Declaração de Conformidade ao Regulamento Geral sobre Proteção de Dados (RGPD)

(última alteração: 2018-08-13)

O que é o RGPD?

Desde de 25 de maio de 2018, o novo "Regulamento Geral de Proteção de Dados", conhecido como "GDPR" (Regulamento Geral de Proteção de Dados), está a ser implementado em todos os países da União Europeia, incluindo a Portugal.

O Regulamento que substitui a legislação nacional, conhecida por “Lei de Proteção de Dados Pessoais” (Lei n.º 67/98, de 26 de Outubro), e exige que as empresas façam um esforço crucial de ajustamento.

O que faz a ANSER.Solutions para se adaptar ao RGPD e ajudar os seus clientes?


A ANSER.Solutions (a “Empresa”), da qual o produto SPEED.SALE faz parte, adaptou-se à nova legislação de privacidade através da criação de uma Estrutura de Conformidade de Proteção de Dados da ANSER.Solutions.

A Estrutura de Conformidade de Proteção de Dados da ANSER.Solutions, além de incluir versões atualizadas da documentação interna que autorizam os funcionários a processar dados pessoais e as políticas de privacidade no processamento de dados pessoais, internos e no relacionamento com os clientes, também é composta de políticas e procedimentos, que fazem parte da documentação interna geral da Empresa. O conteúdo mais significativo para os clientes é refletido na Política de Privacidade publicada no site e nos contratos assinados com os clientes.

As políticas e procedimentos que compõem a Estrutura de Conformidade de Proteção de Dados da ANSER.Solutions são os seguintes:


- Diretrizes sobre Pessoas Autorizadas, que tem por objetivo estabelecer as funções, obrigações e instruções que os responsáveis pelo processamento (os “utilizadores”) indicados pela Empresa devem conhecer e respeitar;

- Linhas de Orientação para Subcontratantes, que se aplicam a todas as entidades responsáveis pelo tratamento de dados pessoais. O objetivo é garantir que o tratamento de dados pessoais seja efetuado em conformidade com os direitos, liberdades fundamentais e dignidade das pessoas singulares e coletivas, com particular referência à privacidade e ao direito à proteção de dados pessoais;

- Política de Violação de Dados, que visa fornecer aos utilizadores as indicações práticas a serem seguidas em caso de violação de dados pessoais. Note que, no caso de a Empresa sofrer uma violação dos dados pessoais de que é a Entidade Responsável pelo tratamento, será sua exclusiva responsabilidade e dever cumprir as obrigações decorrentes das leis de proteção de dados em tais circunstâncias. No caso em que a Entidade Responsável pelo tratamento dos dados que estão sendo violados for, em vez disso, um Cliente, a Empresa esforçar-se-á para colaborar de forma tão eficaz quanto possível com o Cliente para apoiá-lo no cumprimento de suas obrigações sob a lei aplicável;

- Política de Fundamentos Legais para Processamento de Dados Pessoais, que visa descrever os princípios legais subjacentes ao tratamento de dados pessoais e listar as bases legais que podem legitimar o processamento de dados pessoais pela ANSER.Solutions;

- Política de Conservação de Dados Pessoais, que mostra os critérios utilizados pela Empresa para estabelecer a duração da retenção de dados pessoais, conforme já estabelecido na política de privacidade publicada no site;

- Política de Ferramentas de TI, que visa regular o uso de ferramentas pertencentes à ANSER.Solutions, bem como ferramentas pessoais de funcionários autorizados para uso comercial;

- Política de Transferências de Dados Pessoais, que descreve as bases jurídicas que permitem à ANSER.Solutions transferir legalmente dados pessoais para terceiros, em particular quando os destinatários estão localizados fora da União Europeia.

Deve-se notar que, até Março de 2019, o Reino Unido será, para todos os efeitos, um estado membro da União Europeia e, portanto, a transferência de dados de e para o Reino Unido não estará sujeita a nenhum tipo de restrição, da mesma forma como qualquer transferência de dados ocorrerá a partir de Portugal para e de qualquer outro país da UE, como o RGPD é totalmente aplicável para o Reino Unido também. Subsequentemente, se o chamado “Brexit” ocorrer oficialmente, é razoável esperar que o Reino Unido receba uma decisão de adequação da Comissão Europeia, relativa à segurança do processamento de dados pessoais que ocorre no seu território. De fato, o Reino Unido até agora declarou sua intenção de cumprir a Legislação Europeia sobre proteção de dados pessoais de maneira completa, incluindo a implementação do RGPD em suas legislações nacionais.

A segurança de dados é, em qualquer caso, uma prioridade para a ANSER.Solutions, que irá monitorizar os desenvolvimentos futuros do "Brexit", a fim de tomar as decisões apropriadas.

- Diretrizes sobre Proteção de Dados desde a conceção e por omissão, que têm o propósito de ilustrar como a Empresa adotou controles internos (por exemplo, políticas, procedimentos e medidas de segurança) destinadas a assegurar que toda e qualquer atividade de processamento dos dados pessoais estão alinhados com os novos princípios de proteção de dados desde a conceção (by design) e por omissão (by default), estabelecidos pelo art. 25 do RGPD;

- Procedimentos relativos ao pedidos dos Titulares, que se destinam a fornecer orientação prática com referência a pedidos para o exercício de direitos pelos titulares de dados (por exemplo: acesso a dados, portabilidade de dados, objeção ao processamento); Para obter informações sobre o direito de portabilidade de dados e para poder exercê-lo facilmente, através deste email anser@anser.solutions.

- Procedimento de Avaliação do Impacto na Proteção de Dados, que fornece à ANSER.Solutions um procedimento detalhado e um método para realizar avaliações de impacto da proteção de dados, quando exigido por lei;

- Procedimentos de Cooperação com as Autoridades Supervisoras, que visa fornecer instruções operacionais que a Empresa tenha codificado para tratar possíveis controles, pedidos de informação e inspeções realizadas pela autoridade supervisora portuguesa (CNPD) para a Empresa;

- Procedimento de Avaliação de Risco e segurança de TI, que detalha um procedimento de avaliação de risco de segurança, que se baseia num padrão de avaliação de risco da ISO e combina-o com uma metodologia eficaz para encontrar a especialização das ameaças;

- Registo de atividades de processamento, na forma de um registo que contém todas as informações relevantes sobre as atividades de processamento de dados pessoais realizados pela Empresa.


Para ANSER.Solutions, a segurança dos seus dados vem em primeiro lugar!


Em relação às medidas de segurança, a Empresa, como parte da prestação de serviços de VPC, email, serviços Cloud, serviços de “Managed Servers” e “Hosting”, aplica as medidas técnicas e organizacionais listadas abaixo.


Procedimentos de segurança da informação


Organização interna

Funções e responsabilidades separadas foram definidas para a segurança da informação e foram atribuídas aos responsáveis pela Empresa pelas atividades de processamento (doravante chamados "Utilizadores"), a fim de evitar conflitos de interesses e impedir atividades inadequadas.


Segurança de recursos humanos


Dispositivos móveis e teletrabalho

Existe uma política de segurança para o uso de todos os dispositivos da empresa, em particular dispositivos móveis, e controles adequados estão em vigor.


Conclusão ou mudanças na relação de emprego

Após a cessação da relação laboral de um utilizado com a Empresa ou no caso de se verificar uma alteração significativa na função desempenhada, as permissões de acesso são atualizadas imediatamente, enquanto os equipamentos de Empresa são devolvidos e redefinidas física e teoricamente.


Gestão de inventário da Empresa


Responsabilidade pelos recursos e ativos da Empresa

Todas as ferramentas e ativos da empresa são cuidadosamente inventariados e a alocação dos mesmos aos vários Utilizadores responsáveis por sua segurança é monitorizada. Uma política foi definida para o seu uso correto.


Classificação de informação

Todas as informações são classificadas e catalogadas pelos respectivos Utilizadores, de acordo com os requisitos de segurança, bem como processadas adequadamente.


Gestão de media

As informações armazenadas nos media são geridas, controladas, modificadas e usadas de forma a não comprometer seu conteúdo e são excluídas de maneira apropriada.


Controle de acesso


Requisitos de negócios para controle de acesso

Os requisitos organizacionais da empresa para monitorizar o acesso aos recursos de informação são documentados em uma política e implementados na prática através de um procedimento de controle de acesso; Ou seja, o acesso à rede e conexões é limitado.


Gestão de acessos do Utilizador

A alocação de direitos de acesso do Utilizador é controlada a partir do registo inicial do Utilizador até a remoção dos direitos de acesso quando eles não são mais necessários, incluindo restrições especiais nos direitos de acesso privilegiado e a gestão de "informação confidencial de autenticação" e está sujeito a revisões e verificações periódicas incluindo uma atualização dos direitos de acesso quando necessário. Na gestão de acesso, o critério de minimização de direitos de acesso é utilizado, pois estes são emitidos de forma a conceder ao Utilizador apenas acesso aos dados necessários para sua função de trabalho e atividade de negócio. Direitos de acesso adicionais requerem autorização específica.


Responsabilidade do Utilizador

Os utilizadores estão cientes de suas responsabilidades também por meio da manutenção de controle de acesso efetivo, por exemplo, escolhendo uma senha complexa, cuja complexidade é verificada pelo sistema e mantida confidencial.


Sistemas e aplicações para controle de acesso

O acesso às informações está sujeito a restrições em conformidade com a política de controle de acesso, por meio de um sistema de acesso seguro e gestão de senha de acesso, bem como controle sobre ferramentas privilegiados e acesso limitado a todos os códigos-fonte.


Cifra de Informação ("Encriptação")

Controle criptográfico

Existe uma Política em vigor sobre o uso de criptografia de media e dados do Utilizador. Autenticações são cifradas.


Segurança física e ambiental

Estão em vigor medidas de segurança física e ambiental para impedir o acesso, a perda ou a disseminação ilegítima ou acidental de dados.


Áreas seguras: data centre

Os serviços da empresa são fornecidos e hospedados em vários data centres em todo o mundo. Todos os data centres dentro da cadeia de fornecimento oferecem redundância completa de todos os circuitos elétricos, de refrigeração e de rede. Todos os data centres têm iluminação de perímetro, bem como um sistema de detecção de presença com câmaras de CCTV; as portas de emergência estão equipadas com um alarme. Todos os alarmes estão concentrados nas salas de controlo.

O acesso físico é regulado e controlado por procedimentos de autorização, reconhecimento e registo e é limitado, graças ao sistema de controle de acesso, às áreas para as quais existe uma autorização.


Equipamento

Existe uma política para a destruição de equipamentos descartados, a fim de destruir com segurança todas as informações contidas.


Segurança das operações


Procedimentos e responsabilidades operacionais

As responsabilidades operacionais em TI são documentadas e as mudanças nos recursos e sistemas de TI são controladas. Sistemas de desenvolvimento, sistemas de verificação e sistemas operacionais são separados. Existem Utilizadores responsáveis pelo bom funcionamento dos procedimentos. Por outro lado, a gestão da segurança lógica dos sistemas operativos e das aplicações instaladas pelo cliente é da responsabilidade do cliente dos serviços individuais prestados pela Empresa (doravante também idenficado como o "Cliente").


Proteção contra malware

O controlo de vírus e malware está ativo nos dispositivos da empresa e existe uma consciencialização apropriada dos Utilizadores.

No que respeita aos serviços do Servidores Virtuais ou de Servidores Dedicados, o cliente é responsável pela instalação do software antivírus e antimalware e - se o serviço relacionado não tiver sido adquirido - de um firewall. Com relação ao serviço de “Hosting”, existe uma proteção em tempo real nas máquinas de front-end.

No que diz respeito ao serviço de e-mail, o tráfego de e-mail é analisado em tempo real, tanto de entrada como de saída, para a detecção de vírus, malware e para a identificação e filtragem de spam. A análise é automatizada e baseia-se na natureza do conteúdo, na interrogação de bancos de dados internacionais e na reputação adquirida devido a uma série de parâmetros.


Cópia de segurança ("Backups")

São realizados backups periódicos, com a exclusão de serviços pelos quais o cliente é responsável por manter e gerir backups (Servidores Dedicados e Servidores Virtuais). Para serviços de “Hosting” e correio electrónico, são realizados backups periódicos que, para serviços de “Hosting”, também podem ser acedidos pelo cliente. Backups adicionais, não acessíveis pelos clientes, são realizados com o único propósito de recuperação de desastres.


Autenticação e Monitorização


Autenticação e Sincronização

Todas as atividades e eventos relacionados à segurança das informações por Utilizadores do sistema e administradores / operadores ocorrem após a inserção das credenciais de autenticação ou dos certificados de identidade. Os relógios de todos os equipamentos estão sincronizados.


Controle de software operacional

Instalação de software em sistemas operacionais é controlada e monitorada.

Com relação aos Servidores Virtuais e Servidores Dedicados, os sistemas operacionais disponíveis para os clientes são disponibilizados com imagens de instalação atualizadas, mesmo durante a instalação pelo cliente. Também é responsabilidade do cliente atualizar o firmware e os aplicativos ou softwares instalados pelo cliente.


Gestão de vulnerabilidades técnicas


Gestão de patches

Cada vulnerabilidade técnica é corrigida com patches e procedimentos apropriados, são fornecidos para todas as fases de teste e para a instalação subsequente do software e atualizações, que ocorre somente quando todos os testes são positivos.


Considerações sobre auditoria de sistemas de informação

Verificações periódicas são realizadas para verificar se qualquer efeito negativo nos sistemas de produção é minimizado e se não há acesso não autorizado aos dados.


Segurança das Comunicações


Gestão de segurança de rede

As redes e serviços online também são seguros através da sua separação e segregação.


Transferência de informação

Acordos relativos à transferência de informações de e para terceiros estão em vigor.


Aquisição, desenvolvimento e manutenção do sistema


Segurança nos processos de desenvolvimento e suporte

As regras que governam a segurança do software e de desenvolvimento do sistema estão definidas em Política específica. As alterações no sistema (para aplicações e para sistemas operativos) são controladas. A segurança do sistema é testada e os critérios de elegibilidade, que incluem aspectos de segurança, estão definidos.


Relacionamento com fornecedores


Segurança da informação no relacionamento com fornecedores

Existem contratos ou acordos destinados a proteger e regulamentar o processamento de informações da organização e dos clientes acessíveis a terceiros que operam na área de TI e a outros fornecedores terceirizados que fazem parte de toda a cadeia de fornecimento.


Gestão de serviços prestados por fornecedores

A prestação de serviços efetuadas pelos fornecedores é monitorizada e verificada em relação ao contrato ou acordo. Todas as alterações no serviço são verificadas.


Gestão de incidentes para segurança da informações


Gestão da informação relativa a incidentes de segurança e melhoramentos

Existem responsabilidades e procedimentos específicos que visam administrar coerentemente e efetivamente todos os eventos e incidentes relacionados à segurança da informação (por exemplo, o chamado procedimento de violação de dados).

 

Aspectos de segurança da informação relacionados com continuidade das operações


Redundâncias

Todas as principais instalações de TI são redundantes para atender aos requisitos de disponibilidade. Onde esta redundância não está em vigor, medidas adequadas estão em vigor para garantir a continuidade do serviço ou minimizar a perda de dados.


Compliance


Cumprimento dos requisitos legais e contratuais

A Empresa identifica e documenta as suas obrigações para com autoridades externas e outros terceiros em relação à segurança da informação, incluindo propriedade intelectual, documentação contabilística e informações sobre privacidade.


Revisão de segurança da informação

Os projetos da organização relativos à segurança da informação e às políticas de segurança são revistos e ações corretivas são tomadas quando necessário.