> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Conformidade e GRC

> Transforme o scanning de segurança contínuo em conformidade contínua com coleta automatizada de evidências, mapeamento de controles e integrações com plataformas de GRC

<h2 id="overview">
  Visão Geral
</h2>

A ZeroPath transforma cada scan em evidência pronta para auditoria. Os achados são mapeados automaticamente para controles de frameworks de conformidade, as evidências são coletadas continuamente e os relatórios podem ser exportados ou sincronizados com sua plataforma de GRC.

<h2 id="why-it-matters">
  Por Que Isso Importa
</h2>

<Columns cols={3}>
  <Card title="Evidência contínua" icon="clock">
    Cada scan gera automaticamente novas evidências de conformidade.
  </Card>

  <Card title="Achados alinhados a controles" icon="map">
    Cada vulnerabilidade é mapeada para cláusulas de controle exatas em SOC 2, ISO 27001, PCI DSS e frameworks
    NIST.
  </Card>

  <Card title="Sincronização com plataformas de GRC" icon="arrows-rotate">
    Exporte evidências e achados para ServiceNow, Vanta, Drata e outras plataformas de GRC de forma agendada.
  </Card>
</Columns>

<h2 id="supported-frameworks">
  Frameworks Suportados
</h2>

A ZeroPath mapeia achados para controles nos seguintes frameworks de conformidade:

| Framework                     | Cobertura                                                                        |
| ----------------------------- | -------------------------------------------------------------------------------- |
| **SOC 2**                     | Trust Service Criteria: segurança, disponibilidade, integridade de processamento |
| **ISO 27001**                 | Controles do Anexo A                                                             |
| **PCI DSS 4.0**               | Requisito 6.x (desenvolvimento seguro) e controles relacionados                  |
| **NIST**                      | Controles relevantes de segurança e gestão de riscos                             |
| **Frameworks personalizados** | Mapeie achados para a estrutura de controles da sua própria organização          |

<h2 id="how-it-works">
  Como Funciona
</h2>

<Steps>
  <Step title="Escanear">
    Scans de SAST, SCA, secrets e IaC são executados nos seus repositórios. Cada achado é marcado com os
    controles de conformidade aos quais se relaciona.
  </Step>

  <Step title="Acompanhar">
    Dashboards mostram cobertura de controles, lacunas de conformidade, tendências de MTTR e status de SLA.
  </Step>

  <Step title="Evidenciar">
    A ZeroPath coleta automaticamente pacotes de evidências, incluindo logs de scan, SBOMs assinados e registros de
    verificação de correções.
  </Step>

  <Step title="Exportar">
    Gere relatórios prontos para auditores sob demanda ou agende sincronizações recorrentes com sua plataforma de GRC.
  </Step>
</Steps>

<h2 id="control-aligned-analytics">
  Análises Alinhadas a Controles
</h2>

<h3 id="framework-mapping">
  Mapeamento de Frameworks
</h3>

Cada achado é mapeado para os subcontroles específicos aos quais se relaciona. Isso significa que sua equipe de conformidade pode:

* Ver exatamente quais controles são cobertos pelo scanning ativo
* Identificar lacunas onde os controles não têm evidência automatizada
* Filtrar achados por framework para focar no que importa para uma auditoria específica
* Segmentar visões de risco por departamento, equipe ou repositório

<h3 id="gap-analysis">
  Análise de Lacunas
</h3>

A ZeroPath identifica onde sua cobertura atual de scanning deixa lacunas de conformidade. Isso permite priorizar mudanças na configuração de scanning que fechem essas lacunas.

<h2 id="evidence-collection">
  Coleta de Evidências
</h2>

<h3 id="immutable-audit-trail">
  Trilha de Auditoria Imutável
</h3>

Cada ação na ZeroPath é registrada em uma trilha de auditoria à prova de adulteração:

* **Execução de scans** — quando os scans foram executados, o que foi escaneado, o que foi encontrado
* **Ciclo de vida dos achados** — quando os problemas foram descobertos, triados, corrigidos ou aceitos
* **Responsabilização por supressões** — quem suprimiu um achado e por quê
* **Verificação de remediação** — verificações automatizadas pós-correção que provam que as correções foram eficazes

<h3 id="signed-sboms">
  SBOMs Assinados
</h3>

A ZeroPath gera Software Bills of Materials assinados no [formato CycloneDX](/pt/sca/sbom-exports) que demonstram a devida diligência na cadeia de suprimentos.

<h3 id="fix-verification">
  Verificação de Correções
</h3>

Quando uma vulnerabilidade é corrigida, a ZeroPath verifica automaticamente a correção no scan seguinte e registra a linha do tempo de remediação. Isso cria uma prova de ponta a ponta de que os problemas foram identificados, priorizados, corrigidos e confirmados.

<h2 id="grc-platform-integrations">
  Integrações com Plataformas de GRC
</h2>

Exporte dados de conformidade para as plataformas onde sua equipe de GRC já trabalha.

| Plataforma     | O Que É Sincronizado                                             |
| -------------- | ---------------------------------------------------------------- |
| **ServiceNow** | Achados, pacotes de evidências, status de cobertura de controles |
| **Vanta**      | Evidências de scan, registros de remediação, dados de SBOM       |
| **Drata**      | Evidências automatizadas para os controles relevantes            |

As exportações podem ser configuradas como:

* **Sob demanda** — gere e baixe pelo dashboard
* **Agendadas** — exportações recorrentes na cadência que você definir (por exemplo, semanal)

Para detalhes sobre formatos e geração de relatórios, consulte [Relatórios](/pt/platform/reports).

<h2 id="data-privacy-compliance">
  Conformidade de Privacidade de Dados
</h2>

A ZeroPath ajuda a detectar problemas de privacidade de dados na sua base de código usando [regras personalizadas](/pt/platform/custom-rules):

* **Detecção de PHI/PII** — regras em linguagem natural identificam padrões de dados sensíveis, como números de seguridade social, registros de saúde ou identificadores pessoais sendo registrados em log ou expostos
* **Conformidade com o GDPR** — detecte processamento de dados pessoais no código que possa violar requisitos de proteção de dados
* **Aplicação entre repositórios** — implante regras de privacidade uma única vez e elas se aplicam de forma consistente em toda a sua organização

<h2 id="best-practices">
  Boas Práticas
</h2>

1. **Mapeie primeiro para o seu framework principal** — comece com o framework alvo da sua próxima auditoria (por exemplo, SOC 2) e expanda para os demais de forma incremental.
2. **Agende exportações recorrentes** — configure sincronizações semanais ou quinzenais com sua plataforma de GRC para que as evidências permaneçam atualizadas sem esforço manual.
3. **Use regras personalizadas para lacunas de política** — se um controle de conformidade não é coberto pelo scanning integrado, escreva uma [regra personalizada](/pt/platform/custom-rules) em linguagem natural para preencher a lacuna.
4. **Aproveite os SBOMs para auditorias de cadeia de suprimentos** — habilite a [geração de SBOM](/pt/sca/sbom-exports) para atender aos requisitos de composição de software em SOC 2, ISO 27001 e frameworks regulatórios.
5. **Revise a análise de lacunas regularmente** — à medida que os frameworks são atualizados (por exemplo, a transição para o PCI DSS 4.0), revisite a análise de lacunas para garantir que os novos controles estejam cobertos.
