Política de Utilização da Nuvem - PME

A Política de Utilização da Nuvem P27S estabelece requisitos abrangentes, mas práticos, para gerir serviços de nuvem em ambientes de pequenas e médias empresas (PME). Reconhecendo que as PMEs frequentemente não dispõem de departamentos de TI completos, esta política foi concebida com responsabilidades claras e simplificadas, como atribuir decisões-chave ao Diretor-Geral e ao prestador de TI ou suporte técnico, em vez de funções especializadas de Diretor de Segurança da Informação (CISO) ou Centro de Operações de Segurança (SOC), assegurando ainda um forte alinhamento com os referenciais ISO/IEC 27001:2022, GDPR, NIS2 e DORA. A política aplica-se a todos os serviços baseados na nuvem, gratuitos ou pagos, abrangendo aplicações de negócio comuns como plataformas de partilha de documentos, ferramentas SaaS, videoconferência, correio eletrónico, sistemas de cópia de segurança e plataformas de clientes. Qualquer pessoa que aceda a dados da empresa, mesmo via telemóvel ou tablet, deve seguir estas regras, que exigem aprovação prévia para todos os serviços de nuvem e proíbem totalmente a utilização de contas pessoais de nuvem para dados de negócio, prevenindo os riscos de serviços de computação em nuvem não autorizados. Deve ser mantido um Registo de Serviços de Nuvem claramente definido para acompanhar cada plataforma autorizada, o responsável, a localização dos dados, as permissões de acesso e a informação de suporte. Os controlos de segurança são obrigatórios: todas as plataformas de nuvem devem impor autenticação multifator (MFA) para utilizadores e administradores; utilizar palavras-passe fortes e complexas; fornecer registo de auditoria de atividades e restrição de acesso (como listas de permissões de IP, quando disponível); e realizar revisões regulares de conteúdos partilhados. Qualquer violação, como a não desativação de um utilizador ou a partilha pública de dados sensíveis, é classificada como incidente de segurança da informação e está sujeita a ações corretivas, incluindo revogação de acessos, retreino do utilizador ou, se necessário, escalonamento jurídico-regulatório. A política define requisitos rigorosos para a Política de Retenção de Dados e sistemas de cópia de segurança, determinando que dados de missão crítica ou dados regulamentados devem ser objeto de cópias de segurança regulares, retidos para satisfazer obrigações legais ou obrigações do cliente, e que a capacidade de exportação das plataformas de nuvem deve ser confirmada para evitar dependência do fornecedor. Os contratos para serviços de nuvem pagos devem especificar proteção de dados, notificações de violação de dados, propriedade dos dados e escalonamento definido. A conformidade é monitorizada com verificações pelo menos duas vezes por ano sobre acessos, palavras-passe e estado de administração, e todas as exceções documentadas à política devem ser formalmente justificadas e aprovadas pelo Diretor-Geral, com controlos compensatórios e datas-limite para resolução. A revisão e a melhoria contínua estão incorporadas: a política exige uma revisão anual, bem como atualizações após incidentes, introdução de novas plataformas ou alterações regulamentares. Os registos arquivados são retidos de forma segura conforme a Política de Retenção de Dados, garantindo que toda a atividade na nuvem é auditável para requisitos internos e externos (incluindo ISO). Com o seu âmbito focado, esta política fornece às PMEs uma estrutura robusta, mas gerível, para governar a utilização da nuvem, permitindo conformidade regulamentar, gestão de riscos e continuidade operacional.