Medidas técnicas e organizativas (MTO) da Arthrex
1. Controlo de admissão a instalações
O termo "controlo de admissão" refere-se ao acesso físico por parte de indivíduos a edifícios e instalações em que os sistemas TI utilizados para tratamento de dados pessoais são operados e utilizados. Estes podem ser, por exemplo, centros de dados onde servidores web, servidores de aplicações, bases de dados, mainframes e sistemas de armazenamento são operados, e salas de escritórios onde os funcionários utilizam computadores de secretária.
|
Medidas técnicas
|
Medidas organizativas
|
| • Medidas técnicas adequadas(por exemplo: sistemas de deteção de intrusos, sistemas de entrada de segurança de pessoa única e sistemas de bloqueio) são tomadas para salvaguardar áreas de segurança e os seus pontos de admissão |
• O requisito de proteção de um edifício ou de uma sala é determinado com base nos sistemas de tratamento de dados aí localizados.
• Um grupo de pessoas com autorização geral de admissão é definido e as autorizações para admissão a áreas relevantes em termos de segurança limitada à necessidade absoluta ("princípio de autorização mínima"), a admissão é negada a qualquer pessoa sem autorização.
• Foi estabelecido um processo para pedir, aprovar, emitir, gerir e aceitar o retorno de meios de admissão ou para retirar direitos de admissão (incluindo gestão de chaves, ID visuais, emissores-respondedores, cartões chip, etc.); todas as chaves são registadas.
• Foi estabelecido um processo para governar a admissão de pessoas externas à empresa, tais como convidados e fornecedores; os visitantes externos são registados; se houver uma necessidade para proteção acrescida, pessoal não acompanhado será acompanhado e supervisionado durante a execução do seu trabalho. |
2. Controlo de acesso ao hardware
Medidas para prevenir que pessoas não autorizadas acedam ou utilizem hardware utilizado para tratar dados pessoais:
|
Medidas técnicas
|
Medidas organizativas
|
|
• O acesso a sistemas de tratamento de dados nos quais os dados são tratados apenas é possível após a pessoa autorizada ter sido identificada e autenticada com sucesso (por exemplo, com um nome de utilizador e palavra-passe ou cartão chip/PIN), utilizando medidas de segurança de última geração.
• A autenticação forte baseia-se sempre em fatores múltiplos (pelo menos, 2), tais como algo que pertence, algo conhecido, ou baseado num fator único que é específico do utilizador (normalmente, processos biométricos); os exemplos incluem:
• Cartão chip com certificados e PIN
•Palavras-passe de utilização única (gerador OTP, SMS TAN, chip TAN) e palavra-passe de utilizador
• Perguntas de segurança
• Todas as tentativas de acesso com êxito ou rejeitadas são registadas (ID do utilizador, computador, endereço IP utilizado) e arquivadas num formulário de auditoria durante 1 ano para detetar a utilização indevida, são realizadas avaliações regulares através de amostragem.
• As credenciais de autenticação (tais como ID do utilizador e palavra-passe) nunca devem ser transmitidas sem proteção através da rede.
• O acesso é bloqueado após repetidas tentativas incorretas de autenticação; um processo foi estabelecido para redefinir ou desbloquear IDs de acesso bloqueadas; IDs de utilizador que não são usadas por um longo período são automaticamente bloqueadas ou definidas como inativas
|
• O grupo de pessoas autorizadas a acederem aos sistemas informáticos deve estar limitado ao mínimo absoluto necessário para desempenhar o cargo específico da pessoa ou funções com a organização operacional em curso.
• As palavras-passe devem obedecer a regras mínimas (por exemplo, um comprimento mínimo e complexidade para a palavra-passe); as palavras-passe têm de ser alteradas a intervalos regulares; as palavras-passe iniciais devem ser alteradas imediatamente, a implementação dos requisitos para comprimento de palavras-passe, complexidade da palavra-passe e a validade são assegurados por definições técnicas. |
3. Controlo de acesso a dados (acesso limitado)
3.1. Direitos de acesso limitados
Medidas para assegurar que o acesso a sistemas e dados é limitado a pessoal autorizado que atua no âmbito da sua autorização.
|
Medidas técnicas
|
Medidas organizativas
|
• A pessoa autorizada para aceder aos dados também tem de se identificar e autenticar perante o sistema de tratamento de dados com base em fatores únicos verificáveis como ID e palavra-passe.
• Todos os ecrãs de computador e de dispositivos estão definidos para modo de proteção do ecrã protegido por palavra-passe automático.
• Na medida em que os dados de várias partes são armazenados na mesma base de dados ou são tratados com o mesmo sistema de tratamento de dados, são fornecidas restrições de acesso lógico destinadas exclusivamente ao tratamento de dados para a parte em causa (multi-tenancy)
• Medidas adicionais de acordo com as secções acima. |
• Um conceito de autorização (direitos de utilizador e de administração) garante que o acesso aos dados no sistema só é permitido na medida do necessário para que o utilizador conclua a tarefa relevante de acordo com a distribuição de tarefas internas do utilizador e a separação de funções; são definidas regras e procedimentos para criar, alterar e eliminar perfis de autorização e funções de utilizador em conformidade com as regras de proteção de dados; as responsabilidades são reguladas.
• Os direitos de acesso são restritos em vários níveis numa base de necessidade de saber de acordo com uma política escrita de direitos de acesso.
• Independentemente das restrições técnicas, os funcionários estão instruídos para não acederem a quaisquer dados não necessários para a sua função.
• As palavras-passe devem obedecer a regras mínimas (por exemplo, um comprimento mínimo e complexidade para a palavra-passe); as palavras-passe têm de ser alteradas a intervalos regulares; as palavras-passe iniciais devem ser alteradas imediatamente, a implementação dos requisitos para comprimento de palavras-passe, complexidade da palavra-passe e a validade são assegurados por definições técnicas.
• Os dados e ficheiros são destruídos ou eliminados regularmente de acordo com uma política de conservação e eliminação de dados de forma a que a reconstrução seja impossível ou não possível sem esforços desproporcionados; a destruição e eliminação são protocoladas; esses protocolos não contêm dados pessoais, mas apenas referências a registos ou ficheiros.
• Medidas adicionais de acordo com as secções acima. |
3.2. Controlo do suporte de dados
Medidas para prevenir o acesso não autorizado a suportes de dados:
|
Medidas técnicas
|
Medidas organizativas
|
• Os dados são encriptados ou protegidos por palavras-passe no transporte, os dados sensíveis são também encriptados ou protegidos por palavra-passe em utilização.
• Medidas adicionais de acordo com as secções acima. |
• Existem registos de todos os suportes de dados.
• Os suportes de dados são armazenados em armários fechados fora das horas de funcionamento.
• Os suportes de dados são transportados de forma segura.
• Os suportes de dados e os documentos são eliminados de acordo com as melhores práticas
• Medidas adicionais de acordo com as secções acima. |
3.3. Controlo de alterações
Medidas para prevenir o acesso não autorizado a ou o tratamento de dados:
|
Medidas técnicas
|
Medidas organizativas
|
• O acesso aos dados é registado; os ficheiros de registo de amostra são revistos regularmente.
• Medidas adicionais de acordo com as secções acima. |
O seguinte é registado:
• Alterações de palavras-passe/direitos de acesso/funções. • Acesso de escrita com as seguintes informações: utilizador, dados, ficheiro e software
• No caso de dados sensíveis, também o acesso é de leitura.
• Existe uma politica escrita sobre o âmbito e natureza da gravação de registos e a conservação e revisão de ficheiros de registo. • Medidas adicionais de acordo com as secções acima.
|
3.4. Controlo de exportação
Medidas para prevenir a exportação não autorizada de dados para fora dos sistemas de TI:
|
Medidas técnicas
|
Medidas organizativas
|
• A rede interna é segura graças à implementação de gateways de segurança nos pontos de transferência da rede (por exemplo, uma firewall,)
• Os dados apenas são transmitidos por email ou encriptados (VPN, SSL).
• Os e-mails são protocolados de forma segura.
• Medidas adicionais de acordo com as secções acima. |
• A utilização de nuvens ou outros serviços de tratamento requer a celebração de um acordo de tratamento e o subcontratante para tratamento dos dados é auditado.
• Medidas adicionais de acordo com as secções acima. |
4. Controlo de transmissão e transporte
Garantir que os dados pessoais não podem ser lidos, copiados, alterados, ou removidos sem autorização durante a transferência eletrónica ou transporte ou quando estão a ser registados em suportes de armazenamento de dados. Da mesma forma, tornar possível apurar e verificar para quais organismos devem ser transferidos dados pessoas utilizando instalações de transmissão de dados.
4.1. Controlo de transmissão
Medidas para assegurar que os destinatários de todas as exportações de dados são registados:
|
Medidas técnicas
|
Medidas organizativas
|
| • Medidas de acordo com as secções acima. |
• Todos os direitos de acesso e transmissões são documentados em registos de atividades de tratamento.
• Medidas adicionais de acordo com as secções acima. |
4.2. Controlo de transporte
Medidas para assegurar que os dados são protegidos durante a transmissão e transporte:
|
Medidas técnicas
|
Medidas organizativas
|
• Se os dados pessoais forem transmitidos para sistemas externos, a encriptação é absolutamente necessária.
• Medidas de acordo com as secções acima. |
• Medidas de acordo com as secções acima. |
5. Protocolos de tratamento
Medidas para assegurar que qualquer registo ou alteração de dados pessoais é protocolada:
|
Medidas técnicas
|
Medidas organizativas
|
| • Medidas de acordo com as secções acima. |
• Medidas de acordo com as secções acima. |
6. Controlo de conformidade do subcontratante
Medidas para assegurar que os subcontratantes ou subcontratantes adicionais tratam os dados apenas de acordo com as instruções do responsável pelo tratamento dos dados:
|
Medidas técnicas
|
Medidas organizativas
|
• Separação física ou lógica de dados.
• Medidas adicionais de acordo com as secções acima. |
• Formação de colaboradores; os colaboradores devem assinar compromissos formais.
• Documentação escrita de instruções.
• Seleção de subcontratantes e subcontratantes ulteriores e redação de (sub)contratos com a devida diligência; auditoria inicial e regular de medidas técnicas e organizativas.
• Os prestadores de serviços externos devem estar sujeitos a supervisão contínua quando trabalham em sistemas informáticos.
• Medidas adicionais de acordo com as secções acima. |
7. Controlo de danos.
7.1. Controlo de disponibilidade.
Medidas para assegurar que os dados estão protegidos contra destruição ou perda:
|
Medidas técnicas
|
Medidas organizativas
|
• Todas as salas de servidores têm controlo de climatização, deteção de fumo e extintores de incêndio; a temperatura e a humidade são regularmente controladas.
• Todos os servidores têm uma fonte de alimentação ininterrupta (UPS) e estão protegidos contra sobrecarga elétrica; todos os servidores são configurados para desligarem automaticamente em caso de falha de energia prolongada.
• Medidas adicionais de acordo com as secções acima. |
• A cópia de segurança e proteção para recuperação, utilizadores, ficheiros de registo e verificação de vírus dos servidores são revistos diariamente.
• Os seguintes são revistos regularmente:
fonte de alimentação ininterrupta (UPS), fechaduras de salas de servidores.
• Existe um plano de recuperação de desastres e continuidade de negócio em vigor para continuar a funcionar em caso de um evento adverso previsível (eletricidade, incêndio, água, etc.).
• Medidas adicionais de acordo com as secções acima.
|
7.2. Recuperação do sistema
Medidas para assegurar que os sistemas são rapidamente restaurados após um evento adverso:
|
Medidas técnicas
|
Medidas organizativas
|
• Todos os dados são objeto de uma cópia de segurança regular.
• As cópias de segurança importantes são armazenadas fora das instalações.
• Medidas adicionais de acordo com as secções acima. |
• Existe uma política de cópia de segurança redigida que especifica o âmbito, intervalos e métodos da cópia de segurança, número de gerações, suportes de dados, transporte e armazenamento, assim como responsabilidades internas relativamente a procedimentos de cópia de segurança.
• As cópias de segurança são revistas regularmente.
• Medidas adicionais de acordo com as secções acima. |
7.3. Fiabilidade
Medidas para assegurar que todos os sistemas funcionam corretamente e os erros são detetados:
|
Medidas técnicas
|
Medidas organizativas
|
• Os sistemas realizam verificações automáticas de plausibilidade e integridade (por exemplo, procedimentos de soma de verificação) para detetar erros.
• O sistema tem um protocolo para erros e sobrecargas de aplicações (por exemplo, problemas de armazenamento ou processos abortados).
• Medidas adicionais de acordo com as secções acima. |
• Todos os softwares são verificados e aprovados pelo departamento de TI antes da instalação.
• Existe um processo de revisão regular e manual dos sistemas, atributos de dados e informações de processos, assim como outras configurações materiais com vista a detetar erros.
• Existe uma política que exige que todos os erros dos sistemas de TI ou de comunicação sejam reportados e documentados (exceto os erros detetados e corrigidos automaticamente pelos sistemas).
• Existe uma política em vigor que prevê que os erros apenas podem ser corrigidos pelo departamento de TI e que as grandes alterações são testadas num espaço de experimentação antes da implementação.
• Medidas adicionais de acordo com as secções acima. |
7.4. Integridade dos dados
Medidas para assegurar que os dados não são corrompidos por avarias do sistema:
|
Medidas técnicas
|
Medidas organizativas
|
• As verificações de integridade dos dados estão incluídas e ativadas por defeito por uma estratégia de cópia de segurança e por um conjunto de ferramentas.
• Teste de penetração e auditorias de segurança executados.
• Medidas de acordo com as secções acima. |
• Estão implementadas políticas e procedimentos de segurança.
• Formação para funcionários sobre regras para introdução e manutenção de dados.
• Medidas de acordo com as secções acima. |
8. Controlo de separação
Medidas para assegurar que os dados recolhidos para diferentes finalidades são claramente separados:
|
Medidas técnica
|
Medidas organizativas
|
• Separação física ou lógica de dados.
• Os ficheiros da empresa são baseados numa localização de armazenamento dedicada, tanto nas instalações como na nuvem.
• As localizações de armazenamento são apenas visíveis e/ou acessíveis por indivíduos com uma autorização de acesso aos respetivos dados.
• Medidas adicionais de acordo com as secções acima. |
• Estão implementadas políticas e procedimentos de segurança.
• Medidas adicionais de acordo com as secções acima. |
9. Organização geral
- Foi nomeado um Encarregado da Proteção de Dados na medida do exigido pela lei. Uma ou mais pessoas na estrutura de gestão ou que reportam diretamente à estrutura de gestão assumiram a responsabilidade pela proteção de dados e pela conformidade da segurança de dados. Uma ou mais pessoas do departamento de TI assumiram a responsabilidade pela implementação de todas as medidas técnicas e organizativas, incluindo a manutenção contínua das respetivas políticas. Existem regulamentos claros sobre as respetivas responsabilidades no departamento de TI.
- Existe uma avaliação de risco escrita e documentada e uma determinação das medidas apropriadas relativamente à proteção de dados (incluindo o conceito de Privacidade desde a conceção, Privacy by Design) e segurança de dados para todos os sistemas e processos.
- Além dos requisitos acima, existem políticas escritas documentadas e regulamentos que asseguram que todo o tratamento cumpre os princípios da legitimidade, justiça e transparência, limitação da finalidade, minimização de dados, exatidão, limitação de armazenamento e integridade e confidencialidade do tratamento. O Subcontratante cumpre com todos os requisitos de responsabilização estatutária e/ou documentação.
- Todos os funcionários foram instruídos e receberam formação sobre os requisitos básicos da proteção de dados e segurança de dados e comprometeram-se com o seu cumprimento.
- Existem procedimentos escritos documentados para assegurar que (a) os titulares de dados podem exercer os seus direitos estatutários relativamente aos seus dados; e (b) os incidentes ou violações são prontamente reportados..
- O departamento TI, em cooperação com o Gabinetede Proteção de Dados conduz regularmente (pelo menos, uma vez por ano) uma análise completa de risco e segurança de todas as medidas técnicas e organizativas e submete um relatório escrito à gestão. A gestão pode ordenar auditorias adicionais, se necessário. Quando se deteta um incumprimento, documentam-se igualmente medidas para resolver tal incumprimento.
