Política de segurança dos serviços na nuvem prestados pela NUMINTEC

O presente documento estabelece as políticas e medidas técnicas e organizativas que se aplicam aos serviços na nuvem fornecidos pela NUMINTEC.

MEDIDAS DE SEGURANÇA GERAIS

Políticas da organização

  • Política de segurança e privacidade da informação: Existe uma política de segurança da informação e proteção de dados pessoais publicada e conhecida por todo o pessoal e colaboradores.
  • Responsável de segurança: A NUMINTEC designou um Responsável de Segurança da Informação (“CISO”) como responsável por coordenar e supervisionar as políticas, normativas e procedimentos de segurança.
  • Papéis e responsabilidades: Os papéis e responsabilidades em matéria de segurança da informação e proteção da privacidade estão definidos e atribuídos apropriadamente dentro da organização.
  • Programa de gestão de riscos: No âmbito do Sistema de Gestão da Segurança da Informação existe um plano de avaliação e tratamento de riscos de segurança da informação que é revisto periodicamente.
  • Avaliação contínua: A NUMINTEC realiza uma verificação e avaliação periódica da eficácia das medidas técnicas e organizativas implementadas para proteger a segurança na informação. Esta avaliação realiza-se sob o critério dos padrões de segurança da indústria e o Sistema de Gestão da Segurança da Informação.
  • Política de segurança de fornecedores: Existe um processo formal que permite avaliar o cumprimento dos requisitos de segurança da informação e proteção da privacidade que os fornecedores devem cumprir.

Pessoal e colaboradores

  • Responsabilidades: Todo o pessoal da NUMINTEC comprometeu-se a cumprir e fazer cumprir as políticas e normativas de segurança da informação da empresa.
  • Compromisso de confidencialidade: Todo o pessoal e colaboradores assinam um documento contratual mediante o qual se obrigam a guardar segredo e garantir a confidencialidade e segurança dos dados.
  • Normativa interna de segurança: Existe uma normativa de segurança da informação, proteção de dados pessoais e uso dos meios informáticos que todo o pessoal se comprometeu a cumprir.
  • Formação e consciencialização: Todo o pessoal recebe formação adequada relativamente à segurança da informação e proteção de dados pessoais.
  • Normas de uso dos sistemas: A normativa de segurança estabelece as normas de uso aceitável dos sistemas de informação e equipamentos.

Acesso aos sistemas

  • Política de controlo de acessos: A NUMINTEC mantém uma política que determina os privilégios de segurança sob o princípio do menor privilégio.
  • Autorização de acesso: Existe um processo formal para gerir a autorização, registo, cancelamento e modificação de acessos dos usuárioes.
  • Contas individuais: Cada pessoa utiliza uma conta de usuário individual e intransmissível.
  • Menor privilégio: Aplica-se uma política de acesso mínimo por defeito; o pessoal apenas tem acesso à informação necessária para o seu posto.
  • Autenticação: Utilizam-se práticas padrão do setor para identificar e autenticar os usuárioes.

Ativos de tratamento da informação

  • Inventário de ativos: Dispõe-se de um inventário dos sistemas e equipamentos utilizados no tratamento da informação.
  • Descarte e reutilização segura: Processos formais para o descarte e/ou reutilização segura dos equipamentos.
  • Manutenção dos equipamentos: Os sistemas e equipamentos estão devidamente mantidos ou atualizados.
  • Proteção contra malware: Os equipamentos dispõem de proteção antimalware permanentemente ativa e atualizada.

Segurança de rede

  • Equipa de segurança dedicada: Supervisão de segurança 24×7 e uma equipa sempre disponível para dar resposta a alertas e incidentes.
  • Proteção e segregação de redes: As redes estão segregadas e separadas.
  • Arquitetura: Infraestrutura alojada principalmente em centros de dados em território Espanhol (ISO 27001). Os dados mantêm-se na zona correspondente segundo a legislação (ex. Europa).
  • Segurança perimetral: Dupla camada de firewalls para filtrar tráfego não autorizado e negar conexões não explícitas.
  • Protocolos seguros de transmissão: Todo o tráfego por redes públicas está encriptado mediante protocolos seguros.
  • Scan de vulnerabilidades: Testes periódicos para verificar que as redes estão livres de vulnerabilidades.
  • Testes de penetração: No mínimo uma vez por ano realiza-se um pentest amplo em redes e servidores de produção contra ataques de terceiros.
  • Gestão de alertas (SIEM): O sistema de supervisão coleciona registos de atividade.
  • Deteção de intrusões: Controlo de pontos de entrada/saída registando conexões aceites e negadas.
  • Mitigação DDoS: Monitorização do tráfego de rede em tempo real.

Operações de segurança

  • Acesso lógico: Arquitetura de segurança baseada em papéis e política de “necessidade de conhecer” (ISO 27001/27017).
  • Supervisão e gestão de capacidade: Monitorização contínua do desempenho e projeção de requisitos futuros.
  • Resposta a Incidentes: Escalada de eventos 24/7 a equipes de operações e segurança. Procedimento específico de resposta a ciberataques.
  • Gestão de alterações: Procedimento para prevenir que as alterações afetem a segurança da informação.
  • Registos de auditoria: Recolhem-se, conservam e revêem os registos de operações sobre os dados (acesso, modificação, eliminação).

Encriptação de dados

  • Encriptação em trânsito: A informação em redes públicas transmite-se de forma segura.
  • Encriptação de chamadas: Utilizam-se os protocolos de sinalização de voz mais seguros disponíveis. (Nota sobre interceção legal segundo Lei 25/2007 e Lei 9/2014).
  • Encriptação em armazenamento: Utiliza-se encriptação em repouso em todos os casos.

Disponibilidade e continuidade

  • Disponibilidade: Supervisão contínua para garantir os objetivos de disponibilidade comprometidos.
  • Redundâncias: Infraestrutura redundante (firewalls, routers, servidores) para evitar pontos únicos de falha.
  • Cópias de Segurança: Automatizadas e supervisionadas continuamente.
  • Testes de recuperação: Testes periódicos de recuperação e verificação dos dados.
  • Plano de continuidade: Plano elaborado e testado para responder a incidentes disruptivos.
  • Recuperação ante desastres: Procedimentos específicos ante ameaças como ransomware ou falhas graves.

Segurança física

  • Perímetro de segurança: Proteção das instalações onde se processa informação.
  • Controlo de acesso: Controlos físicos para assegurar que apenas acede pessoal autorizado.
  • Proteção contra ameaças: Proteção contra ameaças físicas e ambientais.

Segurança da Aplicação

  • Registos: Mantém-se um registo de acessos e modificações desde a aplicação web InvoxContact.
  • Palavras-passe: Armazenamento seguro seguindo as melhores práticas.

PROTEÇÃO DE DADOS PESSOAIS

Medidas técnicas e organizativas

  • Sistema de Gestão: Sistema para assegurar o cumprimento legal e tratamento de riscos.
  • Responsabilidades: Nomeação de um Encarregado de Proteção de Dados (DPO).
  • Obrigações: Todo o pessoal assina o compromisso de cumprimento de políticas de proteção de dados.
  • Formação: Sessões de consciencialização para empregados.
  • Medidas técnicas: Proteção de acordo com a certificação ISO 27001.
  • Política de privacidade: Incluída nos “Termos e condições gerais”.
  • Acordo de tratamento: A NUMINTEC atua como subcontratante (encarregado de tratamento), garantindo confidencialidade, integridade, disponibilidade e restauração de acesso.
  • Comunicação de dados: Não se cedem a terceiros exceto a fornecedores necessários, operadores e organismos oficiais por lei.
  • Transferências internacionais: Apenas a países com nível adequado de proteção ou certificações válidas (EUA).
  • Conservação: Eliminação definitiva aos 90 dias da desconexão, salvo obrigação legal.

Privacidade desde a conceção e por defeito

  • Minimização: Apenas dados estritamente necessários.
  • Limitação de prazo: Procedimentos para limitar retenção e apagar arquivos temporários.
  • Limitação da finalidade: Evitar uso para fins distintos dos estabelecidos.
  • Pseudonimização e encriptação: Aplicável em casos de dados sensíveis.
  • Segregação: Acesso restrito a informação sensível.

Exercício de direitos e Violações

  • Direitos: Procedimento para assistir o responsável na resposta a titulares.
  • Violações de segurança: Procedimento de identificação e notificação imediata ao responsável e assistência para notificar a autoridade.

RELAÇÃO COM FORNECEDORES

Medidas gerais

  • Política de segurança: Avaliação do cumprimento de requisitos de segurança de fornecedores.
  • Confidencialidade: Assinatura de NDAs.
  • Certificação: Exige-se ISO 27001 ou equivalente (especialmente em fornecedores Cloud).
  • Avaliação: Revisão periódica de SLAs.
  • Cadeia de fornecimento: Diversificação e redundância.
  • Dados pessoais: Acordos de tratamento (DPA) com todos os fornecedores.
  • Cessação de serviço: Obrigação de eliminar informação ao finalizar o serviço.
  • Segregação: Garantia de segregação de ambientes virtuais.

CUMPRIMENTO NORMATIVO

  • Certificações: ISO 9001:2015, ISO 27001:2022, ISO 27017:2015, ISO 27018:2019. (Auditor: SGS).
  • Proteção de dados: Cumprimento estrito da legislação vigente.