Política de Segurança da Informação

Propósito Alcance e obrigações Missão da Jotelulu Declaração da PSI Objetivos de segurança Objetivos de segurança HDS Organização da segurança Quadro normativo Gestão de riscos Estrutura da documentação Revisão da PSI Comunicação da PSI Normativa

Última atualização: março de 2025

  1. Propósito

O objetivo da presente política é estabelecer as diretrizes gerais e o compromisso da Direção para que a empresa gere de forma adequada a segurança da informação que administra.

Esta política constitui o quadro de referência do Sistema de Gestão de Segurança da Informação (SGSI), baseado na norma ISO 27001, que existe na JOTELULU, atendendo aos requisitos do Esquema Nacional de Segurança (ENS), do Código de Saúde Pública Francês, assim como do Código de Conduta do CISPE (Cloud Infrastructure Services Providers in Europe).

  1. Âmbito e obrigações do pessoal

Esta política aplica-se a todos os sistemas de IT da JOTELULU e a todos os membros da organização, sem exceções.
Todos os membros têm a obrigação de conhecer e cumprir esta Política de Segurança da Informação e a Regulamentação de Segurança associada.

  1. Missão da JOTELULU

A JOTELULU é uma plataforma de serviços em cloud que tem como missão simplificar o cloud computing, tornando-o acessível e económico para empresas de IT e, em última instância, para as pequenas e médias empresas (PMEs). O seu principal objetivo é melhorar a competitividade das empresas tecnológicas, permitindo-lhes oferecer serviços em cloud de forma simples e rentável.

A filosofia da JOTELULU assenta em três princípios fundamentais:

  • 1. Simplicidade: Desenvolver produtos que sejam fáceis de implementar, gerir e manter, minimizando a complexidade da cloud.
  • 2. Acessibilidade: Criar soluções acessíveis para empresas de todas as dimensões, garantindo que o cloud não seja exclusivo das grandes corporações.
  • 3. Rentabilidade: Otimizar produtos para que as empresas de IT possam integrar o cloud como uma parte essencial e lucrativa do seu negócio.

Além disso, a JOTELULU pretende tornar-se a melhor plataforma cloud para o canal de IT, oferecendo serviços na nuvem que as empresas de informática podem comercializar sob a sua própria marca e preços.

Neste contexto, a segurança é fundamental para a JOTELULU, dado o seu compromisso com a proteção de dados e a continuidade do negócio dos seus clientes, o que requer elevados padrões de segurança para garantir a confiança dos utilizadores.

  1. Declaração da Política de Segurança da Informação

A Política de Segurança estabelece as diretrizes e princípios definidos pela JOTELULU, S.L.U. (doravante JOTELULU) para garantir a proteção da informação, bem como o cumprimento dos objetivos de segurança definidos, assegurando assim a confidencialidade, integridade e disponibilidade dos sistemas de informação e, naturalmente, garantindo o cumprimento de todas as obrigações legais aplicáveis.

A direção da JOTELULU, consciente da importância da segurança da informação no ambiente de trabalho, assume e estabelece os seguintes compromissos relativamente ao Sistema de Gestão de Segurança da Informação (SGSI):

a) Assegurar que são estabelecidos objetivos de segurança da informação, sempre alinhados com a estratégia da empresa.
b) Garantir que os requisitos de segurança estão integrados nos processos da organização.
c) Assegurar os recursos necessários para o sistema de gestão.
d) Comunicar a importância de uma gestão eficaz da segurança da informação, em conformidade com os requisitos do sistema de gestão de segurança da informação.
e) Garantir que o sistema de gestão de segurança da informação alcança os resultados previstos.
f) Apoiar e orientar as pessoas para contribuir para a eficácia do sistema de gestão de segurança da informação.
g) Promover a melhoria contínua do sistema de gestão.
h) Apoiar os papéis relevantes para demonstrar a sua liderança aplicada às suas áreas de responsabilidade.

Para isso, a direção assegurará que o pessoal da JOTELULU cumpre com as normas, políticas, procedimentos e instruções relativas à segurança da informação.

  1. Objetivos de Segurança

Através do desenvolvimento do seu Sistema de Gestão de Segurança da Informação, a JOTELULU pretende garantir os seguintes objetivos de segurança:

  • Assegurar a confidencialidade, integridade, disponibilidade, rastreabilidade e autenticidade da informação.
  • Garantir que a segurança faz parte integrante de cada etapa do ciclo de vida dos sistemas, desde a sua conceção até à sua desativação.
  • Cumprir todos os requisitos legais aplicáveis.
  • Aplicar as medidas mínimas de segurança exigidas pelo ENS.
  • Possuir um plano de continuidade que permita recuperar processos e atividades no menor tempo possível após um incidente.
  • Gerir os riscos que possam impactar a organização, estabelecendo os mecanismos necessários para o seu controlo e melhoria.
  • Formar e sensibilizar todos os colaboradores sobre segurança da informação.
  • Satisfazer as expectativas e necessidades em matéria de segurança de clientes, colaboradores, fornecedores, direção e outras partes interessadas.
  • Todos os colaboradores serão informados das suas funções e obrigações de segurança e são responsáveis por cumpri-las.
  • Garantir que os departamentos estão preparados para prevenir, detetar, reagir e recuperar-se perante incidentes.
  • Gerir de forma adequada todas as ocorrências de segurança.
  • Melhorar continuamente o SGSI e, consequentemente, a segurança da informação da organização.

 

  1. Objetivos de segurança da HDS

No âmbito da certificação HDS (Hébergeur de Données de Santé), no que respeita aos dados de saúde alojados pelos nossos parceiros, são definidos os seguintes objetivos específicos:

1. Garantir a confidencialidade dos dados de saúde alojados nos serviços HDS, implementando métodos, processos e políticas adequadas para:

  • Regular o acesso aos dados pessoais de saúde alojados e aos recursos da HDS onde são alojados os dados de saúde.
  • Prevenir, identificar e corrigir vulnerabilidades, limitando o risco de acesso não autorizado.
  • Eliminar ou apagar os dados de saúde o finalizar os serviços (antes de atribuir os recursos a outro cliente) e no fim da vida útil da infraestrutura de hardware.

2. Garantir a disponibilidade e integridade dos dados de saúde alojados dentro dos serviços, em particular:

  • Definir e partilhar com os clientes objetivos de nível de serviço apropriados (nomeadamente a disponibilidade dos serviços, tempo de resposta aos pedidos do cliente e tempo para abordar incidentes identificados que impactem a disponibilidade dos serviços HDS).
  • Implementar a organização e os procedimentos necessários, especialmente dentro da equipa de suporte e produtos, para cumprir com os objetivos de nível de serviço.
  • Implementar e testar um plano de continuidade de serviços relevante para remediar qualquer falha na prestação do serviço.
  • Garantir a disponibilidade das chaves de cifragem quando a JOTELULU fornecer funcionalidades de cifragem de dados de saúde ao cliente.
  • Garantir a disponibilidade e integridade das cópias de segurança quando a JOTELULU oferecer serviços de backup de dados de saúde aos clientes.

3. Permitir que os clientes utilizem os serviços de forma adequada e segura, em particular:

  • Fornecer documentação de serviços clara e acessível, bem como termos e condições de utilização, apresentando as características dos serviços, as especificações técnicas e a distribuição de tarefas e responsabilidades entre a JOTELULU e os clientes.
  • Assegurar que a equipa de suporte da JOTELULU tenha conhecimento dos processos e condições específicos dos serviços HDS.
  1. Organização da Segurança

Comité de Segurança

Para garantir o correto funcionamento do Sistema de Gestão e o cumprimento dos objetivos e requisitos estabelecidos, a direção da JOTELULU nomeou um Responsável pelo SGSI e criou um Comité de Segurança que supervisionará a implementação desta política.

O Comité tem as seguintes funções:

  • Aprovação e verificação do cumprimento das políticas de segurança da informação.Conhecer e rever os resultados das auditorias do sistema, assim como os incidentes relevantes de segurança da informação.
  • Realizar a atribuição de papéis específicos e responsáveis pelo Sistema de Segurança da Informação, bem como comunicar-lhes as suas funções.
  • Adotar as medidas necessárias para garantir que o pessoal conheça os procedimentos de segurança que afetam o desempenho das suas funções e as consequências que poderiam resultar em caso de incumprimento.
  • Assegurar que as necessidades de segurança da informação tenham sido identificadas e integradas de forma adequada nos processos relevantes da organização.
  • Aprovar os objetivos de segurança, garantindo que sejam mensuráveis e contem com responsabilidades, recursos e prazos atribuídos.
  • Fornecer todos os recursos necessários para levar a cabo a Segurança da Informação.
  • Proporcionar uma base estratégica e coerente para a tomada de decisões que reduzam ou mitiguem os riscos a níveis aceitáveis para a empresa, os seus clientes e investidores.
  • Garantir a correto monitorização e tratamento dos riscos identificados, em linha com a gestão de riscos.

Roles: funções e responsabilidades

Funções

Responsável na JOTELULU

Direção

É responsável máximo pela implementação do ENS.

Direção

Responsável de Informação

É o encarregado da proteção da informação e quem determina os requisitos de segurança da informação tratada.

Comité de Segurança

Responsável de Serviço

Determina os requisitos de segurança dos serviços prestados, de acordo com os parâmetros do Anexo I do ENS.
Deve incluir as especificações de segurança no ciclo de vida dos serviços e sistemas, acompanhadas dos correspondentes procedimentos de controlo.

Comité de Segurança

Responsável de Segurança

Determina as decisões de segurança pertinentes para satisfazer os requisitos estabelecidos pelos responsáveis pela informação e pelos serviços.

Analisa os relatórios de autoavaliação e/ou relatórios de auditoria e apresenta as conclusões ao responsável pelo sistema para que este adote as medidas corretivas adequadas.

Head of Security

Responsável de Sistema

É responsável pela operação do sistema de informação, garantindo o cumprimento das medidas de segurança determinadas pelo Responsável pela Segurança.

Adota as medidas corretivas pertinentes com base nos relatórios de autoavaliação e auditoria apresentados pelo Responsável pela Segurança, com o apoio dos responsáveis pela Engenharia e Infraestrutura.

Head of Operations

Dados de carácter pessoal

A JOTELULU. trata dados de caráter pessoal, que se encontram registados no Registo de Atividades de Tratamento (RAT), juntamente com os responsáveis correspondentes. Todos os sistemas de informação devem estar em conformidade com os níveis de segurança exigidos pela regulamentação, de acordo com a natureza e a finalidade dos dados de caráter pessoal tratados.

Responsável pelo Tratamento

A pessoa singular ou coletiva, autoridade pública, serviço ou outro organismo que, individualmente ou em conjunto com outros, determine as finalidades e os meios do tratamento;

Segundo indicado no RAT

Subcontratante do Tratamento

A pessoa singular ou coletiva, autoridade pública, serviço ou outro organismo que trate dados pessoais por conta do Responsável pelo Tratamento;

Segundo indicado no RAT

Delegado de Proteção de Dados

Garante o cumprimento das normativas de proteção de dados e atua como ponto de contacto com as autoridades de supervisão.

DPD

Os conflitos entre as diferentes pessoas, unidades ou órgãos responsáveis que compõem a estrutura organizativa da política de segurança da informação serão resolvidos pelo superior hierárquico comum, que poderá submeter consulta prévia ao Comité de Segurança da Informação. Em caso de conflito, prevalecerão as decisões do Comité de Segurança da Informação.

Procedimento de designação

O papel do Responsável pela Segurança da Informação recairá sobre o CISO/Head of Security ou, no caso de vacatura do cargo, será nomeado por proposta do Comité de Segurança.
O papel do Responsável pelo Sistema recairá sobre o Head of Operations ou, no caso de vacatura do cargo, será nomeado por proposta do Comité dentro dos departamentos de Engenharia, Operações ou Infraestrutura.

  1. Quadro normativo
  • Regulamento Geral de Proteção de Dados (RGPD) – Regulamento (UE) 2016/679, relativo à proteção de dados pessoais e à livre circulação desses dados.
  • Lei Orgânica de Proteção de Dados e Garantia de Direitos Digitais (LOPDGDD) – Lei Orgânica 3/2018, alinhada com o RGPD e a normativa europeia de proteção de dados.
  • Diretiva (UE) 2022/2555, NIS2 – Diretiva europeia sobre cibersegurança, pendente de transposição para a legislação nacional, ao abrigo do Anteprojeto de Lei de Coordenação e Governança da Cibersegurança.
  • Real Decreto 311/2022, de 3 de maio, que regula o Esquema Nacional de Segurança (ENS).
  • Lei da Propriedade Intelectual – Real Decreto Legislativo 1/1996, que protege os direitos sobre programas de computador e regula a sua exploração.
  • Lei dos Serviços da Sociedade da Informação e do Comércio Eletrónico (LSSI-CE) – Lei 34/2002, que regula o comércio eletrónico e os serviços digitais.
  • Lei de Prevenção de Riscos Laborais (PRL) – Lei 31/1995, aplicável em matéria de segurança e saúde no trabalho.
  • Leis de Propriedade Industrial – Normativas sobre designs industriais, marcas, patentes e modelos de utilidade (Lei 17/2001, Lei 24/2015 e Lei 3/1991).
  • Regulamento eIDAS – Regulamento (UE) 910/2014, sobre identificação eletrónica e serviços de confiança em transações digitais.
  • Lei de Proteção Jurídica de Programas de Computador – Lei 16/1993, que protege o software e combate a pirataria informática.
  • Código de Saúde Pública de França – Marco legislativo que regula a organização do sistema de saúde, a segurança sanitária e a proteção dos dados de saúde em França, no âmbito da certificação HDS.
  • Código de Conduta da CISPE – Reforça a proteção de dados no contexto dos serviços cloud na Europa.
  • Lei da IA da UE, aprovada pelo Parlamento Europeu em 13 de março de 2024 e pelo Conselho da UE em 21 de maio de 2024.
  1. Gestão de riscos

Todos os sistemas sujeitos a esta Política deverão realizar uma análise de riscos, avaliando as ameaças e os riscos a que estão expostos. Esta análise será repetida:

  • regularmente, pelo menos uma vez por ano quando a informação tratada sofrer alterações;
  • quando os serviços prestados forem alterados;
  • quando ocorrer um incidente grave de segurança;
  • quando forem reportadas vulnerabilidades graves.

Para harmonizar as análises de riscos, estabelece-se uma avaliação de referência para os diferentes tipos de informação tratados e os serviços prestados. O Comité de Segurança dinamizará a disponibilização de recursos para responder às necessidades de segurança dos diferentes sistemas, promovendo investimentos de caráter transversal.

  1. Estruturação da documentação de segurança

A Política de Segurança da Informação está estruturada nos seguintes níveis hierárquicos:

  • Primeiro nível: Política de Segurança da Informação, incluída no presente documento, revista e aprovada pelo Comité de Segurança e assinada pelo CEO.
  • Segundo nível: Normativa de Segurança da Informação, igualmente revista e aprovada pelo Comité de Segurança e assinada pelo CEO.
  • Terceiro nível: Procedimentos e Instruções Técnicas de Segurança da Informação. Documentos técnicos e controlos orientados para resolver tarefas relacionadas com a segurança dos sistemas, governados pelo SGSI.
  • Quarto nível: Relatórios, registos e evidências eletrónicas de carácter técnico, publicados nos nossos sistemas de informação documental..
  1. Revisão da Política de Segurança da Informação

A política de segurança da informação, assim como os processos do Sistema de Gestão, são revistos regularmente em intervalos planeados ou sempre que ocorram alterações significativas, para garantir a sua contínua adequação, eficácia e efetividade. De forma genérica, são revistos anualmente no processo de auditoria interna do SGSI.

Existem procedimentos de monitorização que fornecem informações sobre o correto desempenho do SGSI.

A direção também desempenha um papel importante na revisão do sistema, realizando uma análise aprofundada do mesmo e identificando possíveis melhorias e deficiências.

  1. Comunicação da Política de Segurança da Informação

A política do sistema de gestão é comunicada no momento da integração dos colaboradores, nos cursos de consciencialização e internamente através de correio eletrónico e/ou canais corporativos.

A declaração da presente política estará disponível para as partes interessadas externas à JOTELULU através da sua publicação num documento partilhado no website.

  1. Normativa e aspetos específicos de segurança da informação

Esta Política será desenvolvida através de uma Normativa de Segurança que aborda aspetos específicos. A normativa de segurança está disponível para todos os membros da organização, em particular para aqueles que utilizam, operam ou administram os sistemas de informação e comunicações.