Objetivo
Salvaguarda dos sistemas e informação e dos princípios de segurança para uma adequada gestão da informação aplicada e estabelecer as bases que regulem essa mesma gestão e coerência de uso.
Promover a segurança, integridade, disponibilidade e resiliência permanentes dos Sistemas de Informação, e das operações de tratamento de dados pessoais realizadas pelas entidades do Universo ACP;
Garantir a segurança dos conteúdos informáticos do Universo ACP, a fim de proteger o grande volume de informação de que o mesmo dispõe, bem como a segurança, confidencialidade, integridade e conservação dos dados pessoais que são objeto de tratamento pelo ACP, seja enquanto responsável pelo tratamento ou enquanto subcontratante;
Possibilitar a análise automatizada, proativa e preventiva de todos os dados de tráfego, bem como de alertas no caso de comportamentos que possam comprometer a segurança informática, sem pôr em causa quaisquer direitos de privacidade;
Permitir o acesso restrito aos servidores dos Sistemas de Informação, os quais devem manter um registo de acesso à informação sensível para controlo das operações e para a realização de auditorias internas e externas;
Assegurar a rastreabilidade dos acessos de monitorização por meio da parametrização dos sistemas, de forma que os logs, registem quem fez o acesso, a respetiva data e hora (timestamp), operações realizadas, e permitir a identificação de situações anómalas e o desenvolvimento de um sistema de alarmes que permita sinalizar utilizações indevidas do sistema.
Âmbito
A presente política (“Política”) define as normas relativas ao uso dos equipamentos informáticos, programas e aplicações que integram os sistemas de informação do Universo ACP, por parte dos Colaboradores, o que inclui o uso por estes de dispositivos, das aplicações, das redes, do serviço de internet, correio eletrónico e redes sociais através dos servidores das entidades que integram o Universo ACP.
Condicionantes e exceções
A exceção a qualquer dos princípios enunciados nesta Política, quando permitida, deve ser aprovada pela Direção do ACP, ou por quem esta delegue, e identificada numa lista de exceções, devendo ser criados os controlos compensatórios adequados, se necessário.
Definições
ACP: Automóvel Club de Portugal, pessoa coletiva de direito privado e de utilidade pública, fundada em 1903 (mil novecentos e três), com sede em Lisboa na Rua Rosa Araújo, nº 24;
Universo ACP: em conjunto as entidades jurídicas constituídas pelo ACP e suas sociedades subsidiárias, a saber, ACP Mediação de Seguros, Lda., ACP Mobilidade Sociedade de Seguros de Assistência, SA., ACP Motorsport Eventos Desportivos, Lda., ACP Serviços de Assistência, Lda., ACP Serviços Rápidos, Lda. e ACP Viagens e Turismo, Lda., bem como qualquer outra entidade em cujo capital social o ACP venha a deter uma posição de controlo;
Colaborador(es): quaisquer pessoas que a qualquer momento, desempenhem funções no Universo ACP, independentemente da qualificação jurídica do respetivo vínculo;
Orientações Gerais
Todos os colaboradores devem adotar como parte da sua rotina diária, as indicações dadas na presente política.
Os princípios enumerados têm como objetivo proteger toda a informação sob a responsabilidade do ACP, independentemente do suporte de registo: eletrónico, papel, audiovisual ou outro.
Além do acesso adequado à informação necessária para o desempenho das suas funções, todos os utilizadores devem ter conhecimento desta política, sendo-lhes exigido o respeito pelos controlos de segurança implementados.
Princípios aplicáveis
As políticas de segurança da informação do ACP, quer na sua definição, quer na sua concretização diária, devem orientar-se pelos seguintes princípios:
Garantia de proteção - a informação é um recurso crítico para o eficaz desenvolvimento de todas as atividades do ACP, sendo assim fundamental garantir a sua adequada proteção, nas vertentes de integridade, autenticidade, disponibilidade e confidencialidade;
Privacidade e ética – a informação é tratada permanentemente com responsabilidade moral pelos colaboradores que se regem por uma conduta respeitadora destes princípios.
Sujeição à lei - tanto a Política como as tarefas executadas no seu âmbito estão sujeitas à legislação aplicável, bem como às normas e regulamentos internos aprovados pelas entidades competentes;
Necessidade de acesso - o acesso à informação deve restringir-se, exclusivamente, às pessoas que tenham necessidade de a conhecer para cumprimento das suas funções e tarefas;
Transparência - deve assegurar-se a transparência, conjugando o dever de informar com a fixação, de forma clara, das regras e procedimentos a adotar para a segurança da informação sob a responsabilidade deste órgão de soberania;
Proporcionalidade - as atividades impostas pela segurança da informação devem ser proporcionais aos riscos a mitigar e limitadas ao necessário, minimizando a entropia no regular funcionamento do ACP;
Obrigatoriedade de cumprimento - as políticas e procedimentos de segurança definidos devem ser integrados nos processos de trabalho e a execução das tarefas diárias deve ser pautada pelo seu cumprimento;
Responsabilidades - as responsabilidades e o papel das entidades intervenientes na segurança da informação devem ser definidas de forma clara e ser alvo de monitorização e auditoria periódicas;
Informação - todas as políticas e procedimentos específicos devem ser publicitados e comunicados a todos os utilizadores que deles necessitem para o desempenho das suas funções e tarefas;
Formação - deve ser planeado, aprovado e executado um plano de formação e de divulgação que incida sobre o domínio da segurança da informação e sobre as políticas e procedimentos específicos adotados neste âmbito;
Avaliação do risco - deve ponderar-se a necessidade de proteção da informação em função da sua relevância e das ameaças que sobre ela incidem. A avaliação do risco deve identificar, controlar e eliminar os diversos tipos de ameaças a que a informação se encontra sujeita. Os níveis de segurança, custo, medidas, práticas e procedimentos devem ser apropriados e proporcionais ao valor e ao nível de confiança da informação; Comunicação, registo e ponto de contacto único - todos os incidentes de segurança, bem como as fragilidades, têm de ser objeto de comunicação imediata.
Data e versão: 01/06/2021 | v1.0.0