Pular para o conteúdo

Política de Segurança da Informação


Âmbito e ObjetivoPrincípios e Compromisso da GestãoEstrutura de Governação e ResponsabilidadesÂmbito do Sistema de Gestão de Segurança da Informação (SGSI)Identificação e Classificação de AtivosGestão de RiscosControlo de Acesso e Gestão de IdentidadesCriptografia e Proteção de DadosSegurança Física e AmbientalSegurança nas Operações e Gestão de MudançasDesenvolvimento Seguro e Gestão de VulnerabilidadesGestão de Incidentes de SegurançaContinuidade de Negócio e Recuperação de DesastresGestão de Fornecedores e TerceirosPrivacidade e Proteção de Dados PessoaisFormação, Sensibilização e CompetênciasMonitorização, Auditoria e MétricasConformidade Legal e RegulamentarGestão de Registos e Retenção de InformaçãoSanções e Responsabilidades DisciplinaresRevisão e Atualização da PolíticaDisposições Específicas por Produto e ServiçoDisposições Finais Contactos
Última atualização desta política: 04 de outubro de 2025

Âmbito e Objetivo

A presente Política de Segurança da Informação aplica‑se a todas as atividades, colaboradores, prestadores de serviços, sistemas, redes, instalações e dados geridos pela ConnectPBS (www.connectpbs.com). O objetivo é proteger a confidencialidade, integridade e disponibilidade da informação e dos ativos associados, garantindo conformidade legal e contratual, continuidade de serviço e a confiança dos nossos clientes e parceiros.

Princípios e Compromisso da Gestão

A Direção da ConnectPBS assume o compromisso de:

  • Promover a segurança da informação como parte integrante da cultura organizacional.

  • Assegurar recursos humanos, técnicos e financeiros necessários para implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI) eficaz.

  • Cumprir requisitos legais, regulamentares e contratuais aplicáveis, bem como requisitos adicionais exigidos por clientes quando economicamente e tecnologicamente viáveis.

  • Estabelecer objetivos mensuráveis de segurança e rever periodicamente a sua adequação.

Estrutura de Governação e Responsabilidades

  • Direção: aprova a política, define prioridades e assegura recursos.

  • Responsável pela Segurança da Informação (RSI): coordena o SGSI, avalia riscos, define controles e reporta à Direção.

  • Gestores de Área: garantem a implementação das medidas nos seus domínios e promovem a conformidade entre as equipas.

  • Colaboradores e Terceiros: cumprem as regras, participam em formação e reportam incidentes.

Âmbito do Sistema de Gestão de Segurança da Informação (SGSI)

O SGSI cobre todos os ativos de informação da ConnectPBS, incluindo, sem limitação: dados de clientes, documentação técnica, código‑fonte, ambientes de desenvolvimento, teste e produção, infraestruturas de rede, equipamentos e serviços em cloud, e quaisquer serviços prestados sob a marca ConnectPBS.

Identificação e Classificação de Ativos

  • Todos os ativos de informação devem ser inventariados e classificados quanto ao seu valor, sensibilidade e criticidade.

  • A classificação orienta as medidas de proteção, retenção, cópia de segurança e descarte seguro.

Gestão de Riscos

  • A ConnectPBS realiza avaliações de risco periódicas para identificar ameaças, vulnerabilidades e impactos.

  • Os riscos identificados são tratados segundo critérios definidos pela Direção: aceitar, mitigar, transferir ou evitar.

  • Planos de ação e prazos são definidos para os riscos que exigem tratamento.

Controlo de Acesso e Gestão de Identidades

  • O acesso aos sistemas e dados é concedido com base no princípio do menor privilégio e na necessidade de conhecer.

  • São implementados mecanismos de identificação e autenticação robustos, incluindo autenticação multifator sempre que aplicável.

  • Procedimentos formais regulam pedidos de acesso, alterações de privilégios e revogação imediata em caso de cessação de funções.

Criptografia e Proteção de Dados

  • Dados sensíveis e confidenciais são protegidos por criptografia em trânsito e, quando aplicável, em repouso, utilizando algoritmos e chaves aprovados.

  • A gestão de chaves segue práticas seguras, com controlo de acesso e rotação periódica.

Segurança Física e Ambiental

  • As instalações que alojam sistemas críticos dispõem de controlos de acesso físico, vigilância e proteção ambiental adequada.

  • Equipamentos portáteis e suportes removíveis são protegidos contra perda, roubo e acesso não autorizado.

Segurança nas Operações e Gestão de Mudanças

  • Procedimentos operacionais documentados regulam a gestão de sistemas, backups, manutenção e monitorização.

  • Mudanças em sistemas de produção seguem um processo formal de gestão de mudanças, incluindo testes, validação e registo.

  • Backups são realizados regularmente, testados e armazenados de forma segura.

Desenvolvimento Seguro e Gestão de Vulnerabilidades

  • O ciclo de desenvolvimento de software incorpora práticas de segurança (revisões de código, análise estática, testes de penetração quando aplicável).

  • Existe um processo de gestão de vulnerabilidades para identificação, priorização e correção de falhas em tempo útil.

Gestão de Incidentes de Segurança

  • A ConnectPBS mantém procedimentos para notificação, resposta, investigação e recuperação de incidentes de segurança da informação.

  • Incidentes são registados, analisados e servem de base para ações corretivas e melhoria contínua.

  • Quando aplicável, são cumpridos os requisitos legais e contratuais de notificação a autoridades e clientes.

Continuidade de Negócio e Recuperação de Desastres

  • Planos de continuidade e recuperação são definidos para garantir a disponibilidade dos serviços críticos em caso de interrupção.

  • Estes planos são testados periodicamente e atualizados conforme necessário.

Gestão de Fornecedores e Terceiros

  • Fornecedores que acedem a ativos ou processam dados da ConnectPBS são avaliados quanto à sua postura de segurança e sujeitos a cláusulas contratuais que definem requisitos mínimos de proteção.

  • A conformidade dos fornecedores é monitorizada regularmente.

Privacidade e Proteção de Dados Pessoais

  • O tratamento de dados pessoais segue os princípios de minimização, finalidade, limitação de conservação e segurança.

  • Procedimentos específicos asseguram o cumprimento do Regulamento Geral sobre a Proteção de Dados (RGPD) e demais legislação aplicável.

  • Sempre que existirem disposições específicas relativas ao tratamento de dados pessoais aplicáveis aos produtos “Rápido”, “AbsolutHR” ou à Prestação de Outros Serviços da ConnectPBS, essas informações encontram‑se nos respetivos Termos e Condições Gerais de cada um desses produtos ou serviços, que devem ser consultados em complemento à presente Política de Privacidade.

Formação, Sensibilização e Competências

  • Todos os colaboradores recebem formação inicial e atualizações periódicas sobre segurança da informação, políticas, procedimentos e boas práticas.

  • A formação é adaptada por função e nível de acesso.

Monitorização, Auditoria e Métricas

  • A ConnectPBS implementa mecanismos de monitorização contínua para detetar eventos de segurança e anomalias.

  • Auditorias internas e externas são realizadas para verificar conformidade com esta política e com requisitos legais e contratuais.

  • Métricas de segurança e indicadores de desempenho são definidos e revistos pela Direção.

Conformidade Legal e Regulamentar

  • A organização assegura o cumprimento de todas as obrigações legais, regulamentares e contratuais aplicáveis à sua atividade.

  • Qualquer alteração legislativa relevante é acompanhada e integrada nas práticas e procedimentos.

Gestão de Registos e Retenção de Informação

  • Registos de atividade, logs e documentação relevante são mantidos conforme políticas internas de retenção e requisitos legais.

  • A cópia e armazenamento de informação sensível seguem regras estritas para evitar exposições indevidas.

Sanções e Responsabilidades Disciplinares

  • O incumprimento das regras de segurança por colaboradores ou terceiros pode resultar em medidas disciplinares e, quando aplicável, em ações legais.

  • Todos os colaboradores e prestadores de serviços devem aceitar e cumprir as suas obrigações relativas ao uso correto dos recursos de TI.

Revisão e Atualização da Política

  • Esta Política é revista periodicamente e sempre que ocorram mudanças significativas na organização, tecnologia, legislação ou contexto de risco.

  • A Direção aprova as revisões e garante a sua divulgação interna.

Disposições Específicas por Produto e Serviço

Sempre que existam disposições específicas de segurança aplicáveis aos softwares Rápido e AbsolutHR, ou à prestação de qualquer serviço específico da ConnectPBS, essas disposições complementares encontram‑se detalhadas nos respetivos Termos e Condições Gerais de cada produto ou serviço. Em caso de divergência entre o disposto nesta Política e as regras específicas aplicáveis a um produto ou serviço, prevalecem as disposições constantes nos Termos e Condições Gerais desse produto ou serviço, sem prejuízo das obrigações legais imperativas em matéria de proteção de dados e segurança da informação.

Posso inserir esta cláusula diretamente na política e atualizar a numeração.

Disposições Finais

  • A presente Política de Segurança da Informação entra à data.

  • Questões, pedidos de esclarecimento ou notificações relacionadas com esta Política devem ser dirigidos ao Responsável pela Segurança da Informação.

 Contactos

Para todas as notificações de incidentes, reclamações e pedidos relacionados com dados pessoais, ou qualquer outra questão relevante relativa à segurança da informação, deve ser utilizado o seguinte contacto: support@connectpbs.com.