Medidas de Segurança
MEDIDAS ORGANIZATIVAS E DE SEGURANÇA APLICADAS PELA ESRI PORTUGAL EM RELAÇÃO AO TRATAMENTO A EFECTUAR EM NOME DO RESPONSÁVEL PELO TRATAMENTO:
Nr. Medida de segurança
Gestão da segurança dos sistemas de informação e da cibersegurança
1 - Existência e implementação de uma Política Segurança da Informação, a qual abrange a gestão da Segurança da Informação, Cibersegurança e Proteção de Dados
2 - Existência e implementação de uma Política de Utilização Aceitável, com termos e condições que vinculam todos os utilizadores (i.e., aqueles a quem é permitido o acesso aos sistemas e/ou infraestruturas de sistemas informáticos da Esri Portugal) e cujo objetivo é a proteção dos sistemas e serviços da Esri Portugal
3 - Implementação de um procedimento de deteção e reação de atos abusivos nos seus servidores e/ou rede
4 - Existência e implementação de uma Politica de Utilização de Sistemas de Informação que regula o uso pelos colaboradores das redes, dados, equipamentos informáticos, programas e aplicações que integram a Esri Portugal
5 - Implementação de regras relativas à instalação de software, abertura de ficheiros, mensagens, pastas ou aplicações informáticas de origem desconhecida
6 - Existência e implementação de uma Politica de Gestão de Vulnerabilidades e de um conjunto de processos e procedimentos operacionais para a identificação, resolução e gestão de vulnerabilidades
7 - Realização de pesquisas de vulnerabilidades nas redes internas e externas de forma periódica ou sempre que existe uma mudança significativa na estrutura tecnológica
8 - Documentação e correção das vulnerabilidades de segurança detetadas
9 - Implementação de 2 serviços de diretório sincronizados entre si
10 - Proteção contra malwares por via de programa antivirus instalado em todos os equipamentos da Esri Portugal e gerido por uma plataforma UTM. O antivírus é atualizado de forma automática.
11 - Implementação de medidas de controlo para evitar qualquer tipo de malware que possa afetar a disponibilidade, confidencialidade e/ou integridade da informação da Esri Portugal
12 - Proteção adequada dos locais e postos de trabalho e dos ativos de informação contra riscos identificados, em especial os SI críticos, ou sensíveis, os quais estão alojados em zonas seguras, protegidas por perímetros de segurança (física e lógica) definidos, com barreiras de segurança e controlos de acesso adequados
13 - Monitorização, deteção, análise, prevenção, comunicação e correção de incidentes de segurança de informação
14 - Adoção alarmística que permita identificar situações de acesso, tentativas ou utilização indevida
15 - Adoção de procedimentos de análise para a monitorização dos fluxos de tráfego na rede
16 - Monitorização dos recursos de SI, incluindo a realização de projeções de capacidade para necessidades futuras, a fim de assegurar o desempenho continuado nos níveis exigidos
17 - Existência de um contacto especifico para comunicação de incidentes de segurança
18 - Implementação de um Plano de Recuperação de Desastres que visa definir os procedimentos para que os serviços afetados sejam disponibilizados e reconduzidos ao seu estado normal de funcionamento, no menor hiato temporal possível.
19 - Implementação de um Plano de Continuidade de Negócio que visa garantir que a Esri Portugal é capaz de retomar rapidamente a um nível aceitável de serviço após uma interrupção, qualquer que seja a sua natureza
20 - Desenho e conceção dos sistemas de informação (e.g. aplicações, infraestruturas, serviços, etc.) tendo a segurança como componente integrante, e colocando em produção com todos os requisitos de segurança do sistema plenamente compreendidos e implementados, seguindo as melhores práticas de desenvolvimento aplicacional e de produção de código fonte.
21 - Implementação de procedimentos de controlo de versões e atualizações dos sistemas operacionais, antivirus e demais sistemas, com vista a garantir que os mesmos se encontram sempre atualizados
22 - Aplicação de controlos para eliminação, com segurança, de informações confidenciais e licenças de software do cliente antes de reutilizar ou transferir o equipamento para outra entidade
23 - Avaliação periódica das medidas de segurança, técnicas e organizativas, internas e atualização e revisão das mesmas sempre que necessário
24 - Ter um responsável de segurança designado
Controlo de acessos
25 - Existência e implementação de Procedimentos Internos de Controle de Acessos a Sistemas, Aplicações e Ativos de Informação
26 - Implementação de regras para a criação de palavras-passes fortes e seguras, impondo requisitos de tamanho (pelo menos 7 caracteres) e composição (letras maiúsculas e minúsculas, números, símbolos especiais), a frequência com que uma palavra-passe deve ser alterada (nunca superior a 6 meses e dependendo se os sistemas são críticos), e definindo recomendações aquando da sua criação
27 - Autenticação multifator para todos os utilizadores dos equipamentos
28 - Bloqueio de acesso após várias tentativas de autenticação sem êxito (temporária e definitivamente)
29 - Utilização de um aplicativo para gestão de passwords com vista a proteger e armazenar senhas e informações privadas
30 - Implementação de regras e recomendações para a gestão de palavras-passes (e.g. uso da aplicação definida para gestão de senhas; proibição de partilha de senhas comuns; memorização em prol do registo; obrigação de término de sessão após utilização; etc.)
31 - Implementação de procedimentos para a recuperação de palavras-passe
32 - Definição e aplicação efetiva de controlos e meios de acesso (lógicos) de utilizadores a áreas/informações restritas, com base nos princípios da necessidade legitima e do privilégio mínimo, os quais estabelecem que o perfil de acesso concedido deve incluir apenas os privilégios necessários para a execução das tarefas associadas à função
33 - Implementação de regras de controlo de acesso físico
Gestão dos equipamentos/dipositivos, suportes e instalações
34 - Existência e implementação de uma Política de Uso de Dispositivos Móveis Pessoais (BYOD) e de Teletrabalho que visa regular o uso, pelos colaboradores da Esri Portugal, dos seus equipamentos e dispositivos pessoais no cumprimento das suas obrigações de colaboração profissional.
35 - Definição de um elenco com a tipologia e modelos de equipamentos/dispositivos (incluindo pré-requisitos técnicos) suscetíveis de serem incluídos na rede Esri Portugal
36 - As questões de conetividade e segurança dos equipamentos/dispositivos móveis de uso pessoal autorizados são asseguradas e suportadas pelo departamento de SI da Esri Portugal (incluindo pela sua equipa de suporte), o qual tem um conjunto regras implementadas
37 - O acesso à rede corporativa da Esri Portugal por via de equipamentos/dispositivos pessoais encontra-se condicionado à aplicação as respetivas regras de segurança indicadas pela Esri Portugal
38 - Existência de regras claras e adequadas para a utilização de equipamentos em ambiente externo.
39 - Existência e implementação de uma Política de Dispositivos de Armazenamento Removíveis (considerando-se como tal flash (jump) drives e armazenamento de memória flash; armazenamento SD; unidades fixas amovíveis e caddies portáteis; disco compacto R/W ou meios de DVD; dispositivos de armazenamento remoto USB), a qual define a proibição genérica de utilização livre deste tipo de dispositivos para a conservação de qualquer informação ou dados da Esri Portugal
40 - Sujeição a autorização da Esri Portugal do uso de dispositivos de armazenamento removíveis para a conservação de qualquer informação ou dados da Esri Portugal
41 - Utilização de encriptação em dispositivos de armazenamento removíveis autorizados pelo CISO da Esri Portugal (nomeadamente nos discos externos)
42 - Manutenção de um registo de exceção e inventário dos dispositivos de armazenamento removíveis autorizados pelo CISO da Esri Portugal atualizados (nomeadamente dos discos externos encriptados)
43 - Existência de regras estritas aplicáveis à utilização de dispositivos de armazenamento externos/removíveis pelos colaboradores (quando devidamente autorizados)
44 - Existência e implementação de Procedimentos Internos de Secretária Limpa aplicáveis aos colaboradores que disponham ou acedam a informação ou a dados não públicos da organização, dos seus clientes, contrapartes e fornecedores
45 - "Proibição de deixar no posto de trabalho qualquer documento (seja em formato digital ou físico) que contenha informação não pública e/ou dados pessoais da Esri Portugal, dos seus clientes, contrapartes e fornecedores, bem como notas pessoais"
46 - Proibição de utilização de papel contendo informação não pública e/ou dados pessoais para folhas de rascunho ou para qualquer outra reutilização alheia ao estrito cumprimento das funções para que são necessárias
47 - Implementação de um método seguro de destruição irreversível de documentação com informação não pública e/ou dados pessoais
48 - Os documentos com informação não pública e/ou dados pessoais da Esri Portugal, dos seus clientes, contrapartes são mantidos em local com fechadura e de acesso restrito
49 - Implementação de regras relativas ao atendimento no posto de trabalho de clientes e/ou terceiros
50 - Implementação de regras e recomendações em matéria de segurança das salas físicas de reunião (e.g. remoção dos equipamentos; destruição adequada dos documentos utilizados; etc.)
51 - O uso de impressoras, fotocopiadoras, scanners e/ou quaisquer dispositivos que permitam cópia, registo ou ordens de impressão (incluindo aplicativos móveis e web) com vista a criação de um repositório em papel ou outro não seguro, é restringido ao mínimo indispensável e, sempre que tecnologicamente disponível, a impressão, cópia ou digitalização deve fazer-se a partir dos equipamentos da rede com um código que permita rastrear o colaborador ordenante da impressão e o seu recetor
52 - O uso não autorizado de impressoras de rede é controlado por implementação de um sistema de impressão protegida
53 - O recurso a papel como repositório de informação e/ou de dados é evitado, sendo privilegiados os ambientes e ferramentas digitais (i.e., repositórios de rede com proteção adequada) - adoção de uma cultura sem papel.
54 - Os computadores e dispositivos similares estão configurados com “screen savers” que bloqueiem o acesso após um determinado período de inatividade e protegidos por palavra-passe, para minimizar as hipóteses de um terceiro ter acesso a informação não autorizada.
55 - Proteção das instalações contra ataques ou acontecimentos naturais (extintores de incêndio, videovigilância, sistemas antirroubo, detetores de fumo ou de incêndio, etc.).
Cópia de segurança e recuperação de dados
56 - Existência e implementação de uma Política de Cópia de Segurança de Dados (Backup)
56 - Implementação de procedimentos e de uma estratégia/sistema de cópias de segurança de dados (backup) de acordo com as melhores práticas* e onde se inclui a existência de duplicação da informação, em local fora das instalações do escritório, de acordo com o nível de criticidade da informação para o negócio. Estando assegurada a manutenção de um site duplicado totalmente espelhado de forma a assegurar os níveis adequados de resiliência, e em caso de necessidade, possibilitar uma eventual troca dos sistemas e infraestruturas mais críticas para a continuidade de negócio, do edifício do escritório para um outro local de reserva, em instalações de terceiros.
56 - Existência de cópias de segurança mensais, com exceção dos ativos críticos cuja periodicidade é diária
56 - Sistema de cópias de segurança (backup) atualizado, seguro e testado, totalmente separado das bases de dados principais e sem acessibilidade externa
56 - Realização de ensaios de recuperação e restauro
Gestão das comunicações e das redes sociais
57 - Definição clara de regras e recomendações sobre a utilização e o envio de mensagens de correio eletrónico
58 - Implementação de um controlo pontual do correio eletrónico, de ficheiros e/ou dados que suscitam maiores riscos de segurança e maior probabilidade de ataques externos, o qual assenta no principio da necessidade, proporcionalidade e boa fé
59 - Proibição de acesso dos colaboradores a ficheiros ou informação armazenada eletronicamente de outros colaboradores
60 - Reforço do sistema de alerta da ferramenta de alarmística utilizada pela Esri Portugal, para assegurar visibilidade imediata sobre a criação por utilizadores de regras de encaminhamento automático de e-mails para contas externas
61 - Reforço do sistema com ferramentas antiphishing e antispam, que permitam bloquear ligações e/ou anexos com código malicioso
62 - Monitorização do acesso a determinados websites
63 - Existência e implementação de uma Política de Utilização de Redes Sociais que estabelece regras para os utilizadores das páginas/redes sociais Esri Portugal e que visa assegurar o controlo do comportamento dos mesmos nestas páginas/redes sociais administradas pela Esri Portugal
64 - Existência e implementação de uma Política de Utilização de Gestão de Redes Sociais, a qual define obrigações relativas à utilização das redes sociais administradas pela Esri Portugal, visando assegurar a confidencialidade das informações, o respeito e a honestidade em publicações, a proteção de terceiros, correções de bugs, cibersegurança, etc.
65 - Existência apenas de um utilizador, por cada rede social, com permissões de administrador (perfil administrador), cujas credenciais de acesso são da exclusiva posse da equipa de SI e/ou da administração.
66 - Os colaboradores com acesso às redes sociais da Esri Portugal são alocados aos perfis disponíveis (e.g. publicador, gestor de conteúdos, etc.)
67 - Definição de regras para os perfis de administradores das redes socais da Esri Portugal (i.e., senhas fortes; autenticação em dois fatores; não utilização de perfis de contas pessoais)
Gestão da informação
68 - Adoção de medidas organizativas e técnicas adequadas ao nivel de confidencialidade e sensibilidade da informação
69 - Sujeição dos colaboradores da Esri Portugal a um acordo de confidencialidade (ou o mesmo consta do seu contrato com a Esri Portugal) e vinculação dos mesmos aos procedimentos em vigor na Esri Portugal
70 - Implementação de um programa de sensibilização (awareness), que inclui o tratamento adequado de dados confidenciais, para todos os colaboradores que têm acesso às instalações, redes, ambientes e informação, ou que tenham responsabilidade sobre ativos dos clientes, no âmbito das funções e tarefas
71 - A transferência de informação apenas é efetuada em canais de comunicação aprovados seguindo os requisitos de segurança definidos consoante a sua classificação de segurança.
72 - Aplicação de controlos criptográficos para efeitos de segurança da informação
73 - Os acessos à rede corporativa e respetiva informação, fora das instalações da Esri Portugal, são obrigatoriamente assegurados por ligação VPN
74 - Implementação de controlos de encaminhamento para redes que garantam que as ligações informáticas e os fluxos de informação estão em conformidade com as politicas e procedimentos da Esri Portugal
75 - As definições e configurações de rede obedecem a uma arquitetura de redes segregadas, e encontram-se definido um conjunto de regras para garantia da segurança das informações nela transportadas
76 - Utilização de formatos comummente utilizados ou interoperáveis
Medidas organizacionais em matéria de proteção de dados
77 - Existência e implementação de uma Politica de Privacidade
78 - Existência e implementação de uma Política de Cookies
79 - Existência e implementação de uma Politica de Conservação de Dados Pessoais
80 - Existência e implementação de um Regulamento Interno de Dados Pessoais que visa (i) a definição de linhas orientadoras e normas de conduta pelas quais os colaboradores da Esri Portugal se devem pautar e (ii) o estabelecimento de um conjunto de princípios gerais, com o intuito de otimizar a proteção e o tratamento dos dados pessoais, a que os colaboradores da Esri Portugal têm acesso no exercício das suas funções.
81 - Existência de Registos de Atividades de Tratamento (RAT), na qualidade de Responsável pelo Tratamento e Subcontratante
82 - Implementação de um procedimento para atender e garantir o exercício dos direitos por parte dos interessados em matéria de Proteção de Dados
83 - Implementação de procedimentos adequados para assegurar a exatidão e atualização dos dados, bem como a sua eliminação
84 - Implementação de procedimentos para a transferência internacional de dados para garantia da segurança dos dados
85 - Implementação de procedimentos para registo, monitorização e resposta a incidentes de segurança e violação de dados pessoais
Formação
86 - Formação e sensibilização de todos os colaboradores da Esri Portugal para os procedimentos em vigor na Esri Portugal aplicáveis em matéria de dados pessoais, confidencialidade e segurança da informação, para que cada um esteja capacitado para reconhecer potenciais ameaças e agir em conformidade
Análises de risco e avaliação de impacto e de conformidade
87 - Realização de Avaliações de Impacto de Proteção de Dados (AIPD) quando necessário
88 - Realização de análises da conformidade e da adequação dos procedimentos em matéria de dados pessoais
Revisão e controlo dos fornecedores
89 - Existência e implementação de Procedimentos de avaliação de Terceiros (para a aquisição de bens ou prestação de serviços)
90 - Sujeição dos seus fornecedores e prestadores de serviços a avaliação anual
100 - Existência de um sistema de avaliação da adequação dos subcontratantes
Certificações dos Sistemas de Informação
101 - TASI/Tecnologias Imaginadas
