Resolução do Conselho de Ministros 41/2018

resolução conselho ministros rgpd.jpg

Foi emitida uma resolução do Conselho de Ministros que define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes e sistemas de informação relativos a dados pessoais, e que vem no seguimento da entrada em vigor da nova lei de proteção de dados conhecida como Regulamento Geral de Proteção de Dados (RGPD). Para além do reforço da proteção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico. 

Esta resolução tem como foco a segurança das aplicações, capacidade de auditoria, monitorização de segurança das infraestruturas, metodologias de desenvolvimento, entre muitos outros requisitos e que obriga a Administração Pública a tomar iniciativas que indicam que a Cibersegurança passará a ser uma prioridade a nível nacional. 

Para conhecer o documento na íntegra clique aqui.

Os requisitos gerais são:

  • Capacidade de monitorização, registo e análise de toda a atividade de acessos de modo a procurar ameaças prováveis.

  • Inspeção automática dos conteúdos para procurar dados sensíveis e acessos remotos ao sistema a partir do exterior do ambiente organizacional

  • Devem ser definidas políticas que garantam a segurança dos dados pessoais, em alinhamento com a estratégia superiormente definida para a segurança do tratamento de dados pessoais 

  • Proteção dos dados contra modificações não autorizadas, perdas, furtos e divulgação não autorizada. 

  • Capacidade para garantir a identidade correta do remetente e destinatário da transmissão dos dados pessoais.  

  • Os sistemas de armazenamento devem garantir redundância e disponibilidade, não devendo existir nenhum «single point of failure». 

  • As aplicações cliente (exemplo, Android, IOS, WEB) devem ser desenvolvidas adotando práticas de desenvolvimento seguro. 

  • Procedimentos seguros de início de sessão. 

  • As redes e sistemas de informação devem possuir as funcionalidades necessárias ao respeito pelos direitos do titular dos dados. 
  • Capacidade para autenticar e autorizar todos os utilizadores e dispositivos, incluindo o controlo do acesso a sistemas e aplicações. 
  • Atribuição de direitos de acesso e privilégio de forma restrita e controlada. 

  • Atribuição das credenciais de acesso de forma controlada através de um processo formal de gestão do respetivo ciclo de vida. 

  • Revisão de direitos de acesso de utilizadores em intervalos regulares. 

  • Capacidade para garantir que os utilizadores fazem uma utilização correta dos dados. 

  • Restrição de acesso à informação baseado no princípio necessidade de conhecer (criação de perfil). 

  • Automatização dos processos de concessão, revisão, análise e revogação de acesso. 

  • As tecnologias de informação a implementar devem permitir a portabilidade e a exportação de dados pessoais.