REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO DE 27 DE ABRIL DE 2016 ou "RGPD"
O que é o RGPD?
Desde de 25 de maio de 2018, o "Regulamento Geral de Proteção de Dados", conhecido como "RGPD" (Regulamento Geral de Proteção de Dados) é aplicável em todos os países da União Europeia, incluindo Portugal.
Este Regulamento – complementado por legislação nacional (por exemplo, a Lei n.º 58/2019, de 8 de agosto) – exige que as empresas façam um esforço crucial de ajustamento.
O que faz o AMEN.pt para se adaptar ao RGPD e ajudar os seus clientes?
O grupo Dada, do qual a AMEN.pt (a “Empresa”) faz parte, adaptou-se à nova legislação de privacidade através da criação de uma Estrutura de Conformidade de Proteção de Dados do Grupo.
A Estrutura de Conformidade de Proteção de Dados do Grupo, além de incluir versões atualizadas da documentação interna que autorizam os funcionários a processar dados pessoais e as políticas de privacidade no processamento de dados pessoais, internos e no relacionamento com os clientes, também é composta de políticas e procedimentos, que fazem parte da documentação interna geral da Empresa. O conteúdo mais significativo para os clientes é refletido na Política de Privacidade publicada no site e nos contratos assinados com os clientes.
As políticas e procedimentos que compõem a Estrutura de Conformidade de Proteção de Dados do Grupo do Grupo Dada são os seguintes:
- Diretrizes sobre Pessoas Autorizadas, que tem por objetivo estabelecer as funções, obrigações e instruções que os responsáveis pelo processamento (os “utilizadores”) indicados pela Companhia e pelas demais empresas do Grupo devem conhecer e respeitar; um elemento importante é o programa de treinamento para todos os usuários que, dentro das empresas do Grupo, processam dados pessoais, para que eles estejam cientes das responsabilidades que cada processamento de dados pessoais acarreta, e da sensibilidade das atividades que eles realizam;
- Linhas de Orientação para Subcontratantes, que se aplicam a todas as entidades responsáveis pelo tratamento de dados pessoais, sejam outras empresas do Grupo ou empresas externas. O objetivo é garantir que o tratamento de dados pessoais seja efetuado em conformidade com os direitos, liberdades fundamentais e dignidade das pessoas singulares e coletivas, com particular referência à privacidade e ao direito à proteção de dados pessoais;
- Política de Violação de Dados, que visa fornecer aos usuários as indicações práticas a serem seguidas em caso de violação de dados pessoais. Note que, no caso de a Empresa sofrer uma violação dos dados pessoais de que é a Entidade Responsável pelo tratamento, será sua exclusiva responsabilidade e dever cumprir as obrigações decorrentes das leis de proteção de dados em tais circunstâncias. No caso em que a Entidade Responsável pelo tratamento dos dados que estão sendo violados for, em vez disso, um Cliente, a Empresa esforçar-se-á para colaborar de forma tão eficaz quanto possível com o Cliente para apoiá-lo no cumprimento de suas obrigações sob a lei aplicável;
- Política de Fundamentos Legais para Processamento de Dados Pessoais, que visa descrever os princípios legais subjacentes ao tratamento de dados pessoais e listar as bases legais que podem legitimar o processamento de dados pessoais pelas empresas do Grupo Dada;
- Política de Conservação de Dados Pessoais, que mostra os critérios utilizados pela Companhia para estabelecer a duração da retenção de dados pessoais, conforme já estabelecido na política de privacidade publicada no site;
- Política de Ferramentas de TI, que visa regular o uso de ferramentas pertencentes às empresas do Grupo, bem como ferramentas pessoais de funcionários autorizados para uso comercial;
- Política de Transferências de Dados Pessoais, que descreve as bases jurídicas que permitem às Empresas do Grupo transferir legalmente dados pessoais para terceiros, em particular quando os destinatários estão localizados fora da União Europeia.
Deve-se notar que, até Março de 2019, o Reino Unido será, para todos os efeitos, um estado membro da União Europeia e, portanto, a transferência de dados de e para o Reino Unido não estará sujeita a nenhum tipo de restrição, da mesma forma como qualquer transferência de dados ocorrerá a partir de Portugal para e de qualquer outro país da UE, como o RGPD é totalmente aplicável para o Reino Unido também. Subsequentemente, se o chamado “Brexit” ocorrer oficialmente, é razoável esperar que o Reino Unido receba uma decisão de adequação da Comissão Europeia, relativa à segurança do processamento de dados pessoais que ocorre no seu território. De fato, o Reino Unido até agora declarou sua intenção de cumprir a Legislação Europeia sobre proteção de dados pessoais de maneira completa, incluindo a implementação do RGPD em suas legislações nacionais.
A segurança de dados é, em qualquer caso, uma prioridade para o AMEN, que irá monitorar os desenvolvimentos futuros do "Brexit", a fim de tomar as decisões apropriadas.
- Diretrizes sobre Proteção de Dados desde a conceção e por defeito, que têm o propósito de ilustrar como a Empresa e outras empresas do Grupo adotaram controles internos (por exemplo, políticas, procedimentos e medidas de segurança) destinadas a assegurar que toda e qualquer atividade de processamento de os dados pessoais estão alinhados com os novos princípios de proteção de dados desde a conceção (by design) e por defeito (by default), estabelecidos pelo art. 25 do RGPD;
- Procedimentos relativos ao pedidos dos Titulares, que se destinam a fornecer orientação prática com referência a pedidos para o exercício de direitos pelos titulares de dados (por exemplo: acesso a dados, portabilidade de dados, objeção ao processamento); Para obter informações sobre o direito de portabilidade de dados e para poder exercê-lo facilmente, através deste email dpo@amen.pt.
- Procedimento de Avaliação do Impacto na Proteção de Dados, que fornece às empresas do Grupo um procedimento detalhado e um método para realizar avaliações de impacto da proteção de dados, quando exigido por lei;
- Procedimentos de Cooperação com as Autoridades Supervisoras, que visa fornecer instruções operacionais que a Companhia tenha codificado para tratar possíveis controles, pedidos de informação e inspeções realizadas pela autoridade supervisora portuguesa (CNPD) para a Empresa;
- Procedimento de Avaliação de Risco e segurança de TI, que detalha um procedimento de avaliação de risco de segurança, que se baseia em um padrão de avaliação de risco da ISO e combina-o com uma metodologia eficaz para encontrar a especialização das ameaças;
- Registo de atividades de processamento, na forma de um registo que contém todas as informações relevantes sobre as atividades de processamento de dados pessoais realizados pela Empresa.
Um Encarregado de Proteção de Dados do Grupo ("DPO") também foi nomeado que, em nome da Empresa, desempenha as funções estabelecidas pelo regulamento, coordena e dirige as atividades locais do DPO das outras empresas do Grupo Dada.
Para AMEN, a segurança dos seus dados vem em primeiro lugar!
Em relação às medidas de segurança, a Empresa, como parte da prestação de serviços de email, PEC, SPID, e serviços de “Managed Servers” e “Hosting”, aplica as medidas técnicas e organizacionais listadas abaixo.
Para obter mais detalhes sobre as medidas de segurança dos serviços PEC SPID, consulte os manuais de operação relacionados aos serviços acima mencionados, elaborados em conformidade com as disposições da autoridade italiana competente (“Agenzia per l'Italia Digitale”) para tais serviços, para qual grupo Dada está sujeito.
Independentemente, do ponto de vista geral, por favor, veja as seguintes informações adicionais sobre as medidas de segurança adotadas para os demais serviços da Companhia:
Procedimentos de segurança da informação
Organização interna
Funções e responsabilidades separadas foram definidas para a segurança da informação e foram atribuídas aos responsáveis pela empresa pelas atividades de processamento (doravante também "utilizadores"), a fim de evitar conflitos de interesses e impedir atividades inadequadas.
Segurança de recursos humanos
Dispositivos móveis e teletrabalho
Existe uma política de segurança para o uso de todos os dispositivos da empresa, em particular dispositivos móveis, e controles adequados estão em vigor.
Conclusão ou mudanças na relação de emprego
Após a cessação da relação laboral de um utilizado com a empresa ou no caso de se verificar uma alteração significativa na função desempenhada, as permissões de acesso são atualizadas imediatamente, enquanto os equipamentos de Empresa são devolvidos e redefinidas física e teoricamente.
Gestão de inventário da Empresa
Responsabilidade pelos recursos e ativos da Empresa
Todas as ferramentas e ativos da empresa são cuidadosamente inventariados e a alocação dos mesmos aos vários usuários responsáveis por sua segurança é monitorada. Uma política foi definida para seu uso correto.
Classificação de informação
Todas as informações são classificadas e catalogadas pelos respectivos Utilizadores, de acordo com os requisitos de segurança, bem como processadas adequadamente.
Gestão de media
As informações armazenadas nos media são geridas, controladas, modificadas e usadas de forma a não comprometer seu conteúdo e são excluídas de maneira apropriada.
Controle de acesso
Requisitos de negócios para controle de acesso
Os requisitos organizacionais da empresa para monitorar o acesso aos recursos de informação são documentados em uma política e implementados na prática através de um procedimento de controle de acesso; Ou seja, o acesso à rede e conexões é limitado.
Gestão de acessos do Utilizador
A alocação de direitos de acesso do Utilizador é controlada a partir do registro inicial do Utilizador até a remoção dos direitos de acesso quando eles não são mais necessários, incluindo restrições especiais nos direitos de acesso privilegiado e a gestão de "informação confidencial de autenticação" e está sujeito a revisões e verificações periódicas incluindo uma atualização dos direitos de acesso quando necessário. Na gestão de acesso, o critério de minimização de direitos de acesso é utilizado, pois estes são emitidos de forma a conceder ao Utilizador apenas acesso aos dados necessários para sua função de trabalho e atividade de negócio. Direitos de acesso adicionais requerem autorização específica.
Responsabilidade do Utilizador
Os utilizadores estão cientes de suas responsabilidades também por meio da manutenção de controle de acesso efetivo, por exemplo, escolhendo uma senha complexa, cuja complexidade é verificada pelo sistema e mantida confidencial.
Sistemas e aplicações para controle de acesso
O acesso às informações está sujeito a restrições em conformidade com a política de controle de acesso, por meio de um sistema de acesso seguro e gestão de senha de acesso, bem como controle sobre ferramentas privilegiados e acesso limitado a todos os códigos-fonte.
Encriptação
Controle criptográfico
Existe uma Política em vigor sobre o uso de criptografia de media e dados do Utilizador. Autenticações são criptografadas.
Segurança física e ambiental
Estão em vigor medidas de segurança física e ambiental para impedir o acesso, a perda ou a disseminação ilegítima ou acidental de dados.
Áreas seguras: data centre
Os serviços da empresa são fornecidos e hospedados em vários data centres em todo o mundo, sendo que o armazenamento de dados pessoais dos clientes está entre os poucos Tier IV certificados na Itália, que é a garantia máxima que um data centre pode oferecer. Todos os data centres dentro da cadeia de fornecimento oferecem redundância completa de todos os circuitos elétricos, de resfriamento e de rede. Todos os data centres têm iluminação de perímetro, bem como um sistema de detecção de presença com cameras de CCTV; as portas de emergência estão equipadas com um alarme. Todos os alarmes estão concentrados nas salas de controlo.
O acesso físico é regulado e controlado por procedimentos de autorização, reconhecimento e registro e é limitado, graças ao sistema de controle de acesso, às áreas para as quais existe uma autorização.
Equipamento
Existe uma política para a destruição de equipamentos descartados, a fim de destruir com segurança todas as informações contidas.
Segurança das operações
Procedimentos e responsabilidades operacionais
As responsabilidades operacionais em TI são documentadas e as mudanças nos recursos e sistemas de TI são controladas. Sistemas de desenvolvimento, sistemas de verificação e sistemas operacionais são separados. Existem Utilizadores responsáveis pelo bom funcionamento dos procedimentos. Por outro lado, a gestão da segurança lógica dos sistemas operativos e das aplicações instaladas pelo cliente é da responsabilidade do cliente dos serviços individuais prestados pela Empresa (doravante também o "cliente").
Proteção contra malware
O controlo de vírus e malware está ativo nos dispositivos da empresa e existe uma consciencialização apropriada dos Utilizadores.
No que respeita aos serviços do Servidores Virtuais ou de Servidores Dedicados, o cliente é responsável pela instalação do software antivírus e antimalware e - se o serviço relacionado não tiver sido adquirido - de um firewall. Com relação ao serviço de “Hosting”, existe uma proteção em tempo real nas máquinas de front-end.
No que diz respeito ao serviço de e-mail, o tráfego de e-mail é analisado em tempo real, tanto de entrada como de saída, para a detecção de vírus, malware e para a identificação e filtragem de spam. A análise é automatizada e baseia-se na natureza do conteúdo, na interrogação de bancos de dados internacionais e na reputação adquirida devido a uma série de parâmetros.
Cópia de segurança (Backup)
São realizados backups periódicos, com a exclusão de serviços pelos quais o cliente é responsável por manter e gerenciar backups (Servidores Dedicados e Servidores Virtuais). Para serviços de “Hosting” e correio electrónico, são realizados backups periódicos que, para serviços de “Hosting”, também podem ser acedidos pelo cliente. Backups adicionais, não acessíveis pelos clientes, são realizados com o único propósito de recuperação de desastres.
Autenticação e Monitoramento
Autenticação e Sincronização
Todas as atividades e eventos relacionados à segurança das informações por Utilizadores do sistema e administradores / operadores ocorrem após a inserção das credenciais de autenticação ou dos certificados de identidade. Os relógios de todos os equipamentos estão sincronizados.
Controle de software operacional
Instalação de software em sistemas operacionais é controlada e monitorada.
Com relação aos Servidores Virtuais e Servidores Dedicados, os sistemas operacionais disponíveis para os clientes são disponibilizados com imagens de instalação atualizadas, mesmo durante a instalação pelo cliente. Também é responsabilidade do cliente atualizar o firmware e os aplicativos ou softwares instalados pelo cliente.
Gestão de vulnerabilidades técnicas
Gestão de patches
Cada vulnerabilidade técnica é corrigida com patches e procedimentos apropriados, são fornecidos para todas as fases de teste e para a instalação subsequente do software e atualizações, que ocorre somente quando todos os testes são positivos.
Considerações sobre auditoria de sistemas de informação
Verificações periódicas são realizadas para verificar se qualquer efeito negativo nos sistemas de produção é minimizado e se não há acesso não autorizado aos dados.
Segurança das Comunicações
Gestão de segurança de rede
As redes e serviços online também são seguros através da sua separação e segregação.
Transferência de informação
Acordos relativos à transferência de informações de e para terceiros estão em vigor.
Aquisição, desenvolvimento e manutenção do sistema
Segurança nos processos de desenvolvimento e suporte
As regras que governam a segurança do software e de desenvolvimento do sistema estão definidas em Política específica. As alterações no sistema (para aplicações e para sistemas operacionais) são controladas. A segurança do sistema é testada e os critérios de elegibilidade, que incluem aspectos de segurança, estão definidos.
Relacionamento com fornecedores
Segurança da informação no relacionamento com fornecedores
Existem contratos ou acordos destinados a proteger e regulamentar o processamento de informações da organização e dos clientes acessíveis a terceiros que operam na área de TI e a outros fornecedores terceirizados que fazem parte de toda a cadeia de fornecimentos.
Gestão de serviços prestados por fornecedores
A prestação de serviços efetuadas pelos fornecedores é monitorada e verificada em relação ao contrato ou acordo. Todas as alterações no serviço são verificadas.
Gestão de incidentes para segurança da informações
Gestão da informação relativa a incidentes de segurança e melhoramentos
Existem responsabilidades e procedimentos específicos que visam administrar coerentemente e efetivamente todos os eventos e incidentes relacionados à segurança da informação (por exemplo, o chamado procedimento de violação de dados).
Aspectos de segurança da informação relacionados com continuidade das operações
Redundâncias
Todas as principais instalações de TI são redundantes para atender aos requisitos de disponibilidade. Onde esta redundância não está em vigor, medidas adequadas estão em vigor para garantir a continuidade do serviço ou minimizar a perda de dados.
Compliance
Cumprimento dos requisitos legais e contratuais
A empresa identifica e documenta suas obrigações para com autoridades externas e outros terceiros em relação à segurança da informação, incluindo propriedade intelectual, documentação contábil e informações sobre privacidade.
Revisão de segurança da informação
Os projetos da organização relativos à segurança da informação e às políticas de segurança são revistos e ações corretivas são tomadas quando necessário.