Política de Segurança e Controlo de Acesso a Informações Pessoais Identificáveis (PII)

A Política de Segurança e Controlo de Acesso a Informações Pessoais Identificáveis (PII) define os requisitos específicos da organização para proteger informações pessoais em sistemas, aplicações, serviços, dispositivos, ambientes cloud e processos operacionais. Aplica-se quando informações pessoais identificáveis (PII) são armazenadas, transmitidas, tratadas, acedidas, administradas ou protegidas, e abrange contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente. A política foi concebida expressamente para integrar práticas existentes de segurança da informação, sem substituir um Sistema de Gestão de Segurança da Informação completo, uma Política de Segurança de Redes, uma Política de Desenvolvimento Seguro, uma política de cópias de segurança, uma política de endpoints, uma política de segurança cloud, uma norma criptográfica, um procedimento de gestão de vulnerabilidades ou um procedimento de resposta a incidentes. A sua finalidade central é assegurar que as informações pessoais identificáveis (PII) são protegidas por controlos de segurança e de acesso adequados, alinhados com o risco e auditáveis ao longo de todo o tratamento. Para apoiar essa finalidade, a política estabelece uma linha de base de segurança das informações pessoais identificáveis (PII) e exige evidência rastreável através do REG02, REG08, REG10 e REG12. Este modelo de evidência é central para a política: logs operacionais, saídas de ferramentas de segurança, exportações de revisão de acessos, relatórios de vulnerabilidades e evidência de configuração podem ser anexados, resumidos ou referenciados nos objetos de evidência canónicos, mas não são tratados como registos PIMS separados. Isto permite à organização demonstrar que os controlos são planeados, implementados, revistos, monitorizados e melhorados sem duplicar registos de segurança. A política estabelece requisitos detalhados de controlo de acesso, autenticação e acesso privilegiado. O acesso a informações pessoais identificáveis (PII) deve ser restringido a funções aprovadas e utilizadores autorizados registados ou rastreáveis no REG02 ou REG12, e a finalidade de negócio deve ser aprovada antes do provisionamento de acessos. Os sistemas de informações pessoais identificáveis (PII) de alto impacto ou sensíveis exigem revisão de acessos de utilizadores pelo menos trimestral, enquanto outros sistemas de informações pessoais identificáveis (PII) exigem revisão pelo menos anual. O acesso deve ser removido ou alterado no prazo de um dia útil após alteração de função, cessação, conclusão do contrato ou quando o acesso deixar de ser necessário. O acesso privilegiado exige justificação, âmbito e aprovação documentados antes da concessão, com revisão mensal para sistemas de informações pessoais identificáveis (PII) de alto impacto ou sensíveis e revisão trimestral para outros sistemas de informações pessoais identificáveis (PII). A política também aborda expectativas técnicas de segurança relativas a autenticação, cifragem, armazenamento seguro, registo, monitorização, configuração, gestão de vulnerabilidades, acesso de endpoint e acesso cloud. São exigidas identidades de utilizador únicas para contas com acesso a informações pessoais identificáveis (PII), e é exigida autenticação forte para acesso privilegiado, remoto, administrativo ou de alto impacto a informações pessoais identificáveis (PII). A cifragem ou proteção compensatória aprovada deve ser definida antes de informações pessoais identificáveis (PII) de alto impacto, sensíveis ou transmitidas externamente serem armazenadas, transmitidas ou disponibilizadas. O âmbito de registo deve abranger eventos de autenticação, eventos de acesso, ações privilegiadas, atividade de exportação de informações pessoais identificáveis (PII) e alterações materiais de configuração. O estado da configuração e a cobertura de vulnerabilidades devem ser registados no REG12, com vulnerabilidades de alto risco não resolvidas que afetem informações pessoais identificáveis (PII) registadas no prazo de cinco dias úteis após validação. As responsabilidades de governação são atribuídas à Alta Direção, ao Responsável pela Privacidade / Gestor do PIMS, ao Encarregado da Proteção de Dados / Assessor de Privacidade, ao Responsável pela Segurança da Informação, ao Proprietário do processo / proprietário do negócio, ao Proprietário do sistema / Responsável pela Aplicação, ao Proprietário do fornecedor / aquisição, ao Coordenador de Resposta a Incidentes e ao Revisor de Auditoria Interna / Conformidade. A política exige revisões trimestrais da completude da evidência no REG02, REG08, REG10 e REG12, revisão trimestral da eficácia da linha de base e das lacunas não resolvidas, e amostragem de auditoria de revisão de acessos, revisões de acesso privilegiado, evidência de registo e evidência de configuração. As exceções devem ser registadas antes da ativação, incluir data de expiração, controlo compensatório e data de revisão, e receber aprovação da Alta Direção quando afetem informações pessoais identificáveis (PII) de alto impacto, informações pessoais identificáveis (PII) sensíveis, acesso privilegiado, cifragem, registo ou vulnerabilidades de alto risco não resolvidas.