Política de Segurança de Informação

Última actualização: Janeiro de 2025

1. Objectivo e Âmbito

Esta Política de Segurança de Informação estabelece os princípios, responsabilidades e medidas para garantir a segurança, confidencialidade, integridade e disponibilidade da informação da Senun Consulting, uma empresa Parallelmuse, e dos dados dos nossos clientes.

Âmbito: Esta política aplica-se a todos os colaboradores, fornecedores, sistemas, dados e activos de informação da Senun Consulting.

2. Compromisso da Administração

A administração da Senun Consulting compromete-se a:

  • Fornecer recursos adequados para implementação de medidas de segurança
  • Aprovar políticas e procedimentos de segurança
  • Garantir formação e awareness em segurança
  • Promover uma cultura de segurança da informação
  • Revisar regularmente a efectividade das medidas de segurança

3. Princípios de Segurança

3.1 Confidencialidade

A informação só deve ser acessível a pessoas autorizadas. Implementamos:

  • Controlo de acesso baseado em papéis e necessidade de conhecer
  • Cifragem de dados sensíveis em trânsito e em repouso
  • Autenticação forte (MFA quando aplicável)
  • Gestão de credenciais e palavras-passe

3.2 Integridade

A informação deve ser exacta e completa. Implementamos:

  • Controlo de versões e integridade de dados
  • Backup regular e verificação de integridade
  • Gestão de mudanças controlada
  • Monitorização de alterações não autorizadas

3.3 Disponibilidade

A informação e sistemas devem estar disponíveis quando necessários. Implementamos:

  • Redundância e alta disponibilidade
  • Planos de continuidade de negócio
  • Monitorização e detecção proactiva
  • Gestão de capacidade

4. Medidas Técnicas

4.1 Segurança de Rede

  • Firewalls e segmentação de rede
  • Monitorização de tráfego de rede
  • Protecção contra intrusões (IDS/IPS)
  • VPN para acesso remoto seguro

4.2 Segurança de Sistemas

  • Hardening de sistemas e aplicações
  • Gestão de patches e actualizações
  • Antivírus e anti-malware
  • Gestão de configurações

4.3 Cifragem

  • Cifragem de dados em trânsito (TLS 1.2+)
  • Cifragem de dados em repouso (AES-256)
  • Gestão de chaves criptográficas
  • Certificados digitais

4.4 Backup e Recuperação

  • Backup automático regular
  • Backup off-site e redundante
  • Testes de recuperação periódicos
  • Retenção adequada de backups

5. Medidas Organizacionais

5.1 Gestão de Acessos

  • Princípio do menor privilégio
  • Revisão regular de acessos
  • Desactivação imediata de acessos de colaboradores que saem
  • Gestão de identidades e autenticação

5.2 Formação e Awareness

  • Formação inicial em segurança para novos colaboradores
  • Formação contínua e actualizações
  • Campanhas de awareness regulares
  • Simulações de phishing

5.3 Gestão de Incidentes

  • Processo de detecção e resposta a incidentes
  • Equipa de resposta a incidentes
  • Comunicação e escalação
  • Análise pós-incidente e lições aprendidas

5.4 Gestão de Fornecedores

  • Avaliação de segurança de fornecedores
  • Cláusulas contratuais de segurança
  • Monitorização contínua
  • Revisão periódica de fornecedores

6. Classificação de Informação

Classificamos a informação de acordo com a sua sensibilidade e criticidade:

  • Confidencial: Informação altamente sensível (ex: dados de clientes, informações comerciais estratégicas)
  • Interno: Informação para uso interno (ex: políticas internas, procedimentos)
  • Público: Informação que pode ser partilhada publicamente

Cada classificação tem medidas de protecção específicas aplicadas.

7. Gestão de Vulnerabilidades

Implementamos um processo de gestão de vulnerabilidades que inclui:

  • Identificação regular de vulnerabilidades (scanning, testes de penetração)
  • Avaliação e priorização de vulnerabilidades
  • Remediação de acordo com SLAs definidos
  • Verificação de correcções
  • Monitorização contínua

8. Continuidade de Negócio

Mantemos planos de continuidade de negócio que incluem:

  • Análise de impacto no negócio (BIA)
  • Estratégias de continuidade
  • Planos de recuperação
  • Testes regulares (anual mínimo)
  • Actualização contínua

9. Monitorização e Auditoria

Implementamos monitorização contínua e auditorias regulares:

  • Logging e monitorização de sistemas
  • Análise de logs e detecção de anomalias
  • Auditorias internas regulares
  • Revisões de segurança
  • Métricas e indicadores de segurança

10. Conformidade

A Senun Consulting está comprometida com a conformidade com:

  • RGPD (Regulamento Geral sobre a Protecção de Dados)
  • ISO 27001 (Sistema de Gestão de Segurança da Informação)
  • NIS2 (Directiva de Cibersegurança)
  • Legislação portuguesa aplicável

11. Responsabilidades

11.1 Todos os Colaboradores

  • Cumprir esta política e procedimentos de segurança
  • Reportar incidentes e vulnerabilidades
  • Participar em formação e awareness
  • Proteger credenciais e informação confidencial

11.2 Responsável pela Segurança

  • Supervisionar implementação de medidas de segurança
  • Gerir incidentes de segurança
  • Coordenar formação e awareness
  • Revisar e actualizar políticas

12. Violações e Sanções

Violar esta política pode resultar em:

  • Acção disciplinar
  • Terminação de contrato
  • Acção legal quando aplicável

13. Revisão e Actualização

Esta política é revista anualmente ou quando há mudanças significativas. A última revisão foi realizada em Janeiro de 2025.

14. Contacto

Para questões sobre segurança de informação ou para reportar incidentes:

Email: seguranca@senunconsulting.com
Assunto: Segurança de Informação

← Voltar ao site