Política de Segurança

O Comité de Segurança e Conformidade da homedoctor tem atribuída a competência de conceber, avaliar e rever, com caráter permanente, o Sistema de Governança e Sustentabilidade e, especificamente, de aprovar e atualizar as políticas corporativas, as quais contêm as diretrizes que regem a atuação da organização, no sentido estabelecido pela lei.

No exercício destas responsabilidades, com o objetivo de estabelecer os princípios gerais que devem reger as atuações em matéria de segurança corporativa em todas as suas vertentes, o Comité de Segurança e Conformidade aprova esta Política de Segurança Corporativa (a «Política»). Tudo isto em cumprimento da regulamentação de Segurança da Informação baseada no RD 311.2022 que regula o ENS e a norma voluntária ISO 27001.

Por outro lado, e devido à nossa atividade, na Homedoctor, estamos conscientes de que os dados pessoais são um ativo de elevado valor para a nossa organização e requerem, portanto, uma proteção e gestão adequadas, a fim de cumprir a legislação em vigor relativa à proteção de dados pessoais (RGPD e LOPDGDD) e o compromisso da Homedoctor com os nossos clientes, o que nos torna especialmente sensíveis ao tratamento dos dados pessoais a que temos acesso no exercício da nossa atividade.

1. Finalidade

A finalidade desta Política é estabelecer os princípios básicos de atuação que devem reger a Organização em matéria de segurança, para garantir a proteção efetiva das pessoas, dos ativos físicos (incluindo infraestruturas críticas), da informação e do conhecimento e dos sistemas de controlo e comunicações, bem como da privacidade dos dados tratados, zelando em todo o momento para que as atuações em matéria de segurança sejam plenamente conformes à lei e cumpram escrupulosamente o previsto no Código de Ética e de Conduta.

Através desta Política, a Organização manifesta o seu compromisso com a excelência em matéria de segurança, a qual desempenha um papel protagonista no dia a dia da Organização, para que permaneça segura, resiliente e fiável numa comunidade digital em contínua transformação, onde surgem novas ameaças cada vez mais sofisticadas, tanto físicas como de cibersegurança ou híbridas, o que provoca um aumento do grau de exigência dos reguladores, dos clientes e dos demais Grupos de Interesse com os quais a Organização se relaciona, relativamente ao cumprimento dos cada vez mais elevados padrões de segurança que permitam construir e consolidar relações duradouras de confiança.

Os sistemas devem ser protegidos contra ameaças em rápida evolução com potencial para incidir na informação e nos serviços. Para se defenderem destas ameaças, é necessária uma estratégia que se adapte às mudanças nas condições do ambiente para garantir a prestação contínua dos serviços.

Isso implica que os diferentes departamentos devem aplicar as medidas mínimas de segurança exigidas pelo Esquema Nacional de Segurança de acordo com a categoria determinada, conforme indicado no processo interno de avaliação dos sistemas, sistemática alinhada ao que é indicado no guia CCN-STIC 803 “Avaliação dos Sistemas”, bem como realizar um acompanhamento contínuo dos níveis de prestação de serviços, seguir e analisar as vulnerabilidades reportadas e preparar uma resposta eficaz aos incidentes para garantir a continuidade dos serviços prestados.

Os diferentes departamentos da organização devem certificar-se de que a segurança é uma parte integrante de cada etapa do ciclo de vida do sistema, desde a sua conceção até à sua retirada de serviço, passando pelas decisões de desenvolvimento ou aquisição e as atividades de exploração. Os requisitos de segurança e as necessidades de financiamento devem ser identificados e incluídos no planeamento, na solicitação de propostas e nos cadernos de encargos para projetos de TIC.

Os departamentos devem estar preparados para prevenir, detetar, reagir e recuperar de incidentes, de acordo com o Artigo 8º do ENS.

Seguindo as diretrizes do capítulo II, os princípios básicos pelos quais a Homedoctor se rege são os seguintes:

  1. Segurança como processo integral, constituído por todos os elementos relacionados com o sistema de informação, prestando especial importância à consciencialização de todos os participantes.
  2. Gestão da segurança baseada nos riscos, tal como descrito no ponto 2.8 do presente documento.
  3. Prevenção, deteção, resposta e conservação. Desenvolvido nos pontos 2.1, 2.2, 2.3 e 2.4 do presente documento.
  4. Existência de linhas de defesa constituídas por múltiplas camadas de segurança organizadas em medidas de natureza organizacional, física e lógica.
  5. Vigilância contínua e Reavaliação periódica, que permita a deteção de comportamentos anómalos e a sua resposta, bem como medir a sua evolução mediante a deteção de vulnerabilidades e as deficiências na configuração, verificando periodicamente a sua eficácia, podendo levar a uma reformulação do nosso design de segurança.
  6. Diferenciação de responsabilidades, tal como desenvolvido no ponto 2.6 do presente documento.

2. Requisitos mínimos

Para isso, aplicaremos os seguintes requisitos mínimos.

  1. Organização e implementação do processo de segurança.
  2. Análise e gestão de riscos.
  3. Gestão de pessoal.
  4. Profissionalismo.
  5. Autorização e controlo dos acessos.
  6. Proteção das instalações.
  7. Aquisição de produtos de segurança e contratação de serviços de segurança.
  8. Privilégio mínimo.
  9. Integridade e atualização do sistema.
  10. Proteção da informação armazenada e em trânsito.
  11. Prevenção contra outros sistemas de informação interligados.
  12. Registo da atividade e deteção de código malicioso.
  13. Incidentes de segurança.
  14. Continuidade da atividade.
  15. Melhoria contínua do processo de segurança.

Estes requisitos mínimos são proporcionais aos riscos identificados nos nossos sistemas, em conformidade com o disposto no artigo 28º e são desenvolvidos nos documentos do sistema de gestão do ENS.

3. Âmbito de aplicação

Esta Política é aplicável na íntegra aos sistemas de informação da Organização.

Esta Política é desenvolvida e complementada através das seguintes políticas específicas, também aprovadas pelo Comité de Segurança e Conformidade:

  • SIG.SI.PO-01 – Política de Organização Interna
  • SIG.SI.PO-02 – Política de medidas de segurança em projetos
  • SIG.SI.PO-03 – Política de Ativos de Informação e outros associados
  • SIG.SI.PO-04 – Política de Controlo de Acessos e Identidade
  • SIG.SI.PO-05 – Política de Segurança na Relação com Fornecedores
  • SIG.SI.PO-06 – Política de Segurança da Informação para a utilização de serviços na cloud
  • SIG.SI.PO-07 – Política de Gestão de Incidentes de Segurança
  • SIG.SI.PO-07-A1 – Anexo I – Política de Gestão de Incidentes de Segurança
  • SIG.SI.PO-08 – Política para a Continuidade do Negócio
  • SIG.SI.PO-09 – Políticas de Conformidade
  • SIG.SI.PO-10 – Política de Controlo de Pessoal
  • SIG.SI.PO-11 – Política de Teletrabalho
  • SIG.SI.PO-12 – Política de Controlo Físico
  • SIG.SI.PO-13 – Política de Dispositivos Móveis e BYOD
  • SIG.SI.PO-14 – Política de Controlo Tecnológico
  • SIG.SI.PO-15 – Política de Segurança de Redes
  • SIG.SI.PO-16 – Políticas de Criptografia
  • SIG.SI.PO-17 – Políticas de Desenvolvimento Seguro
  • SIG.SI.PO-18 – Política de Gestão de Risco
  • SIG.SI.PO-19 – Política de Formação
  • SIG.SI.PO-20 – Política de prevenção de fraude, corrupção e suborno

4. Princípios básicos de atuação

Para materializar o compromisso indicado no ponto 1 anterior, são estabelecidos os seguintes princípios básicos de atuação que devem presidir as atividades da Organização em matéria de segurança corporativa:

  1. Definir uma estratégia de segurança integral com uma abordagem tanto preventiva quanto proativa para garantir um nível razoável de risco.
  2. Assegurar a proteção adequada dos ativos (incluindo infraestruturas críticas), para gerir proativamente os riscos.
  3. Garantir a proteção dos profissionais da Organização tanto no seu local de trabalho como nas suas deslocações por motivos profissionais, bem como a proteção das pessoas quando se encontrem nas instalações ou em qualquer evento institucional da Organização.
  4. Definir um modelo de gestão da segurança com uma atribuição clara de papéis e responsabilidades e mecanismos de coordenação eficazes, que integre a segurança e a gestão proativa dos riscos nos processos de decisão.
  5. Assegurar a proteção adequada da informação e do conhecimento, bem como dos sistemas de controlo, informação e comunicações, para gerir proativamente os riscos, em conformidade com o disposto na Política de Gestão do Risco.
  6. Preservar os princípios de Confidencialidade, Integridade, Disponibilidade, Autenticidade, Rastreabilidade, bem como Conformidade Regulatória da informação. Por sua vez, estes princípios definem-se da seguinte forma:
    • Confidencialidade:
      é a propriedade que permite garantir que o acesso à informação só pode ser exercido pelas pessoas autorizadas para o efeito.
    • Integridade:
      é a propriedade de salvaguardar a exatidão e a completude dos ativos de informação.
    • Disponibilidade:
      é a qualidade que garante que as pessoas autorizadas podem aceder à informação e processá-la a qualquer momento em que seja necessário.
    • Autenticidade:
      é a propriedade ou característica que consiste em que uma entidade é quem diz ser ou que garante a fonte de onde provêm os dados.
    • Rastreabilidade:
      é a propriedade ou característica que consiste em que as atuações de uma entidade podem ser imputadas exclusivamente a essa entidade.
  7. Promover a identificação da informação não pública classificada (ou suscetível de ser classificada) como confidencial ou secreta, bem como a informação considerada (ou suscetível de ser considerada) como segredo empresarial e definir os critérios para a sua adequada proteção, assegurando a sua implementação.
  8. Impulsionar a luta ativa contra a fraude e contra ataques à marca, à imagem e à reputação das sociedades da Organização e dos seus profissionais.
  9. Garantir o direito à proteção dos dados pessoais de todas as pessoas singulares que se relacionam com a Organização, em conformidade com o disposto no MANUAL DE SEGURANÇA DO UTILIZADOR.
  10. Adotar as medidas necessárias para prevenir, neutralizar, minimizar ou restaurar o dano causado por ameaças à segurança, sejam elas físicas, de cibersegurança ou híbridas, para o normal desenvolvimento das atividades, com base em critérios de proporcionalidade aos potenciais riscos e à criticidade e ao valor dos ativos e serviços afetados.
  11. Cumprir com os princípios básicos de atuação estabelecidos na PSI.08 – Política para a Continuidade do Negócio.
  12. Fomentar uma cultura inclusiva e uma consciencialização em matéria de segurança dentro da Organização, mediante a realização de ações de divulgação, consciencialização e formação adequadas, adaptadas a cada destinatário e com a periodicidade suficiente para garantir a atualização dos conhecimentos neste âmbito.
  13. Impulsionar a adequada capacitação em matéria de segurança de todo o pessoal, tanto interno quanto externo, definindo requisitos e critérios na contratação que tenham em conta a referida capacitação.
  14. Monitorizar o contexto atual da organização e do ambiente, bem como a evolução de eventos que permitam identificar as ameaças de segurança mais relevantes com o objetivo de antecipar o seu potencial impacto.
  15. Promover as melhores práticas e a inovação no âmbito da segurança.
  16. Colaborar com os Grupos de Interesse envolvidos (entre outros, a cadeia de fornecimento e os clientes) em riscos de segurança que afetem as sociedades da Organização para reforçar a resposta coordenada perante potenciais riscos e ameaças em matéria de segurança.
  17. Prestar toda a assistência e cooperação que possam ser requeridas pelas instituições e organismos competentes em matéria de segurança, incluindo entre outros reguladores, forças e corpos de segurança e agências governamentais, nacionais e internacionais, nos países onde a Organização desenvolve a sua atividade.
  18. Zelar pelo efetivo cumprimento das obrigações impostas pela regulamentação aplicável em cada momento em matéria de segurança, atuando sempre em conformidade com a legislação em vigor e com o estabelecido no Código de ética e de Conduta.

5. OBJETIVOS GERAIS

A Política de Segurança fornece as bases para definir e delimitar os objetivos e responsabilidades para as diversas atuações técnicas, legais e organizacionais que se requerem para garantir a segurança da informação e a privacidade, cumprindo o quadro legal de aplicação e as políticas globais e específicas da empresa, bem como os procedimentos definidos.

Estas atuações, do ponto de vista da segurança e privacidade, são selecionadas e implementadas com base na análise de riscos e no equilíbrio entre o risco aceitável e o custo das medidas.

O objetivo da Política de Segurança é fixar o quadro de atuação necessário para proteger os recursos de informação e dados contra ameaças, internas ou externas, deliberadas ou acidentais.

A informação e os dados podem existir numa variedade de formatos, com suportes tanto eletrónicos como papel ou outros meios, e incluem, por vezes, dados críticos sobre as operações, estratégias ou atividades da Homedoctor e dos seus clientes e, inclusive, se for o caso, dados de caráter sensível que a regulamentação de proteção de dados pessoais estabelece. A perda, corrupção ou subtração de informação ou dos sistemas que a gerem tem um impacto elevado na nossa Empresa.

A Homedoctor está convencida de que uma gestão eficaz da Segurança da Informação e da Privacidade é um elemento facilitador para que a organização compreenda plenamente e atue de modo adequado aos riscos a que a informação é exposta, bem como para poder responder e adaptar-se de forma eficiente aos crescentes requisitos de organismos reguladores, leis e, naturalmente, dos seus clientes.

6. COMPROMISSO DA ALTA DIREÇÃO

O propósito do Sistema de Gestão de Segurança da Informação é garantir que os riscos da segurança da informação e privacidade sejam conhecidos, assumidos, geridos e minimizados de uma forma documentada, sistemática, estruturada, repetível, assumível e adaptada às mudanças que se produzam nos riscos, no ambiente e nas tecnologias.

Para isso, a direção declara o compromisso da Homedoctor para:

  • Estabelecer como objetivo primordial os serviços, com absoluto respeito pelos padrões de qualidade, preservando a informação, com especial atenção à sensibilidade dos dados pessoais tratados, com todas as medidas necessárias ao seu alcance.
  • Aplicar o princípio da melhoria contínua a todos os processos da organização, com o objetivo adicional de conseguir o maior grau de satisfação dos clientes.
  • Assegurar o cumprimento dos requisitos legais e regulamentares aplicáveis (em particular os relativos à proteção dos dados pessoais), bem como os que a organização tenha assumido de forma voluntária no desenvolvimento da Responsabilidade Social Corporativa do Livro de Estilo e no Código de Ética.
  • Potenciar a participação, a comunicação, a informação e a formação da equipa profissional com o objetivo de que se sinta parte do trabalho da organização no seu conjunto.
  • Promover o compromisso de responsabilidade entre os elementos da equipa de acordo com os requisitos de qualidade, bem como os relativos à privacidade e segurança da informação acordados tanto internamente como com os clientes, através de ações de formação e consciencialização adequadas e regulares.
  • Assegurar a continuidade do negócio desenvolvendo planos de continuidade conformes a metodologias reconhecidas.
  • Realizar e rever periodicamente uma análise de riscos baseada em métodos reconhecidos que nos permitam estabelecer o nível tanto de privacidade dos dados pessoais como de segurança da informação a nível geral e dos projetos e serviços em curso e minimizar os riscos através do desenvolvimento de políticas específicas, soluções técnicas e acordos contratuais com organizações especializadas.
  • Compromisso de informação a partes interessadas.
  • Seleção de fornecedores e subcontratados com base em critérios relacionados com a privacidade e segurança da informação.
  • No que diz respeito especificamente à proteção dos dados pessoais, a Homedoctor compromete-se a cumprir os princípios indicados na legislação de referência. Estes são:
  • Princípio da “licitude, transparência e lealdade”. Os dados devem ser tratados de forma lícita, leal e transparente para o interessado.
  • Princípio da “finalidade”. Os dados devem ser tratados com uma ou várias finalidades determinadas, explícitas e legítimas e, por outro lado, proíbe-se que os dados recolhidos com uns fins determinados, explícitos e legítimos sejam tratados posteriormente de uma forma incompatível com esses fins.
  • Princípio da “minimização de dados”. Aplicar medidas técnicas e organizacionais para garantir que sejam objeto de tratamento os dados que unicamente sejam precisos para cada uma das finalidades específicas do tratamento, reduzindo a extensão do tratamento, limitando ao necessário o prazo de conservação e a sua acessibilidade.
  • Princípio da “exatidão”. Dispor de medidas razoáveis para que os dados se encontrem atualizados, sejam eliminados ou modificados sem demora quando forem inexatos relativamente aos fins para os quais são tratados.
  • Princípio da “limitação do prazo de conservação”. A conservação dos dados deve limitar-se no tempo ao cumprimento das finalidades que persegue o tratamento.
  • Princípio da “segurança”. Realizar uma análise de riscos orientada a determinar as medidas técnicas e organizacionais necessárias para garantir a integridade, a disponibilidade, a autenticidade, a rastreabilidade e a confidencialidade dos dados pessoais que tratam.
  • Princípio da “responsabilidade ativa” ou “responsabilidade demonstrada”. Manter diligência devida de forma permanente para proteger e garantir os direitos e liberdades das pessoas singulares cujos dados são tratados com base numa análise dos riscos que o tratamento representa para esses direitos e liberdades, de modo que possamos garantir e demonstrar que o tratamento se ajusta às previsões do RGPD e da LOPDGD.
  • Dirigir, apoiar e supervisionar o sistema de gestão da segurança da informação, conforme estabelecido no RD 311.2022 e posteriores modificações, bem como na ISO 27001, e procurar que se atinjam os objetivos do mesmo.

A direção da Homedoctor compromete-se a apoiar e promover os princípios estabelecidos nesta Política, para o que pede ao pessoal da Homedoctor que assuma e se atenha às previsões do sistema de gestão documentado para o ENS.

7. DESENVOLVIMENTO DA POLÍTICA DE SEGURANÇA

Esta Política de Segurança complementa as políticas de segurança da Homedoctor em diferentes matérias e será desenvolvida por meio de normativa de segurança que aborde aspetos específicos. A normativa de segurança estará à disposição de todos os membros da organização que necessitem conhecê-la, em particular para aqueles que utilizem, operem ou administrem os sistemas de informação e comunicações.

A documentação relativa à Segurança da Informação será classificada em três níveis, de maneira que cada documento de um nível se fundamenta nos de nível superior:

  • Primeiro nível: Política de segurança.
  • Segundo nível: Normativas e procedimentos de segurança.
  • Terceiro nível: Relatórios, registos e evidências eletrónicas.

7.1. POLÍTICA

7.1.1. Prevenção

Os departamentos devem evitar, ou pelo menos prevenir na medida do possível, que a informação ou os serviços sejam prejudicados por incidentes de segurança. Para isso, os departamentos devem implementar as medidas mínimas de segurança determinadas pelo ENS, bem como qualquer controlo adicional identificado através de uma avaliação de ameaças e riscos. Estes controlos, e os papéis e responsabilidades de segurança de todo o pessoal, devem estar claramente definidos e documentados.

Para garantir o cumprimento da política, os departamentos devem:

  • Autorizar os sistemas antes de entrarem em operação.
  • Avaliar regularmente a segurança, incluindo avaliações das alterações de configuração realizadas de forma rotineira.
  • Solicitar a revisão periódica por parte de terceiros a fim de obter uma avaliação independente.

7.1.2. Deteção

Dado que os serviços podem degradar-se rapidamente devido a incidentes, que vão desde uma simples desaceleração até à sua interrupção, os serviços devem monitorizar a operação de forma contínua para detetar anomalias nos níveis de prestação dos serviços e atuar em conformidade com o estabelecido no Artigo 9º do ENS.

A monitorização é especialmente relevante quando se estabelecem linhas de defesa de acordo com o Artigo 8º do ENS. Serão estabelecidos mecanismos de deteção, análise e reporte que cheguem aos responsáveis regularmente e quando se produzir um desvio significativo dos parâmetros que tenham sido pré-estabelecidos como normais.

7.1.3. Resposta

Os departamentos devem:

  • Estabelecer mecanismos para responder eficazmente aos incidentes de segurança.
  • Designar um ponto de contacto para as comunicações relativas a incidentes detetados noutros departamentos ou noutros organismos.
  • Estabelecer protocolos para a troca de informações relacionadas com o incidente. Isto inclui comunicações, em ambos os sentidos, com as Equipas de Resposta a Emergências (CERT).

7.1.4. Recuperação

Para garantir a disponibilidade dos serviços críticos, os departamentos devem desenvolver planos de continuidade dos sistemas como parte do seu plano geral de continuidade de negócio e atividades de recuperação.

8. ORGANIZAÇÃO DA SEGURANÇA

Esta política aplica-se a todos os sistemas da Homedoctor e a todos os membros da organização, sem exceções.

A Homedoctor compromete-se a prestar os seus serviços de forma gerida e cumprindo os requisitos estabelecidos no seu Sistema Integrado de Gestão, de modo a garantir um serviço ininterrupto em conformidade com os requisitos de disponibilidade, segurança e qualidade para os clientes.

Devido à nossa atividade, na Homedoctor sabemos que a informação é um ativo de elevado valor para a nossa organização e sobretudo para a dos nossos clientes e, portanto, requer uma proteção e gestão adequadas, a fim de dar continuidade à nossa linha de negócio e minimizar os possíveis danos causados por falhas na Segurança da Informação.

Para isso, a organização:

  • Protegerá adequadamente a confidencialidade, disponibilidade, integridade, autenticidade e rastreabilidade dos seus ativos de informação através da introdução de uma série de controlos para gerir os riscos de segurança relevantes.
  • Priorizará a proteção e salvaguarda dos seus clientes e dos dados dos clientes como uma prioridade de negócio.
  • Estabelecerá, implementará, monitorizará, manterá e melhorará continuamente a sua gestão da segurança da informação como parte da sua abordagem mais ampla de gestão empresarial, e manterá a Certificação Acreditada de acordo com as normas adequadas.
  • Gerirá qualquer violação da segurança da informação de forma oportuna e responsável, e investirá em estratégias adequadas de deteção, resposta e remediação.
  • Em intervalos planeados, testará os seus controlos de segurança da informação e as suas respostas a cenários que possam causar uma ameaça às suas operações.
  • Fornecerá recursos adequados à organização para estabelecer, manter e melhorar o ambiente de segurança conforme apropriado para o cenário de riscos em mudança.
  • Investirá nas competências do pessoal para desempenhar as suas tarefas e proporcionará ao pessoal a formação e a consciencialização adequadas e relevantes para a sua função e para a informação a que têm acesso.
  • Garantirá que os nossos fornecedores e organizações parceiras façam o mesmo, e que estabeleçam e apliquem os padrões de segurança àqueles a quem transmitimos qualquer informação.

8.1. Comité de Segurança

Os membros do Comité de Segurança serão designados em ata de fundação, onde será indicada a pessoa designada e o cargo que deverá ocupar.

O Secretário do Comité de Segurança será o RESPONSÁVEL PELA SEGURANÇA e terá as seguintes funções:

  • Convoca as reuniões do Comité de Segurança.
  • Prepara os temas a tratar nas reuniões do Comité, fornecendo informação pontual para a tomada de decisões.
  • Elabora a ata das reuniões.
  • É responsável pela execução direta ou delegada das decisões do Comité.
  • O Comité de Segurança reportará ao Diretor(a) Geral.
  • O Comité de Segurança terá as seguintes funções:
  • Atender às preocupações da Alta Direção e dos diferentes departamentos.
  • Informar regularmente sobre o estado da segurança da informação à Alta Direção.
  • Promover a melhoria contínua do sistema de gestão da segurança da informação.
  • Elaborar a estratégia de evolução da Organização no que diz respeito à segurança da informação.
  • Coordenar os esforços das diferentes áreas em matéria de segurança da informação, para assegurar que os esforços são consistentes, alinhados com a estratégia decidida na matéria, e evitar duplicações.
  • Elaborar (e rever regularmente) a Política de Segurança para que seja aprovada pela Direção.
  • Aprovar a regulamentação de segurança da informação.
  • Coordenar todas as funções de segurança da organização.
  • Zelar pelo cumprimento da regulamentação legal e setorial aplicável.
  • Zelar pelo alinhamento das atividades de segurança com os objetivos da organização.
  • Coordenar os Planos de Continuidade das diferentes áreas, para assegurar uma atuação sem falhas em caso de necessidade de ativação.
  • Coordenar e aprovar, se for o caso, as propostas de projetos recebidas dos diferentes âmbitos de segurança, encarregando-se de gerir um controlo e apresentação regular do progresso dos projetos e anúncio dos possíveis desvios.
  • Receber as preocupações em matéria de segurança da Direção da entidade e transmiti-las aos responsáveis departamentais pertinentes, recolhendo deles as correspondentes respostas e soluções que, uma vez coordenadas, deverão ser comunicadas à Direção.
  • Recolher dos responsáveis de segurança departamentais relatórios regulares do estado da segurança da organização e dos possíveis incidentes. Estes relatórios são consolidados e resumidos para a sua comunicação à Direção da entidade.
  • Coordenar e dar resposta às preocupações transmitidas através dos responsáveis de segurança departamentais.
  • Definir, no âmbito da Política de Segurança Corporativa, a atribuição de papéis e os critérios para alcançar as garantias pertinentes no que diz respeito à segregação de funções.
  • Elaborar e aprovar os requisitos de formação e qualificação de administradores, operadores e utilizadores do ponto de vista da segurança da informação.
  • Monitorizar os principais riscos residuais assumidos pela Organização e recomendar possíveis atuações relativamente a eles.
  • Monitorizar o desempenho dos processos de gestão de incidentes de segurança e recomendar possíveis atuações relativamente a eles. Em particular, zelar pela coordenação das diferentes áreas de segurança na gestão de incidentes de segurança da informação.
  • Promover a realização de auditorias periódicas que permitam verificar o cumprimento das obrigações do organismo em matéria de segurança.
  • Aprovar planos de melhoria da segurança da informação da Organização. Em particular, zelará pela coordenação de diferentes planos que possam ser realizados em diferentes áreas.
  • Priorizar as atuações em matéria de segurança quando os recursos forem limitados.
  • Zelar para que a segurança da informação seja tida em conta em todos os projetos desde a sua especificação inicial até à sua entrada em operação. Em particular, deverá zelar pela criação e utilização de serviços horizontais que reduzam duplicações e apoiem um funcionamento homogéneo de todos os sistemas TIC.
  • Resolver os conflitos de responsabilidade que possam surgir entre os diferentes responsáveis e/ou entre diferentes áreas da Organização.

8.2.  Papéis: Funções e responsabilidades

Serão detalhadas, em seguida, as funções dos responsáveis da organização:

8.2.1. Responsável da Informação

As suas funções serão as seguintes:

  • Responsabilidade última pelo uso que se faça de uma certa informação e, portanto, pela sua proteção.
  • Responsável último por qualquer erro ou negligência que implique um incidente de confidencialidade ou de integridade (em matéria de proteção de dados) e de disponibilidade (em matéria de segurança da informação).
  • Estabelecer os requisitos da informação em matéria de segurança.
  • Determinar e aprovar os níveis de segurança da informação.
  • Aprovar a categorização do sistema relativamente à informação.
  • Os que forem indicados nos documentos no âmbito do ENS.

8.2.2. Responsável do Serviço

As suas funções serão as seguintes:

  • Estabelecer os requisitos de segurança do serviço.
  • Determinar os níveis de segurança dos serviços.
  • Aprovar a categorização do sistema relativamente aos serviços.
  • Os que forem indicados nos documentos no âmbito do ENS.

8.2.3. Responsável da Segurança

As suas funções serão as seguintes:

  • Manter a segurança da informação gerida e dos serviços prestados pelos sistemas de informação no seu âmbito de responsabilidade, de acordo com o estabelecido na Política de Segurança da Informação da organização.
  • Promover a formação e consciencialização em matéria de segurança da informação dentro do seu âmbito de responsabilidade.
  • Aprovar a declaração de aplicabilidade.
  • Canalizar e supervisionar, tanto o cumprimento dos requisitos de segurança do serviço que se presta ou solução que se fornece, como as comunicações relativas à segurança da informação e à gestão dos incidentes para o âmbito do referido serviço (POC).
  • Os que forem indicados nos documentos no âmbito do ENS.

O Responsável da Segurança será o secretário do Comité de Segurança com as funções indicadas no ponto 3.5.1 da presente política.

De conformidade com o princípio de “segregação de funções e tarefas” consagrado no art. 10º do ENS, o Responsável da Segurança será uma figura diferenciada do Responsável do Sistema.

8.2.4. Responsável do Sistema

As suas funções serão as seguintes:

  • Desenvolver, operar e manter o sistema de informação durante todo o seu ciclo de vida, incluindo as suas especificações, instalação e verificação do seu correto funcionamento.
  • Definir a topologia e a gestão do sistema de informação, estabelecendo os critérios de uso e os serviços disponíveis no mesmo.
  • Certificar-se de que as medidas de segurança se integram adequadamente no quadro geral de segurança.
  • Poder de propor a suspensão do tratamento de uma certa informação ou a prestação de um determinado serviço se detetar deficiências graves de segurança que possam afetar a satisfação dos requisitos estabelecidos.
  • Os que forem indicados nos documentos no âmbito do ENS.

8.2.5. Responsável da Privacidade

As suas funções serão as seguintes:

  • Coordenar todos os aspetos relacionados com a adequação das atuações da Homedoctor em matéria de proteção de dados de caráter pessoal.
  • Coordenar, em conjunto com o Responsável da Segurança, o cumprimento do ENS no que diz respeito à proteção de dados de caráter pessoal.

8.3. Procedimentos de designação

O Responsável da Segurança será nomeado pelo Comité de Segurança. A nomeação será revista a cada 2 anos ou quando o cargo ficar vago.

Igualmente, os restantes cargos indicados no ponto anterior serão designados pelo Comité de Segurança mediante ata de reunião.

9. REVISÃO DA POLÍTICA DE SEGURANÇA

Será missão do Comité de Segurança a revisão anual desta Política de Segurança e a proposta de revisão ou manutenção da mesma. A Política será aprovada pela Alta Direção e difundida para que todas as partes afetadas a conheçam.

10. DADOS DE CARÁTER PESSOAL

A Homedoctor, na prestação do seu serviço, trata dados de caráter pessoal especialmente sensíveis, por fazerem parte do histórico de saúde, ou pela sua categoria especial.

A documentação relativa, à qual terão acesso apenas as pessoas autorizadas, recolhe os registos de atividade de tratamento de dados afetados e os responsáveis correspondentes. Todos os sistemas de informação da Homedoctor ajustar-se-ão aos níveis de segurança exigidos pela regulamentação para a natureza e finalidade dos dados de caráter pessoal.

11. GESTÃO DE RISCOS

Todos os sistemas sujeitos a esta Política deverão realizar uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos. Esta análise será repetida:

  • Regularmente, pelo menos uma vez por ano
  • Quando a informação gerida mudar
  • Quando os serviços prestados mudarem
  • Quando ocorrer um incidente grave de segurança
  • Quando forem reportadas vulnerabilidades graves

Para a harmonização das análises de riscos, o Comité de Segurança estabelecerá uma avaliação de referência para os diferentes tipos de informação gerida e os diferentes serviços prestados. O Comité de Segurança dinamizará a disponibilidade de recursos para atender às necessidades de segurança dos diferentes sistemas, promovendo investimentos de caráter horizontal.

12. OBRIGAÇÕES DO PESSOAL

Todos os membros da Homedoctor têm a obrigação de conhecer e cumprir esta Política de Segurança e a Regulamentação de Segurança, sendo responsabilidade do Comité de Segurança dispor os meios necessários para que a informação chegue aos afetados.

Todos os membros da Homedoctor assistirão a uma sessão de consciencialização em matéria de segurança da informação pelo menos uma vez por ano. Será estabelecido um programa de consciencialização contínua para atender a todos os membros da Homedoctor, em particular os recém-chegados.

As pessoas com responsabilidade na utilização, operação ou administração de sistemas receberão formação para o manuseamento seguro dos sistemas na medida em que o necessitem para realizar o seu trabalho. A formação será obrigatória antes de assumir uma responsabilidade, quer seja a sua primeira atribuição ou se trate de uma mudança de posto de trabalho ou de responsabilidades no mesmo.

13. TERCEIROS

Quando a Homedoctor prestar serviços a outras organizações públicas ou privadas ou gerir informações de outras organizações públicas ou privadas, estas serão envolvidas nesta Política de Segurança, serão estabelecidos canais para reporte e coordenação dos respetivos Comités de Segurança e serão estabelecidos procedimentos de atuação para a reação a incidentes de segurança.

Quando a Homedoctor utilizar serviços de terceiros ou ceder informações a terceiros, estes serão envolvidos nesta Política de Segurança e na Regulamentação de Segurança que se aplique a esses serviços ou informações. Essa terceira parte ficará sujeita às obrigações estabelecidas nessa regulamentação, podendo desenvolver os seus próprios procedimentos operacionais para a satisfazer. Serão estabelecidos procedimentos específicos de reporte e resolução de incidentes. Será garantido que o pessoal de terceiros está adequadamente consciente em matéria de segurança, pelo menos ao mesmo nível que o estabelecido nesta Política.

Quando algum aspeto da Política não puder ser satisfeito por uma terceira parte conforme exigido nos parágrafos anteriores, será requerido um relatório do Responsável de Segurança que precise os riscos em que se incorre e a forma de os tratar. Será requerida a aprovação deste relatório pelos responsáveis da informação e dos serviços afetados antes de prosseguir.

14. LEGISLAÇÃO APLICÁVEL

A seguir, detalham-se as leis consideradas aplicáveis ao SGSI, juntamente com uma definição da área responsável por avaliar o seu impacto na organização.

Lei / RegulamentaçãoResponsabilidade
Lei 39/2015, de 1 de outubro, do Procedimento Administrativo Comum das Administrações PúblicasResponsável de Segurança
Lei 40/2015, de 1 de outubro, estabelece e regula as bases do regime jurídico das Administrações Públicas, os princípios do sistema de responsabilidade das Administrações Públicas e da potestadade sancionadora, bem como a organização e funcionamento da Administração Geral do Estado e do seu setor público institucional para o desenvolvimento das suas atividadesResponsável de Segurança
Decreto Real 311/2022, de 3 de maio, pelo qual se regulamenta o Esquema Nacional de Segurança.Responsável de Segurança
Lei Orgânica 1/2015, de 30 de março, pela qual se modifica a Lei Orgânica 10/1995, de 23 de novembro, do Código PenalResponsável de Segurança
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dadosResponsável de Segurança
Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitaisResponsável de Segurança
Lei 34/2002 de Serviços da Sociedade da Informação (LSSI)Responsável de Segurança
Lei 22/11, de 11/11/1987, de Propriedade Intelectual Responsável de Segurança
Resolução de 13 de outubro de 2016, da Secretaria de Estado de Administrações Públicas, pela qual se aprova a Instrução Técnica de Segurança de conformidade com o Esquema Nacional de SegurançaResponsável de Segurança
Resolução de 13 de abril de 2018, da Secretaria de Estado de Função Pública, pela qual se aprova a Instrução Técnica de Segurança de Notificação de Incidentes de SegurançaResponsável de Segurança
Resolução de 13 de outubro de 2016, da Secretaria de Estado de Administrações Públicas, pela qual se aprova a Instrução Técnica de Segurança de conformidade com o Esquema Nacional de SegurançaResponsável de Segurança

15. PROGRAMA ESTRATÉGICO DE SEGURANÇA

O Comité de Segurança e Conformidade identificará, implementará e avaliará as ações necessárias para a elaboração de um Plano Estratégico de Segurança (o «Plano»), em conformidade com os princípios e diretrizes definidos nesta Política e desenvolverá as normas, metodologias e procedimentos internos para assegurar a adequada implementação do Plano pela Organização.

O Comité de Segurança e Conformidade zelará para que em todo o momento se garanta um nível de maturidade da organização em matéria de segurança, de acordo com os mais altos padrões existentes em cada momento, atendendo ao território e aos negócios desenvolvidos pela correspondente empresa.

Por sua vez, o Comité de Segurança e Conformidade zelará, ainda, pela adequada coordenação das práticas e da gestão dos riscos no âmbito da segurança da Organização, bem como pela manutenção de um nível adequado de maturidade.

16. SUPERVISÃO E CONTROLO

Compete ao Comité de Segurança e Conformidade supervisionar o cumprimento do disposto nesta Política.

O exposto entender-se-á, em todo o caso, sem prejuízo das responsabilidades que caibam a outros órgãos, áreas, funções e direções da Organização e, se for o caso, aos órgãos de administração e de direção da Organização.

Para verificar o cumprimento desta Política, serão realizadas avaliações e auditorias periódicas com auditores internos ou externos.

Esta Política foi aprovada inicialmente pelo Comité de Segurança e Conformidade Regulatória em 25 de novembro de 2024.


Versão 2 de Nov. de 2024.

Utilizamos cookies para melhorar a sua experiência de navegação e oferecer conteúdo personalizado.
Se continuar a navegar, aceita a nossa Política de Privacidade e a nossa Política de Cookies.