Política de Desenvolvimento seguro - PME

A Política de Desenvolvimento seguro (P24S) foi especificamente elaborada para pequenas e médias empresas (PMEs), com adaptação particular para organizações que não dispõem de equipas de TI e Segurança da Informação dedicadas. Reconhecendo as restrições de recursos típicas das PMEs, a política atribui ao Diretor Executivo (DE) a autoridade central para aprovação da política, implementação, supervisão contratual e conformidade, simplificando a governação em ambientes onde papéis como Diretor de Segurança da Informação (CISO) ou Centro de Operações de Segurança (SOC) podem não existir. Apesar desta simplificação, a política mantém-se totalmente alinhada com normas de segurança reconhecidas internacionalmente, nomeadamente ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 e EU RGPD, assegurando que as obrigações de conformidade são cumpridas sem comprometer a aplicabilidade prática. O objetivo deste documento é impor uma linha de base de programação segura e práticas de desenvolvimento para todo o software, scripts e ferramentas baseadas na Web criados ou modificados pela organização ou pelos seus parceiros. Aplica requisitos de segurança abrangentes a todo o espectro de código desenvolvido internamente, externalizado ou fornecido por terceiros, incluindo plugins, componentes e ferramentas de automatização. O âmbito definido pela política cobre todos os ambientes envolvidos em atividades de desenvolvimento — desenvolvimento, staging, ambiente de pré-produção e ambiente de produção — e rege especificamente a forma como dados sensíveis ou dados de produção são tratados nesses contextos. Entre os seus objetivos centrais, a política foca-se na prevenção de falhas de segurança em todas as fases dos ciclos de vida de desenvolvimento de sistemas. Isto inclui a utilização aplicada de normas de programação segura (como OWASP Top 10), processos formalizados de revisão de código, testes de segurança obrigatórios antes do lançamento e controlo de acesso a todos os sistemas de desenvolvimento e de produção. A política introduz requisitos explícitos para gestão de fornecedores e gestão de terceiros, incluindo cláusulas contratuais de segurança, validação de componentes de terceiros quanto a vulnerabilidades e licenciamento, e acompanhamento ou auditoria regular da conformidade através de artefactos e documentação retidos. Para assegurar responsabilização no dia a dia, são definidos papéis e responsabilidades simplificados: o Diretor Executivo supervisiona e aprova todas as atividades de segurança no desenvolvimento; desenvolvedores internos e proprietários de aplicações seguem práticas seguras e reporte; fornecedores externos ficam vinculados contratualmente a compromissos de segurança e a testes obrigatórios; e prestadores de serviços de TI ou administradores de TI gerem o acesso seguro e a implementação, aplicando a separação de ambientes. Uma parte inerente desta política para PME é o processo estruturado de tratamento de riscos e gestão de exceções. Quaisquer desvios às práticas seguras, ou riscos que não possam ser imediatamente remediados, devem ser formalmente avaliados e aprovados pelo Diretor Executivo, com reavaliação periódica para gerir alterações na postura de risco. A política também estabelece controlos fortes de aplicação e conformidade e prontidão para auditoria, exigindo que todas as listas de verificação, aprovações de revisão, resultados dos testes e inventários sejam retidos de forma segura e disponibilizados prontamente para auditorias ISO, revisão regulatória ou pedidos de clientes. Por fim, os requisitos de revisão e atualização garantem que a política se mantém atualizada face à evolução de tecnologias e frameworks de desenvolvimento e a alterações regulamentares, demonstrando uma abordagem proativa à segurança da organização e à conformidade regulamentar no setor das PMEs.