Este documento define os objetivos, os propósitos e a estrutura geral do Sistema de Gestão de Segurança da Informação (SGSI), em conformidade com a norma ISO/IEC 27001:2022. Estabelece igualmente os requisitos de segurança aplicáveis aos sistemas de informação que suportam serviços prestados a entidades do setor público espanhol, em conformidade com o Real Decreto 311/2022, que aprova o Esquema Nacional de Seguridad (ENS), na Categoria Média.
A Empresa opera igualmente um Sistema de Gestão de Inteligência Artificial (SGAI) em conformidade com a ISO/IEC 42001:2023, regido pelo Processo P11 — Governação da IA. Os sistemas de IA utilizados ou disponibilizados pela Empresa são tratados como ativos de informação no âmbito deste SGSI; os respetivos controlos de segurança são definidos em coordenação com o SGAI.
A Segurança da Informação tem como objetivo garantir a continuidade do negócio e minimizar perturbações, prevenindo e reduzindo o impacto de incidentes de segurança.
Em particular, os ativos de informação são protegidos para garantir:
Esta Política aplica-se a todas as funções de negócio no âmbito do SGSI. Abrange informação, sistemas de informação, redes, o ambiente físico (incluindo serviços alojados em cloud e em infraestrutura própria), bem como os produtos e serviços da Empresa.
A Política aplica-se a todos os colaboradores, prestadores de serviços e terceiros que apoiem essas funções.
Os sistemas de IA desenvolvidos, utilizados ou disponibilizados pela Empresa — incluindo os acedidos como serviços de terceiros — estão incluídos como ativos de informação no âmbito desta Política. Os controlos específicos para sistemas de IA estão definidos no SGAI (Processo P11) e nas políticas SGSI relevantes: P.IS.03 (Gestão de Ativos), P.IS.08 (Proteção de Dados) e P.IS.15 (Sistemas e Desenvolvimento Seguros).
Esquema Nacional de Seguridad (ENS) — Categoria Média
Para efeitos de conformidade com o Real Decreto 311/2022 (ENS), esta Política aplica-se igualmente aos sistemas de informação que suportam serviços contratualizados com entidades do setor público espanhol. Esses sistemas são classificados na Categoria Média do ENS, com base na avaliação das dimensões de segurança (disponibilidade, integridade, confidencialidade, autenticidade e rastreabilidade) efetuada no âmbito do processo de análise de risco.
O âmbito ENS aplicável está documentado na Declaração de Aplicabilidade ENS, mantida e revista pelo Responsável pela Segurança (CSO/CISO).
Cargo
Responsabilidades
CEO
Tem a responsabilidade global pela Segurança da Informação e assegura que estão disponíveis recursos suficientes para suportar a função de Segurança da Informação. Aprova formalmente esta Política e as suas revisões.
Gestão
Responsável por garantir que os colaboradores e prestadores de serviços cumprem esta Política.
CSO/CISO (Responsável pela Segurança)
Responsável pela gestão operacional do SGSI; manutenção e atualização da documentação do SGSI; garantia de conformidade com obrigações legais, regulatórias e contratuais; promoção da sensibilização e formação em segurança; gestão de incidentes e investigações; e reporte do desempenho do SGSI à gestão.
Encarregado de Proteção de Dados
Responsável pela gestão corrente das matérias de proteção de dados.
CTO
Responsável pelas atividades técnicas de segurança, incluindo documentação, monitorização de sistemas, investigação técnica de incidentes e ligação com contactos técnicos externos; bem como pela gestão de controlos criptográficos, cópias de segurança, proteção contra malware e gestão de acessos.
Colaboradores e prestadores de serviços
Responsáveis por proteger os ativos sob o seu controlo, incluindo instalações, hardware, software, sistemas e informação; por cumprir todas as políticas e procedimentos de segurança; e por reportar quaisquer suspeitas de violações ou vulnerabilidades de segurança.
Estrutura de Segurança ENS — Artigo 11, RD 311/2022
Em conformidade com o Artigo 11 do Real Decreto 311/2022, os seguintes papéis são formalmente estabelecidos para os sistemas no âmbito ENS. Estas funções são operacionalmente independentes para prevenir conflitos de interesse.
Papel ENS
Função
Responsabilidades
Dono da Informação
CEO
Determina o valor e a sensibilidade dos ativos de informação; define os requisitos de classificação e proteção; aceita formalmente os riscos residuais sobre os ativos de informação.
Dono do Serviço
CCO
É o titular dos serviços prestados a clientes do setor público espanhol; define os requisitos de segurança ao nível do serviço; é responsável pela continuidade do serviço e pelo cumprimento das obrigações contratuais de segurança.
Responsável pela Segurança
CSO/CISO
Gere operacionalmente o SGSI; mantém as políticas e documentação de segurança; assegura a conformidade regulatória; gere incidentes de segurança e coordena a sua resolução; reporta ao CEO. Esta função é independente do Responsável pelos Sistemas, não existindo qualquer dependência hierárquica direta entre ambos.
Responsável pelos Sistemas
CTO
Gere a operação técnica dos sistemas de informação no âmbito ENS; implementa os controlos de segurança definidos pelo Responsável pela Segurança; gere controlos de acesso, atualizações, configurações dos sistemas e cópias de segurança.
Esta Política de Segurança da Informação define a forma como a Empresa aborda os riscos de negócio em linha com a ISO/IEC 27001:2022. Estabelece os requisitos para a implementação de controlos de segurança adequados à gestão dos riscos associados às atividades da Empresa.
A implementação e gestão contínua deste sistema são fundamentais para todos os trabalhos realizados pela Empresa. Os procedimentos estabelecidos são adotados e seguidos pelos colaboradores a todos os níveis da organização.
A Empresa adotou uma abordagem baseada em processos para desenvolver, implementar e melhorar continuamente a eficácia do seu SGSI. Neste contexto, a Empresa compromete-se a:
Princípios de Segurança ENS — Artigo 5, RD 311/2022
Em conformidade com o Artigo 5 do Real Decreto 311/2022, os seguintes princípios regem a segurança da informação para todos os sistemas no âmbito ENS:
Princípio
Descrição
Segurança Integral
A segurança é considerada em todos os componentes e processos do sistema, desde a sua conceção até ao fim de vida.
Gestão do Risco
As decisões de segurança são proporcionais aos riscos identificados, com base numa análise estruturada de ativos, ameaças, vulnerabilidades e impacto potencial.
Prevenção, Deteção, Resposta e Recuperação
As medidas de segurança abrangem todas as fases do ciclo de vida dos incidentes, não apenas a prevenção.
Linhas de Defesa
São aplicadas múltiplas camadas de segurança independentes; nenhum controlo individual é considerado suficiente.
Monitorização Contínua
Os sistemas de informação são monitorizados de forma contínua para detetar anomalias e adaptar as medidas de segurança a um panorama de ameaças em evolução.
Separação de Responsabilidades
As funções e responsabilidades são claramente definidas e separadas para prevenir conflitos de interesse, em particular entre quem define requisitos de segurança e quem opera os sistemas.
As considerações de Segurança da Informação estão integradas em todas as atividades diárias, processos, planos, projetos, contratos e parcerias da Empresa.
Os colaboradores são obrigados a conhecer e cumprir os procedimentos de Segurança da Informação estabelecidos nas Políticas e documentos de orientação relevantes. Os requisitos de conformidade estão igualmente incluídos nos Contratos de Trabalho.
Todas as Políticas de Segurança da Informação estão disponíveis para todos os colaboradores.
Qualquer violação das Políticas ou procedimentos de Segurança da Informação pode resultar em ação disciplinar, incluindo o despedimento.
Os colaboradores recebem formação e orientação sobre os requisitos de Segurança da Informação, tanto gerais como específicos das suas funções. Os Contratos de Trabalho incluem igualmente disposições de confidencialidade relativas à atividade da Empresa.
A Empresa mantém um Plano de Continuidade de Negócio, que é regularmente testado, revisto e atualizado.
Os requisitos legais e regulatórios são monitorizados e cumpridos, incluindo quaisquer atualizações ou alterações relevantes.
Políticas e Diretivas adicionais — incluindo as relativas a controlo de acessos, utilização aceitável de correio eletrónico e da Internet, proteção contra malware, cópias de segurança, gestão de palavras-passe e monitorização de sistemas — são implementadas, mantidas e regularmente revistas.
Esta Política de Segurança da Informação é revista pelo menos anualmente e atualizada sempre que necessário para garantir a sua relevância, conformidade legal e melhoria contínua do SGSI.
O SGSI e as atividades associadas de Segurança da Informação estão sujeitos a melhoria contínua através de auditorias internas e externas e de avaliações de risco permanentes.
São estabelecidos acordos de não divulgação e confidencialidade com organizações terceiras sempre que adequado.
A Empresa aplica uma abordagem baseada no risco para identificar, avaliar e tratar os riscos de segurança da informação. As avaliações de risco são realizadas em intervalos planeados e sempre que ocorram alterações significativas.
Os incidentes de segurança são geridos em conformidade com os procedimentos de Gestão de Incidentes da Empresa.
Esta Política e o SGSI são revistos pelo menos anualmente, ou sempre que ocorram alterações significativas ao negócio, ao panorama de risco ou aos requisitos regulatórios. As melhorias são informadas por avaliações de risco, análise de incidentes e monitorização de desempenho.
São realizadas auditorias internas e externas para garantir a eficácia do SGSI e a conformidade contínua com a ISO/IEC 27001:2022, a ISO/IEC 42001:2023 e, sempre que aplicável, com o Real Decreto 311/2022 (ENS).
Esta Política é formalmente aprovada pelo CEO. A versão aprovada vigente substitui todas as versões anteriores.
