Na prática, a partir de 25 de maio, as empresas e administração pública passam a ter que cumprir as regras do RGPD isto se não quiserem sofrer sanções cujas coimas podem ascender aos 20 milhões de euros ou 4% do volume de negócios anual.
Relativamente à administração pública, foi hoje publicado em Diário da República alguns “obrigações/requisitos técnicos”. De acordo com o Diário da República de 28 de Março de 2018, concretamente ao definido na Resolução do Conselho de Ministros n.º 41/2018, o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, doravante designado RGPD, vai introduzir um novo regime em matéria de protecção de dados pessoais.
Para além do reforço da protecção jurídica dos direitos dos titulares dos dados, o RGPD exige novas regras e procedimentos do ponto de vista tecnológico. Nesta medida, o Governo considera fundamental definir orientações técnicas para a Administração Pública, recomendando-as ao sector empresarial do Estado, em matéria de arquitectura de segurança das redes e sistemas de informação e procedimentos a adoptar de modo a cumprir as normas do RGPD.
Dos vários requisitos técnicos definidos, que estão organizados por segurança ao nível do Front-end, camada aplicacional e camada de Base de Dados, destaque para o facto de:
- Seguir as boas práticas de desenvolvimento
- Utilizar sessões seguras com protocolo de Segurança
- Recomenda-se o uso de Transport Layer Security (TLS), na sua versão mais recente
- Não guardar informação pessoal no browser, memória ou disco, para além do tempo da sessão e apenas na medida do necessário.
- Comunicação com camada aplicacional através de autenticação por certificado válido por período não superior a 2 anos, no caso de as camadas serem física ou logicamente distintas
- Prever cifra de informação pessoal (recomenda-se mínimo 2048 bit) apenas se a aplicação cliente tiver camada de BD física e logicamente distinta, usando preferencialmente tecnologia que permita interoperabilidade entre sistemas.
- Sempre que aplicável, a palavra-passe deve ter no mínimo 9 caracteres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas (a…z), letras maiúsculas (A…Z), números (0…9) e caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` – = \ { } [ ] : “ ; ‘ < > ? , . /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço».
- A palavra-passe dos administradores deve ter no mínimo 13 caracteres e ser complexa
- Dados armazenados (incluindo os existentes em volumes de salvaguarda — backups) devem ser cifrados e assinados digitalmente.
- Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos.
Fonte: Pplware e DRE
Post A Comment:
0 comments: