Medidas técnicas implementadas para conformidade com GDPR

De acordo com o Regulamento (UE) 2016/679 de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação de dados e, em particular, o seu artigo 32.º, bem como a Lei alterada n.º 78- 17 de 6 de janeiro de 1978 relativo ao processamento de dados, arquivos e liberdades, a AGNP garante a segurança de seus dados pessoais através das seguintes medidas técnicas e organizacionais:

CRIPTOGRAFIA DE DADOS CONFIDENCIAIS

Todos os dados (documentos, dados digitais) são armazenados em sistemas de arquivos criptografados automaticamente em tempo real (AES-256) e compatíveis com os Regulamentos Gerais de Proteção de Dados graças ao software certificado FIPS 140-2 .

A hospedagem de dados está localizada na Holanda em data centers que atendem ao padrão ISO 27001 e ao padrão PCI DSS.

GESTÃO DE DIREITOS DE ACESSO

Os direitos de acesso estão sujeitos ao cumprimento de procedimentos internos de atribuição e cumprem os seguintes requisitos:

Monitorização de grupos e diretórios com política de segurança reforçando o controle de dados
Redução dos direitos de acesso com um princípio “mínimo”, ou seja, mantendo o princípio do privilégio mínimo. Se não for realmente necessário, o direito de acesso não é autorizado;
Gestão de multas de autorizações e revogação em caso de saída ou transferência de utilizadores.

A monitorização dos direitos de acesso está sujeito a um controle interno permanente fornecido pela nossa equipa de compliance.

FERRAMENTAS PARA COMBATER INTRUSÕES EXTERNAS NA REDE

A AGNP escolheu por muitos anos confiar no editor de soluções antivírus e anti-malware McAfee com seu pacote VirusScan Enterprise, que é implantado em todo o sistema de informações. Soluções de proteção de rede também estão em vigor com o uso de firewalls de última geração equipados com recursos avançados, como UTM ( Unified Threat Management), soluções automáticas de proteção DDOS (DPS) e WAF ( Aplicação Web Firewall ).

O sistema de informações é continuamente analisado pelos agentes Nessus da Tenable para relatar qualquer nova vulnerabilidade detectada em tempo real. Um SIEM ( Security Information andEvent Management ) completa o sistema para coletar e analisar todas as atividades confidenciais que ocorrem em todos os componentes IS.

POLÍTICA DE SENHA

Existe uma política robusta de gestão de senhas (identificador exclusivo, complexidade, tamanho, alteração regular, limitação de tentativas etc.), políticas de segurança foram definidas e implementadas. A correta aplicação dessas políticas é monitorizada de forma regular e automática em todas as máquinas IS usando agentes de monitoramento específicos e quaisquer anomalias são relatadas à equipa de segurança.

PROTEÇÃO ATRAVÉS DE FLUXOS SEGUROS

A AGNP protege todas as comunicações com seus aplicativos através do uso de links ponto a ponto criptografados do tipo SSL – TLS 1.2 (uso sistemático de HTTPS, certificados SHA-2). É configurado um particionamento de rede dos diferentes ambientes, DMZ ( Zone Demilitarized ) bem como sistemas de detecção de intrusão IDS ( Intrusion Detection System ) .