Política de Sincronização de Tempo - PME

Esta Política de Sincronização de Tempo (P23S) estabelece requisitos claros e obrigatórios para configurar e manter uma sincronização de tempo precisa em todos os sistemas da organização envolvidos no armazenamento, transmissão ou tratamento de dados relevantes para o negócio. Como política para PME, a P23S foi concebida especificamente para organizações com funções de Operações de TI simplificadas, como Diretor Executivo e prestadores de serviços terceiros de Suporte de TI, e, ainda assim, alcança conformidade com a ISO/IEC 27001:2022, o GDPR, a NIS2, a DORA e outros referenciais. O objetivo desta política é manter a integridade dos registos do sistema, facilitar a investigação precisa de incidentes e assegurar defensabilidade em auditorias através da aplicação rigorosa de controlos de sincronização de tempo automatizada. Exige que todos os sistemas da empresa, remotos e sistemas alojados na nuvem, incluindo endpoints de utilizador, servidores, firewalls e plataformas SaaS, dependam de fontes de tempo fiáveis e protegidas criptograficamente (por exemplo, servidores NTP autenticados ou ferramentas do fornecedor de nuvem). Os dispositivos devem sincronizar pelo menos duas vezes por dia e manter-se dentro de limiares definidos (±5 segundos para estações de trabalho; ±1 segundo para servidores e dispositivos de segurança). Discrepâncias de tempo fora dos limiares desencadeiam alertas automáticos e devem ser corrigidas prontamente para evitar ameaças à rastreabilidade dos dados ou ao enquadramento regulamentar. A política atribui responsabilidades ao Diretor Executivo, ao prestador de serviços terceiros de Suporte de TI e a um Coordenador de Privacidade de dados ou Responsável Jurídico e de Conformidade. O Diretor Executivo supervisiona e aprova a política ou quaisquer exceções ao controlo de acesso, enquanto o Suporte de TI configura, faz monitorização e documenta o estado de sincronização de tempo. Trabalhadores e prestadores de serviços estão estritamente proibidos de alterar as definições de hora do dispositivo; quaisquer problemas de sincronização devem ser escalonados imediatamente. Verificações regulares de saúde do sistema e revisões periódicas ajudam a assegurar conformidade contínua, enquanto o tratamento de exceções e os controlos compensatórios são cuidadosamente governados e documentados. A sincronização de tempo está explicitamente ligada a outras políticas essenciais para PME, incluindo a Política de Registo e Monitorização, a Política de Resposta a Incidentes (P30), políticas de proteção de dados, gestão de instalações e de ativos e a Política de Segurança de Fornecedores. Em conjunto, estas políticas fornecem cobertura coesa, assegurando que os registos utilizados para conformidade, monitorização de sistemas de segurança ou resposta a violações são precisos tanto no conteúdo como na marca temporal. O documento destaca um processo rigoroso de revisão e atualização, exigindo revalidação anual pelo Diretor Executivo, TI e funções de Privacidade de dados, com atualizações desencadeadas por alterações tecnológicas ou novas obrigações regulamentares. Esta abordagem holística dá às PMEs a capacidade de aderir a normas de segurança de nível empresarial sem necessidade de estruturas de supervisão complexas e intensivas em recursos.