Para quem foi concebido este pacote?

Este pacote foi concebido para PME que necessitam de políticas robustas, mas simplificadas, de proteção de dados e privacidade, alinhadas com ISO/IEC 27001:2022, RGPD, NIS2 e outras normas de referência.

Estas políticas aplicam-se se não tivermos uma equipa dedicada de TI/segurança?

Sim, todas as políticas são adaptadas a PME para organizações sem funções dedicadas de gestão de TI ou de segurança, permitindo que o Diretor Executivo assuma a supervisão principal.

Que áreas do ciclo de vida dos dados este pacote cobre?

As políticas abordam todo o ciclo de vida da informação, incluindo classificação de dados, rotulagem, Política de Retenção de Dados, eliminação segura, mascaramento, privacidade, Política de Segurança de Fornecedores e auditorias de conformidade.

O pacote fornece requisitos para gestão de fornecedores?

Sim, a Política de Segurança de Fornecedores e Terceiros exige avaliação, cláusulas contratuais, controlo de acesso, monitorização, gestão de exceções e desvinculação segura para todos os fornecedores.

Mini Bundle: Proteção de Dados e Privacidade - PME

Visão geral

Este pacote orientado para PME disponibiliza seis políticas interligadas que abrangem classificação de dados, Política de Retenção de Dados, mascaramento, privacidade de dados, segurança de terceiros e monitorização da conformidade, alinhadas com ISO/IEC 27001:2022 e o RGPD, com funções adaptadas para organizações sem pessoal dedicado de TI/segurança.

Proteção de Dados Integrada

Políticas unificadas para classificação de dados, Política de Retenção de Dados, privacidade de dados e Política de Segurança de Fornecedores asseguram uma defesa robusta dos dados para PME.

Conformidade PME com 27001:2022

Adaptadas para PME com funções simplificadas, estas políticas estão alinhadas com ISO/IEC 27001:2022 e os requisitos do RGPD.

Controlos de ponta a ponta do ciclo de vida dos dados

Os controlos abrangem classificação de dados, rotulagem, Política de Retenção de Dados, anonimização e auditoria, em todos os formatos e sistemas.

Segurança de terceiros aplicada

Requisitos de gestão de fornecedores e de terceiros protegem os seus dados contra risco externo e asseguram conformidade contratual.

Pronto para auditoria e garantia

Inclui listas de verificação repetíveis e requisitos de auditoria para controlo operacional e certificações externas.

Ler visão geral completa

O "Mini Bundle: Proteção de Dados e Privacidade - PME" é um conjunto abrangente de seis políticas estreitamente integradas, concebidas para pequenas e médias empresas cumprirem requisitos críticos de proteção de dados, privacidade e conformidade. Todas as políticas deste pacote são explicitamente adaptadas a PME (conforme indicado pela numeração das políticas com "S" e pela utilização do Diretor Executivo como função principal de responsabilização), reconhecendo recursos limitados de pessoal ou a ausência de grandes departamentos dedicados de TI, segurança ou conformidade. Apesar destas limitações estruturais, estas políticas foram elaboradas para cumprir os requisitos rigorosos da ISO/IEC 27001:2022, ISO/IEC 27002:2022, do RGPD da UE, da Diretiva NIS2 da UE, do Regulamento DORA da UE, do NIST SP 800-53 Rev.5 e do COBIT 2019. Este pacote assegura cobertura de ponta a ponta de todo o ciclo de vida dos dados. A Política de Classificação e Rotulagem de Dados (P13S) estabelece um modelo de classificação em três níveis, adequado e aplicável a PME, incluindo requisitos de rotulagem e controlos tecnológicos. Define funções claras para o Diretor Executivo, Gestores de Dados, suporte de TI (interno/externalizado) e todos os trabalhadores e prestadores de serviços, enfatizando visibilidade prática (cabeçalhos, marcas de água, etiquetas) e obrigações de conformidade. Em estreita ligação, a Política de Retenção e Eliminação de Dados (P14S) impõe períodos de retenção orientados por requisitos legais e de negócio, com um Registo de Retenção gerido centralmente, técnicas explícitas de eliminação segura (trituração, apagamento digital, eliminação criptográfica) e documentação rigorosa de exceções e preservação legal e suspensão do apagamento, novamente com supervisão viável mesmo em organizações pequenas. Para minimização de dados e tratamento fora de ambientes de produção, a Política de Mascaramento e Pseudonimização de Dados (P16S) exige que dados pessoais reais ou dados sensíveis nunca sejam utilizados quando não estritamente necessário, como em testes ou utilização analítica, aplicando controlos de transformação (mascaramento, tokenização, pseudonimização). Todos os processos de transformação devem ser auditáveis, utilizando apenas ferramentas aprovadas por TI com registos e gestão de chaves, assegurando rastreabilidade até conjuntos de dados e eventos individuais. No núcleo do pacote, a Política de Proteção de Dados e Privacidade (P17S) consolida todas as obrigações legais relativas a dados pessoais, abrangendo registos de pessoal, clientes e terceiros. Impõe privacidade desde a conceção e por defeito, recolha lícita e minimização, retenção segura, revisão de acessos clara e tratamento dos direitos individuais dos titulares dos dados. As responsabilidades são claramente distribuídas entre o Diretor Executivo (como responsável por DPO/Privacidade), o Coordenador de Privacidade (interno/externalizado), o prestador de TI e todo o pessoal operacional. Formação, consentimento, escalonamento e notificação de violação estão integrados, bem como verificações de alinhamento com políticas relacionadas de classificação, retenção, mascaramento e tratamento de incidentes. Para gerir riscos externos, a Política de Segurança de Fornecedores e Terceiros (P26S) define requisitos obrigatórios para avaliação de fornecedores, análise de riscos, restrição de acessos, cláusulas contratuais (incluindo SLAs de notificação de violação e direitos de auditoria) e supervisão contínua. Abrange cenários típicos de terceiros em PME (TI, SaaS, operações de negócio, etc.), exigindo aceitação dos termos contratuais, revisões regulares e desvinculação segura ou destruição de dados após a cessação. Por fim, a Política de Monitorização de Auditoria e Conformidade (P33S) simplifica o processo de auditorias internas, verificações de controlos de segurança e revisão regulatória. Concebida para utilização sem auditores especialistas, permite ao Diretor Executivo e ao prestador de TI utilizarem listas de verificação e manterem registos de evidência para assegurar prontidão operacional para certificação ISO/IEC 27001 ou diligência devida de clientes/fornecedores. Rastos de auditoria, documentação de ações corretivas e evidência de auditoria devem ser centralizados e disponibilizados por, pelo menos, dois anos, suportando uma governação defensável mesmo para PME com recursos mínimos de conformidade. Em conjunto, este mini bundle operacionaliza normas de referência e leis de privacidade em controlos acionáveis e práticos para o negócio, fornecendo um regime robusto e pronto para auditoria de proteção de dados e privacidade, fácil de implementar e manter por PME.

Conteúdo

Requisitos de Classificação e Rotulagem de Dados

Regras de Retenção e Eliminação Segura

Mascaramento de Dados e Pseudonimização

Proteção de Dados e Privacidade abrangente

Segurança de fornecedores e cláusulas contratuais

Auditoria interna e Monitorização da conformidade

Conformidade com frameworks

Framework	Cláusulas / Controles cobertos
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Framework

Cláusulas / Controles cobertos

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Políticas relacionadas

Política de Classificação e Rotulagem de Dados - PME

Esta política define como toda a informação tratada pela organização deve ser classificada e rotulada para garantir que a confidencialidade, integridade e disponibilidade são mantidas ao longo do seu ciclo de vida.

Política de Retenção e Eliminação de Dados - PME

O objetivo desta política é definir regras aplicáveis para a Política de Retenção de Dados e a eliminação segura da informação num ambiente de PME.

Política de Mascaramento e Pseudonimização de Dados - PME

Esta política define requisitos aplicáveis para a utilização de mascaramento de dados e pseudonimização para proteger dados sensíveis, pessoais e confidenciais em pequenas e médias empresas (PME).

Política de Proteção de Dados e Privacidade - PME

Esta política define como a organização protege dados pessoais em linha com obrigações legais, quadros regulamentares e normas internacionais de segurança.

Política de Segurança de Fornecedores e Terceiros - PME

Esta política estabelece os requisitos de segurança obrigatórios para envolver, gerir e cessar relações com terceiros e fornecedores que acedem ou influenciam os dados, sistemas ou serviços da organização.

Política de Monitorização de Auditoria e Conformidade - PME

Esta política estabelece a abordagem da organização para realizar auditorias internas, verificações de controlos de segurança e monitorização contínua da conformidade.

Sobre as Políticas Clarysec - Mini Bundle: Proteção de Dados e Privacidade - PME

Políticas de segurança genéricas são frequentemente concebidas para grandes empresas, deixando pequenas empresas com dificuldade em aplicar regras complexas e funções indefinidas. Esta política é diferente. As nossas políticas para PME são concebidas de raiz para implementação prática em organizações sem equipas de segurança dedicadas. Atribuímos responsabilidades às funções que realmente existem, como o Diretor Executivo e o seu Prestador de TI, e não a um conjunto de especialistas que não tem. Cada requisito é decomposto numa cláusula com numeração única (por exemplo, 5.2.1, 5.2.2). Isto transforma a política numa lista de verificação clara, passo a passo, tornando-a fácil de implementar, auditar e adaptar sem reescrever secções inteiras.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Privacidade Jurídico Aquisição

🏷️ Cobertura temática

Classificação de dados Tratamento de dados Privacidade de dados Direitos dos titulares dos dados Gestão de riscos de terceiros Gestão de fornecedores Gestão do ciclo de vida das políticas Gestão de conformidade Conformidade jurídica