Política de Controlos Criptográficos - PME

A Política de Controlos Criptográficos P18S é uma política especializada construída para pequenas e médias empresas (PMEs), claramente adaptada a papéis e processos simplificados, mais notavelmente o papel de "Diretor-Geral", em vez de títulos específicos de empresas como CISO ou SOC. Garante que estas organizações implementam controlos criptográficos robustos que protegem a confidencialidade, integridade e autenticidade dos dados de negócio e pessoais. O objetivo central desta política é definir requisitos obrigatórios para cifragem e outras medidas criptográficas, alinhando-se diretamente com as necessidades de certificação ISO/IEC 27001:2022 e com quadros regulamentares como o GDPR, a Diretiva NIS2 e a DORA da UE. O âmbito da política abrange todo o pessoal, incluindo trabalhadores, contratados e terceiros, que tratem dados da empresa, e cobre todos os sistemas de negócio, endpoints ou plataformas em nuvem que armazenem, transmitam ou acedam a informação confidencial. Aplica-se a todos os dados classificados de acordo com a Política de Classificação e Tratamento da Informação da empresa e cobre controlos criptográficos como métodos de cifragem, certificados, chaves, palavras-passe e módulos de segurança. Os requisitos de proteção estendem-se a dados em repouso, em trânsito e em utilização, abrangendo cifragem para sistemas de cópia de segurança, correio eletrónico, transferências externas e websites da organização. Os objetivos da política são diretos: proteger dados sensíveis e dados regulamentados com medidas criptográficas adequadas; estabelecer autoridade e responsabilização pela seleção de ferramentas, configuração e gestão de chaves; e assegurar controlos preventivos fortes contra acesso não autorizado, adulteração ou perda de dados. A política enfatiza a adesão rigorosa a obrigações legais e obrigações regulamentares que exijam cifragem e mantém a importância de uma gestão eficaz de certificados e chaves para a segurança operacional. Os papéis e responsabilidades são simplificados para o contexto de PME: o Diretor-Geral (DG) assume a propriedade da política e supervisiona a aplicação e a aprovação de exceções ao controlo de acesso. O Prestador de Suporte de TI ou o Administrador de TI interno trata da operação diária e manutenção das tecnologias de cifragem, certificados e proteção de sistemas de cópia de segurança. Um Coordenador de Privacidade ou Segurança assegura a conformidade contínua com obrigações de proteção de dados, gestão de riscos e defesa jurídica. Todo o pessoal e contratados são obrigados a cumprir a utilização de cifragem aprovada e não devem contornar qualquer mecanismo de segurança. As principais características de governação incluem revisão anual da política (ou após uma violação ou alteração significativa), documentação completa de todas as atividades de cifragem/gestão de chaves e requisitos rigorosos para a utilização de algoritmos criptográficos padrão da indústria (como AES-256, RSA 2048 e TLS 1.2 ou mais recente). Protocolos inseguros devem ser bloqueados e todas as chaves devem ser armazenadas de forma segura com acesso controlado e revisto regularmente, nunca em texto simples. Cifragem de sistemas de cópia de segurança, gestão de certificados, planeamento de cenários de risco e um processo de Gestão de Exceções bem documentado são requisitos centrais. As violações incorrem em consequências definidas e todas as falhas criptográficas são registadas, investigadas e tratadas como parte dos procedimentos de tratamento de violações. Esta política corresponde ao modelo de PME, tornando-a particularmente adequada para organizações com menos recursos ou pessoal especializado em segurança, mantendo ainda o alinhamento total com ISO/IEC 27001:2022 e exigências regulamentares relevantes.