Proteção de dados
1. INTRODUÇÃO
Com a presente Política de Segurança da Informação e Proteção de Dados, a WEARETESTERS, S.L. estabelece as directrizes e princípios necessários para adquirir o compromisso de construir um modelo de segurança que proteja os sistemas de informação e os dados pessoais que são processados, de acordo com os requisitos do negócio e os regulamentos aplicáveis, bem como ter a intenção de criar um clima de confiança na utilização das nossas plataformas e ferramentas pelos nossos clientes.
Neste sentido, pretende-se cumprir os objectivos de segurança definidos, assegurando a confidencialidade, integridade e disponibilidade dos sistemas de informação, e garantir o cumprimento das obrigações legais daí decorrentes, bem como proteger a informação e os dados contra ameaças e garantir a continuidade do negócio.
A WEARETESTERS, S.L. está exposta a ameaças e riscos a que os sistemas e serviços de informação estão sujeitos, sendo necessária uma política de segurança para dar uma melhor resposta em matéria de cibersegurança, reduzir vulnerabilidades e promover um acompanhamento contínuo. A segurança é entendida como uma forma de garantir que a utilização das tecnologias da informação e da comunicação permite à entidade atingir os seus objectivos, desempenhar as suas funções e exercer as suas competências utilizando os seus sistemas de informação. Esta Política de Segurança contém uma descrição dos elementos chave, físicos, organizacionais, tecnológicos e documentais, que a WEARETESTERS, S.L. aplica para levar a cabo a proteção da informação e especialmente dos dados pessoais, evitando a ocorrência de incidentes de segurança que os ponham em risco. A todos os níveis da WEARETESTERS, S.L. será assegurada a aplicação real e efectiva das medidas de prevenção e controlo previstas nesta Política, de modo a que este sistema de autorregulação consiga a eliminação de comportamentos que possam pôr em risco a segurança dos activos de informação e dos dados pessoais tratados pela WEARETESTERS, S.L. A presente política será adaptada às futuras alterações tecnológicas e legislativas.
2. Âmbito de aplicação
A Política de Segurança deve ser cumprida de forma integral por todos os serviços e departamentos da WEARETESTERS, S.L., incluindo os cargos de direção e todo o pessoal; tanto no que diz respeito ao tratamento de dados pessoais, como aos recursos e processos afectos à Proteção de Dados e à segurança da informação. Trata-se de um processo abrangente baseado na conformidade regulamentar e na gestão de riscos para prevenir, detetar, responder e recuperar dados e informações em caso de incidente de segurança. O âmbito de aplicação da presente política é extensivo a todos os membros da organização e a terceiros que tenham acesso ao sistema de informação. Da mesma forma, para que a Política de Segurança tenha um alcance integral, a WEARETESTERS, S.L. compromete-se a implementar protocolos, procedimentos e directrizes específicas e a controlá-los através do mapa de processos correspondente.
3. QUADRO LEGISLATIVO
Esta Política de Segurança inclui o atual quadro regulamentar sobre segurança da informação e proteção de dados pessoais. Da mesma forma, incorporará também quaisquer regulamentos relacionados que possam ser aprovados no futuro. Em todo o caso, o atual quadro regulamentar inclui, entre outros aspectos:
- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
- Lei Orgânica 3/2018, de 5 de dezembro, sobre Proteção de Dados Pessoais e garantia dos direitos digitais.
- Decreto Real 311/2022, de 3 de maio, que regulamenta o Regime de Segurança Nacional.
- Código Penal;
- Enquadramentos das normas ISO 27001 e ISO 27002.
4. FUNDAMENTOS
. Os objectivos da Empresa em matéria de segurança da informação estão alinhados com os do negócio, dando prioridade ao cumprimento das obrigações legais aplicáveis à atividade desenvolvida. A segurança da informação e dos dados da WEARETESTERS, S.L. será considerada um objetivo prioritário. Nesta linha, a entidade deve proteger a informação ao longo de todo o seu ciclo de vida – ou seja, desde a criação/receção, processamento, comunicação, transporte, armazenamento, divulgação até ao eventual apagamento ou destruição. Por esta razão, devem ser seguidos princípios mínimos:
- Princípio da confidencialidade: a entidade deve garantir que os sistemas de informação são acessíveis apenas aos utilizadores, organismos e entidades ou processos expressamente autorizados, com respeito pelas obrigações de sigilo e segredo profissional.
- Princípio da integridade e qualidade: a entidade deve garantir a manutenção da integridade e qualidade da informação, bem como dos processos de tratamento da informação, estabelecendo mecanismos que assegurem que os processos de criação, tratamento, armazenamento e distribuição da informação contribuem para preservar a sua exatidão e correção.
- Princípio da disponibilidade e continuidade: a entidade deve garantir um nível de disponibilidade dos sistemas de informação e devem ser adoptados os planos e medidas necessários para assegurar a continuidade dos serviços e a recuperação em caso de contingências graves.
Disponibilidade e continuidade para a resiliência, que consiste em assegurar a resiliência dos sistemas e da informação após um incidente que impeça temporariamente o acesso aos mesmos.
- Princípio da autenticidade: a entidade deve garantir que a origem e as identidades associadas à informação são efetivamente as que constam dos atributos da informação. Este princípio anda de mãos dadas com o princípio do não repúdio, que consiste em garantir que um utilizador não possa negar a autoria de um ato no sistema ou a ligação a um dado ou conjunto de dados.
- Princípio da proporcionalidade: a entidade deve aplicar controlos que atenuem os riscos de segurança, procurando um equilíbrio entre as medidas de segurança, a natureza da informação e o risco.
- Princípio da rastreabilidade: a entidade deve garantir a possibilidade de determinar, em qualquer momento, a identidade das pessoas que acedem à informação e a atividade que desenvolvem em relação à mesma, bem como os diferentes estados e percursos que a informação percorreu.
- Princípio da melhoria contínua: a entidade deve rever o grau de cumprimento dos objectivos de melhoria da segurança planeados, com o objetivo de aumentar a adaptabilidade. para o ambiente tecnológico e de risco em constante evolução.
- Princípio da sensibilização e formação: a entidade organizará iniciativas que permitam aos trabalhadores conhecer os seus deveres e obrigações em matéria de tratamento seguro da informação. Da mesma forma, será promovida a formação específica em segurança das TIC para todos aqueles que gerem e administram sistemas de informação e telecomunicações.
5. características e vulnerabilidades das empresas
A atividade principal da Empresa é o sector dos serviços. Isto significa que os seus principais activos são de natureza intangível e consistem principalmente em informação confidencial, know-how, dados pessoais, propriedade intelectual, propriedade industrial, entre outros. A natureza intangível desses activos torna-os altamente vulneráveis a ameaças internas e externas, tais como o acesso não autorizado, a cópia não autorizada, a divulgação, a divulgação a terceiros, a utilização não autorizada, a exploração não autorizada e mesmo a destruição. A proteção dos activos de informação exige uma série de medidas legais, técnicas e organizacionais que são resumidas nesta política e detalhadas nas regras e procedimentos da Empresa.
6. COMPROMISSO DE GESTÃO
A Direção da WEARETESTERS, S.L., está consciente da importância da segurança da informação para levar a cabo com êxito a presente Política, assim como os objectivos empresariais. Nesta linha, compromete-se a:
- Promover funções e responsabilidades no domínio da segurança da informação na organização.
- Facilitar recursos adequados para atingir os objectivos de segurança da informação.
- Promover a divulgação e a consciencialização da Política de Segurança da Informação entre os funcionários da entidade.
- Exigir o cumprimento da presente política, da legislação em vigor e dos requisitos das entidades reguladoras no domínio da segurança da informação.
- Considerar os riscos de segurança da informação na tomada de decisões.
7. PAPÉIS, RESPONSABILIDADES E FUNÇÕES DE SEGURANÇA
Todas as funções e responsabilidades devem ser diferenciadas e, tanto quanto possível, atribuídas individualmente na descrição das funções. Para além desta atribuição individualizada, todas as pessoas na Empresa, independentemente do seu nível, devem cumprir as normas, procedimentos e controlos de segurança da informação estabelecidos. A estrutura de controlo é descrita no documento «Estrutura de Controlo da Segurança da Informação». Em qualquer caso, a direção é responsável pela atribuição de funções e responsabilidades, bem como pelo processo de mudança e renovação. As funções e obrigações do pessoal em matéria de segurança e de proteção de dados são definidas em regras específicas. Responsável pela informação: É o responsável último pela utilização que se faz da informação e, portanto, pela sua proteção. Do mesmo modo, é responsável por qualquer erro ou negligência que conduza a um incidente de confidencialidade e/ou integridade.
- Tem o poder de estabelecer requisitos de segurança.
- Deve validar ou rejeitar as propostas de categorização do(s) sistema(s) de informação apresentadas pelo Responsável pela Segurança, bem como quaisquer eventuais alterações.
Gestor do serviço: Tem o poder de estabelecer os requisitos de segurança do serviço e de determinar o nível de segurança do serviço. Gestor de segurança: O gestor de segurança responde perante o gestor de serviços e o gestor de sistemas, e as suas funções são as seguintes
- Manter a segurança da informação gerida e dos serviços prestados pelos sistemas TIC na sua área de responsabilidade, de acordo com a política de segurança da informação.
- Realizar ou promover auto-avaliações ou auditorias periódicas para verificar a conformidade com a segurança da informação.
- Promover a formação e a sensibilização para a segurança da informação na sua área de responsabilidade.
- Verificar se as medidas de segurança estabelecidas são adequadas para a proteção das informações geridas e dos serviços prestados.
- Analisar, completar e aprovar toda a documentação relacionada com a segurança do sistema.
- Monitorizar o estado de segurança do sistema, que pode ser fornecido por elementos específicos ou por ferramentas de gestão de eventos de segurança e mecanismos de auditoria implementados no sistema.
- Apoiar e supervisionar a investigação de incidentes de segurança, desde a notificação até à resolução.
- Estabelecer o relatório periódico de segurança pela direção da entidade local, incluindo os incidentes mais relevantes do período.
Administrador do sistema: O administrador do sistema responde perante o responsável pela segurança e a direção da organização em matéria de segurança, com as seguintes responsabilidades:
- Desenvolver, operar e manter o sistema de informação durante todo o seu ciclo de vida; desde as suas especificações, instalação e verificação do seu correto funcionamento.
- Definir a topologia e o sistema de gestão da informação, estabelecendo os critérios para a sua utilização e os serviços nele disponíveis.
- Verificar se as medidas de segurança específicas estão corretamente integradas.
- Verificar se as medidas de segurança específicas estão corretamente integradas.
- Verificar se as medidas de segurança específicas estão corretamente integradas.
- Manter a segurança da informação gerida e dos serviços prestados pelos sistemas TIC na sua área de responsabilidade, de acordo com a política de segurança da informação.
O administrador do sistema pode decidir suspender a utilização de determinadas informações ou a prestação de um determinado serviço, se for informado de deficiências graves de segurança que possam afetar a utilização normal dos requisitos estabelecidos. Esta decisão deve ser acordada com os responsáveis pela informação afetada ou pelo serviço afetado e com o responsável pela segurança antes da sua execução. Administradores de segurança: Devido à sua complexidade, distribuição, separação física dos seus elementos ou número de utilizadores, a pessoa responsável pelo sistema pode nomear os administradores de segurança considerados necessários para a execução das seguintes tarefas:
- Elaborar, quando o gestor do sistema o determinar, a aplicação e a gestão dos procedimentos operacionais de segurança.
- Gerir, configurar e atualizar, se necessário, o hardware e o software em conformidade com as disposições de segurança do sistema.
- Implementar, gerir e manter as medidas de segurança aplicáveis ao sistema de informação.
- Comunicar quaisquer anomalias, comprometimentos ou vulnerabilidades relacionados com a segurança aos gestores de segurança e de sistemas.
- Monitorizar as instalações, modificações e actualizações de hardware e software para garantir que a segurança não seja comprometida.
- Garantir que os controlos de segurança estabelecidos sejam rigorosamente respeitados.
- Garantir a aplicação dos procedimentos aprovados para a gestão do sistema de informação.
- Garantir que a rastreabilidade, a auditoria e outros registos de segurança sejam efectuados frequentemente, de acordo com a política de segurança estabelecida pela organização.
- Estabelecer procedimentos de controlo e reação a alarmes e situações imprevistas.
- Iniciar o processo de resposta a incidentes que ocorram no sistema de informação sob a sua responsabilidade, informando e colaborando com o Diretor de Segurança na sua investigação.
8. SEGURANÇA AMBIENTAL E FÍSICA
A empresa deve tomar as medidas necessárias para garantir que o pessoal seja informado, de forma compreensível, das obrigações de segurança que afectam o desempenho das suas funções, bem como das consequências do seu incumprimento. A empresa deve avaliar os riscos e ameaças no ambiente circundante. Esta avaliação deve incluir todas as fontes de risco susceptíveis de pôr em risco a segurança da informação. Esta avaliação deve ser actualizada sempre que se verifique uma alteração no ambiente. A Empresa estará vigilante na procura de alertas precoces para ameaças que possam pôr em perigo a segurança das pessoas e das infra-estruturas da Empresa.
9. ANÁLISE DE RISCOS
Todos os sistemas sujeitos à presente política de segurança devem ser objeto de uma análise de risco que avalie as ameaças e os riscos a que estão expostos. Esta análise deve ser repetida periodicamente. A análise de risco deve ser realizada através de um mapa de risco inerente, avaliando os riscos brutos existentes antes da aplicação dos controlos de prevenção, deteção e atenuação, e através de um mapa de risco residual, avaliando de forma automatizada os riscos líquidos existentes após a aplicação dos controlos. A este respeito, a fim de efetuar efetivamente uma avaliação de risco pormenorizada, será necessário rever o registo das actividades de tratamento, bem como efetuar uma análise dos efeitos sobre os direitos e liberdades das pessoas singulares através da realização de avaliações de impacto, se necessário.
10. DIRECTRIZES DE GESTÃO E MINIMIZAÇÃO DOS RISCOS
A seguir descrevem-se as directrizes que se aplicam às actividades e recursos da WEARETESTERS, S.L., incluindo áreas como a segurança física, a segurança do pessoal, a segurança administrativa e a segurança da rede.
10.1 Segurança do acesso lógico
O primeiro perímetro de proteção de segurança será o dos computadores de secretária e terminais localizados nas instalações da Empresa. Acesso aos sistemas de informação, equipamentos (servidores, computadores de secretária, terminais, computadores portáteis, etc.) e aplicações da WEARETESTERS, S.L. requer um nome de utilizador e uma palavra-passe. O segundo nível corresponderá aos dispositivos móveis: computadores portáteis, smartphones e tablets, entre outros, e o terceiro nível será o das aplicações. Os utilizadores apenas terão acesso autorizado aos dados e recursos necessários para o desempenho das suas funções. Cada aplicação com informações sensíveis ou dados pessoais irá gerir a lista de utilizadores e os perfis e permissões de cada utilizador. Os sistemas operativos e as aplicações utilizadas para o tratamento devem dispor de mecanismos que impeçam um utilizador de aceder a recursos com direitos diferentes dos autorizados.
10.1.1.1.Acesso lógico aos sistemas por pessoas TI
A entidade aplicará um sistema de autenticação de dois factores. Por um lado, o utilizador será atribuído pelo administrador do sistema (responsável pela segurança informática) e o utilizador atribuirá a sua própria palavra-passe. Por outro lado, o utilizador receberá um código para validar esta autenticação. A palavra-passe deve ser sempre ininteligível, mesmo para o Administrador. Se necessário (por exemplo, se o UTILIZADOR a tiver esquecido), o Administrador do Sistema pode forçar o Utilizador a alterar a palavra-passe sem necessidade da anterior.
10.1.2.2.Controlo do acesso aos dados e recursos
O Responsável pela Segurança Informática elabora uma lista actualizada dos utilizadores que têm acesso autorizado ao sistema de informação, aos ficheiros físicos e às suas aplicações. Só o Responsável pela Segurança Informática pode conceder, alterar ou cancelar o acesso autorizado aos dados e recursos da WEARETESTERS, S.L. A utilização do identificador e da palavra-passe atribuídos a cada Utilizador implica a aceitação, como prova da operação efectuada, dos registos gerados nos referidos ficheiros de registo e armazenados no sistema informático da Empresa. Na ausência de prova em contrário, presume-se que os actos praticados com o identificador e a palavra-passe atribuídos foram realizados pelo Utilizador que os detém. A Empresa deve elaborar as regras e procedimentos que desenvolvam, especifiquem e pormenorizem as medidas de controlo indicadas na presente secção.
10.1.3.Sistemas operativos
Todos os Sistemas Operativos utilizados nos sistemas informáticos da WEARETESTERS, S.L. requerem validação e autenticação para o seu acesso e utilização.
10.1.4.Vírus e Malware
Todos os computadores da WEARETESTERS, S.L. terão instalado software antivírus e anti-malware, que será atualizado periodicamente. Em relação aos servidores, é efectuado um controlo de firewall. As firewalls também serão instaladas para controlar o tráfego da rede e detetar intrusões não autorizadas. Os utilizadores serão prontamente informados das medidas básicas a tomar para evitar a entrada de vírus e malware.
10.1.5.Gestão de utilizadores
O Responsável pela Segurança Informática mantém e actualiza a lista de todos os utilizadores da rede que têm acesso autorizado ao sistema de informação, com a delimitação dos seus níveis de acesso de forma a garantir a sua confidencialidade e integridade. De igual modo, a Empresa efectua controlos de acesso e monitorização dos sistemas informáticos colocados à disposição dos colaboradores, de forma a proteger a informação.
10.1.6.Limitação do acesso
Para aceder aos recursos informáticos, é necessário atribuir uma conta de utilizador e registá-la nos servidores do domínio. A autorização de acesso estabelecerá o perfil necessário com o qual as funcionalidades e os privilégios disponíveis nas aplicações são configurados de acordo com as competências de cada utilizador, adoptando uma política de atribuição dos privilégios mínimos necessários para o desempenho das funções confiadas. Os fornecedores ou clientes podem ser temporariamente incluídos no círculo de pessoas autorizadas se houver uma justificação clara para tal, uma relação contratual que o exija ou uma obrigação legal.
10.1.7.Segurança de redes wi-fi e redes sem fios
A WEARETESTERS, S.L. aplicará as medidas adequadas para proteger o acesso indevido à rede wi-fi da Entidade.
10.1.8.Servidores e hardware
A entidade não dispõe de servidores físicos. Todas as informações confidenciais, bem como os dados pessoais, são armazenados em servidores de fornecedores externos que oferecem um nível adequado de conformidade no que diz respeito à proteção de dados e à segurança da informação.
10.1.9.Cópias de segurança
A entidade deve efetuar cópias de segurança na nuvem e abranger todas as informações necessárias para recuperar o serviço em caso de corrupção ou perda de informações. Essas informações podem incluir dados, software, ficheiros de configuração e até a imagem de alguns servidores. As normas de segurança devem ser definidas para todos os sistemas relevantes e incluir, pelo menos, as seguintes informações:
- Periodicidade das cópias de segurança.
- Períodos de retenção de cópias.
- Localização dos apoios de segurança.
- Procedimentos de recolha de informações.
- Procedimentos para restaurar e verificar a integridade dos dados armazenados em cópias de segurança.
A realização de cópias de segurança regulares permitirá à Empresa dispor das suas informações em caso de destruição do equipamento ou de erros nos dados ou nas aplicações.
10.1.10.Autenticação
Os códigos de utilizador e as palavras-passe são pessoais e intransmissíveis, sendo o Utilizador o único responsável pelas consequências que possam advir da sua utilização indevida, divulgação ou perda. Todos os Utilizadores serão informados de que a utilização do identificador e da palavra-passe atribuídos implicará a aceitação, como documento comprovativo da operação efectuada, nos registos dos sistemas informáticos da Empresa. Serão igualmente informados de que, na ausência de prova em contrário, se presumirá que os actos praticados com o identificador e a palavra-passe atribuídos terão sido realizados pelo Utilizador que os detém. As palavras-passe dos utilizadores autorizados devem ser alteradas periodicamente. Durante o período em que estiverem em vigor, as palavras-passe nunca devem ser visíveis e devem ser armazenadas em ficheiros no servidor de forma ininteligível. O responsável pela segurança informática é responsável por verificar e atualizar, se for caso disso, os aspectos relativos à renovação das palavras-passe em função das melhorias contínuas introduzidas nos sistemas informáticos.
10.1.11.Ficheiros temporários
Os ficheiros temporários são ficheiros de trabalho criados pelos Utilizadores ou processos necessários para um processamento ocasional, ou como passo intermédio, durante o processamento. Os ficheiros temporários e as cópias de documentos criados exclusivamente para trabalhos temporários ou auxiliares devem respeitar o nível de segurança adequado.
10.1.12.Utilização de software licenciado
Todo o software autorizado utilizado nos sistemas de informação da WEARETESTERS, S.L. será fornecido com a sua correspondente licença de utilização. Periodicamente, serão efectuadas auditorias aleatórias aos equipamentos dos Utilizadores para verificar as aplicações instaladas.
10.1.13.Segurança no trabalho
Os trabalhadores serão informados das regras estabelecidas pela WEARETESTERS, S.L. que devem ser aplicadas em relação à segurança no local de trabalho, incluindo o bloqueio automático de dispositivos que requerem a ativação de palavras-passe após determinados minutos de inatividade, bem como a aplicação de uma política de zero papel nas mesas de trabalho.
10.1.14.Teletrabalho
Apenas os utilizadores autorizados pela WEARETESTERS, S.L., ou seja, aqueles com um acordo de teletrabalho assinado, a fim de garantir o cumprimento das normas laborais e de segurança da informação, poderão aceder aos seus computadores ou à rede a partir do exterior para trabalhar fora das instalações. A ligação remota será feita através de uma ligação web às aplicações e software da entidade com a segurança definida nos pontos anteriores, bem como o controlo de IP em relação ao acesso a alguns servidores. A empresa alargará e reforçará os controlos de segurança da informação estabelecidos aos recursos TIC da empresa utilizados pelos utilizadores nas suas casas particulares. A Empresa pode elaborar regras e procedimentos que desenvolvam, especifiquem e pormenorizem as medidas de controlo indicadas na presente secção.
10.1.15.Dispositivos móveis
A empresa deve estabelecer medidas de segurança adequadas para os dispositivos móveis da empresa e para os dispositivos móveis pessoais autorizados a ter aplicações da empresa instaladas (BYOD). Os utilizadores a quem foram atribuídos dispositivos móveis da empresa devem cumprir as regras específicas de utilização e aplicar as medidas de segurança correspondentes. Os utilizadores de dispositivos BYOD devem também cumprir regras de utilização específicas e aplicar as medidas de segurança correspondentes, que devem ter em conta a coexistência de informações pessoais e informações empresariais no mesmo dispositivo.
10.1.16.Gestão dos meios de comunicação social
A Entidade tem um documento para a entrega de dispositivos portáteis (por exemplo, computadores portáteis, telemóveis, iPad’s, etc.). Tem também um «inventário de meios», que detalha os Utilizadores que lhes são atribuídos.
11. GESTÃO DO PESSOAL: CONSCIENTIZAÇÃO E FORMAÇÃO
A WEARETESTERS, S.L. está obrigada a conhecer e a cumprir a Política de Segurança da Informação e Proteção de Dados. Neste sentido, o pessoal deve ser formado e informado sobre os seus deveres e obrigações em matéria de segurança, essencialmente através dos procedimentos de segurança adequados a cada caso, para além de cumprir a regulamentação sobre a utilização de activos físicos e digitais. As acções do pessoal devem ser acompanhadas de acordo com as funções estabelecidas, a fim de verificar se os procedimentos definidos são seguidos. As pessoas responsáveis pela utilização, desenvolvimento operacional ou administração de sistemas de TIC devem receber formação sobre a utilização segura dos sistemas, na medida em que necessitem dela para efetuar o seu trabalho. A formação é obrigatória antes de assumirem uma responsabilidade, quer se trate da sua primeira afetação ou de uma mudança de emprego ou de responsabilidade profissional. Cada funcionário é responsável pelo cumprimento desta política e dos protocolos decorrentes das suas funções, bem como pela comunicação de quaisquer incidentes de segurança que sejam detectados.
12. GESTÃO DE VIOLAÇÕES E INCIDENTES DE SEGURANÇA
Qualquer situação suscetível de comprometer a confidencialidade, a integridade, a disponibilidade, a autenticidade ou a rastreabilidade das informações da Empresa é considerada uma violação da segurança. A Empresa deve estabelecer medidas adequadas de cibersegurança, incluindo a proteção contra ameaças provenientes de redes de comunicações, tais como ciberataques, ataques de negação de serviço, acesso não autorizado, sequestro de sistemas ou ransomware, entre outros. Qualquer pessoa que tenha conhecimento ou suspeite de um incidente que possa afetar a segurança da informação deve comunicá-lo imediatamente através dos canais estabelecidos. para este efeito. A não comunicação de um incidente de segurança é considerada uma infração grave relacionada com o trabalho. A WEARETESTERS, S.L. dispõe de um protocolo que define o sistema seguido pela Empresa para a notificação e gestão de incidentes e vulnerabilidades de segurança, com o objetivo de garantir que os incidentes e debilidades de segurança associados aos sistemas de informação são registados e tratados de forma adequada, através de actividades de reparação e resolução apropriadas, e do restabelecimento dos níveis normais de funcionamento dos serviços afectados, podendo adotar acções correctivas para eliminar as suas causas e preveni-los no futuro.
13. Destruição de informações
A destruição da informação será efectuada de acordo com os prazos de conservação estabelecidos nos requisitos regulamentares, legais e jurídicos que afectam a WEARETESTERS, S.L. As informações serão destruídas de forma a garantir a sua confidencialidade durante o tratamento. No caso de, durante o processo de conservação estabelecido, as informações e os dados não serem necessários para a entidade, os dados serão bloqueados mediante a adoção de medidas técnicas e organizativas que impeçam o seu acesso, tratamento e visualização, exceto no caso de serem colocados à disposição dos juízes e tribunais, do Ministério Público ou das Administrações Públicas competentes.
14. AUDITORIAS DE SEGURANÇA
Deve ser efectuada a identificação periódica das vulnerabilidades técnicas dos sistemas de informação e aplicações utilizadas na organização, de forma a detetar actividades suspeitas, obter registos de acessos mal sucedidos ou negados, entre outras vulnerabilidades. Uma vez identificadas as vulnerabilidades, a WEARETESTERS, S.L. deve implementar as medidas correctivas necessárias o mais rapidamente possível. A identificação, gestão e correção das vulnerabilidades deve ser feita de acordo com uma abordagem baseada no risco, tendo em conta a criticidade e a exposição dos activos.
15. PROCESSO DE APROVAÇÃO E REVISÃO
Esta política será mantida actualizada de forma a refletir as alterações e melhorias introduzidas no âmbito da segurança da informação e da proteção de dados. A WEARETESTERS, S.L. verificará periodicamente a aplicação das medidas de prevenção e controlo e proporá as modificações oportunas que possam ser necessárias em caso de deteção de incumprimentos relevantes desta política, alterações significativas ou alterações nos sistemas de informação da entidade.