulta o histórico do DefectDojo para evitar reintrodução de falhas antigas, realizando análise de erro de uso (uFMEA). Riscos viram Work Items vinculados aos requisitos.

Atividades Principais:

  • Gestão de demanda e definição de perfil de usuário
  • Análise de risco (Safety, Security & Usability)
  • Consulta histórica de vulnerabilidades no DefectDojo
  • Registro de riscos como Work Items vinculados

Gate de Passagem:

QA Leader aprova início apenas com riscos mitigados

2
Desenvolvimento e Codificação
Objetivo: Produção controlada do código fonte

Branches feat/ID-Item no Azure Repos seguindo Gitflow. Dev codifica com Pre-commit hooks de segurança enquanto UX realiza testes formativos. Infraestrutura gerenciada via Terraform (IaC). Pull Requests com bloqueio automático sem Work Item, reviews, build ou sanity tests E2E.

Atividades Principais:

  • Versionamento via Azure Repos (Gitflow)
  • Desenvolvimento com Pre-commit hooks de segurança
  • UX realiza testes formativos em protótipos
  • Código Terraform para infraestrutura (alteração manual no Portal Azure é proibida)

Gate de Passagem:

PR rejeitado automaticamente se: sem Work Item, sem 2 reviews, build falhou ou sanity tests E2E falharam

3
Verificação Automatizada
Objetivo: Validação técnica e centralização de achados

Pipeline de CI executa Unit Tests (100% pass), SAST via SonarCloud (Quality Gate A) e SCA via Trivy. Deploy em staging seguido de Smoke, Sanity e E2E Tests automatizados. Relatórios enviados automaticamente para DefectDojo que deduplica e auto-fecha vulnerabilidades corrigidas.

Atividades Principais:

  • Execução de Unit Tests (Jest/NUnit) - Critério: 100% Pass
  • SAST via SonarCloud - Critério: Quality Gate A
  • SCA via Trivy (varredura de libs e OS)
  • Deploy staging + Smoke/Sanity/E2E Tests (Playwright) - 100% Pass
  • Ingestão automática de resultados no DefectDojo

Gate de Passagem:

Build falha se DefectDojo registrar novas vulnerabilidades Críticas/Altas

4
Validação e Liberação
Objetivo: Congelamento da versão e geração do DHF

OWASP ZAP executa DAST no ambiente staging. QA executa testes funcionais complexos e usabilidade somativa (IEC 62366) no Azure Test Plans. Script automatizado gera Matriz de Rastreabilidade e Certificado de Segurança do DefectDojo. QA Leader aprova digitalmente e artefatos são salvos no SharePoint.

Atividades Principais:

  • DAST via OWASP ZAP (relatório enviado ao DefectDojo)
  • Testes manuais funcionais e usabilidade somativa
  • E2E automatizados reduzem carga de testes manuais
  • Geração automatizada do DHF (Matriz + Certificado de Segurança)
  • Aprovação digital do QA Leader

Gate de Passagem:

Transferência de artefatos ao SharePoint e criação de tag vX.X.X

5
Monitoramento Pós-Mercado
Objetivo: Tratativa contínua de riscos em produção

Sentinel monitora incidentes em tempo real. Smoke Tests automatizados executam em produção após deploys. Trivy escaneia diariamente imagens em produção enviando para DefectDojo. AppSec/QA faz triagem, marca false positives e cria Bugs automaticamente no Azure DevOps via integração "Push to Azure".

Atividades Principais:

  • Vigilância via SIEM (Azure Sentinel)
  • Monitoramento E2E contínuo (Smoke Tests em produção)
  • Testes de regressão nightly (suíte completa E2E)
  • Scan diário via Trivy nas imagens de produção
  • Triagem de vulnerabilidades e criação automática de Bugs

Gate de Passagem:

SLA de correção: Crítico 24h (Hotfix), Alto 7 dias. Change Requests obrigatórios com avaliação de LTF

Fluxo do Ciclo de Vida

Visualize o processo completo desde o planejamento até o monitoramento pós-mercado

Ver Fluxos do Ciclo de Vida

Diagramas interativos do fluxo completo e arquitetura de ativos

Explore as Páginas

Navegue pelas diferentes seções para entender cada aspecto do ciclo de vida regulatório

Ciclo de Vida

Visualização completa das 5 fases do ciclo de vida regulatório com diagramas interativos e detalhamento de cada etapa.

Acessar página

Documentos

Repositório completo de SOPs, normas regulatórias, manuais e templates organizados por categoria.

Acessar página

Conformidade

Matriz de conformidade regulatória mostrando como cada norma é implementada e onde encontrar evidências.

Acessar página

Riscos

Gestão de riscos conforme ISO 14971, incluindo cálculo de RPN, tipos de riscos e processo de aceitação.

Acessar página

Segurança

Gestão centralizada de vulnerabilidades usando OWASP DefectDojo como Fonte da Verdade de Segurança.

Acessar página

Rastreabilidade

Matriz de rastreabilidade conectando requisitos, código, testes e riscos para auditoria completa.

Acessar página

Auditoria

Evidências de auditoria organizadas por norma regulatória com checklist pré-auditoria.

Acessar página

QA & RA

Processo detalhado de Quality Assurance e Regulatory Affairs do Gate de Segurança ao DAST.

Acessar página

Automação

Processos automatizados com totalizadores dinâmicos, diagramas de fluxo e integrações.

Acessar página

Aceitação de Riscos

Processo de aceitação de riscos residuais com fluxo completo, princípios e documentação.

Acessar página

Usabilidade

Engenharia de Usabilidade conforme IEC 62366, com testes formativos e somativos integrados ao design.

Acessar página

Ferramentas

Guias de configuração e uso das ferramentas do ecossistema (Azure DevOps, PyTM, etc).

Acessar página

PQ.044 (Evolução)

Comparativo detalhado entre o processo tradicional e a automação nCommand Lite.

Acessar página

PQ.039 (Evolução)

Comparativo detalhado do Design Control: processo tradicional vs automação nCommand Lite.

Acessar página

Como Utilizar Esta Aplicação

1

Explore os Fluxos

Comece pela página Ciclo de Vida para entender o fluxo completo com diagramas interativos.

2

Consulte Documentos

Acesse Documentos para SOPs, normas regulatórias e manuais organizados.

3

Navegue por Tema

Use o menu ou as páginas acima para explorar aspectos específicos como Riscos, Segurança ou Auditoria.