Logotipo da Unitel Money

Termos e Condições

Política de Segurança de Informação

Direcção de Risco, Controlo Interno e Compliance
Maio 2023 

Controlo do documento

Título do DocumentoPolítica de Segurança de Informação 
Proprietário Direcção de Risco, Controlo Interno e Compliance 
Aprovador Conselho de Administração Unitel Money 
Classificação de Confidencialidade Público 
Lista de Distribuição Não Aplicável 
Em vigor desde 5-Jun-2023 
Próxima revisão 5-Jun-2024

Histórico de alterações e aprovações 

Este documento deve ser alvo de uma monitorização contínua e sujeito a uma revisão regular que deve ocorrer pelo menos anualmente, ou sempre que existir uma alteração significativa ao contexto. 

VersãoDataAcçãoÁreaNotas
v1.0 Mai-2023 Criação DRCIC 
v1.0 Mai-2023 Validação  DOT 
v1.0Mai-2023 Validação  CACI 
v1.025-Mai-2023 Aprovação CA UNITEL Money 
  1. Enquadramento

    A Segurança de Informação diz respeito à protecção da Confidencialidade, Integridade e Disponibilidade da informação e, consequentemente, dos seus activos de suporte, de forma preservar o valor que possuem para um indivíduo ou uma organização. 

    O presente documento estabelece a abordagem, responsabilidades, conceitos e modelo operacional do Programa de Segurança de Informação na UNITEL Money, enquadrados pelo Aviso 08/2020, de 2 Abril (“Política de Segurança Cibernética e Adopção de Computação na Nuvem”). 

    1. Propósito 

      A presente política pretende: 

      1. Promover o tema da Segurança de Informação na UNITEL Money; 

      2. Formalizar a estrutura de governança da Segurança de Informação da UNITEL Money; 

      3. Promover o alinhamento de todas as áreas na gestão dos riscos para a Segurança de Informação; 

      4. Sensibilizar todos os colaboradores para a importância da protecção da informação e dos activos de suporte. 

    2. Âmbito  

      A presente política aplica-se: 

      1. A todos os órgãos sociais e unidades orgânicas da UNITEL Money; 

      2. Aos riscos de Confidencialidade, Privacidade, Integridade, Disponibilidade e Cibersegurança; 

      3. A toda a informação pertencente ou gerida pela UNITEL Money e, por consequência, a todas as Pessoas (colaboradores, fornecedores e parceiros), Processos e Tecnologias (sistemas, plataformas, arquivos digitais ou físicos) que criam, utilizam, armazenam, recebem/enviam, eliminam ou destroem informações da UNITEL Money como parte de suas actividades profissionais. 

    3. Objectivo   

      A presente política tem como objectivos: 

      1. Definir os conceitos base associados à Segurança de Informação; 

      2. Definir os papéis e responsabilidades da Segurança de Informação na UNITEL Money, incluindo as actividades executadas pela UNITEL, S.A. no âmbito do acordo de serviços partilhados existente entre ambas as empresas; 

      3. Definir o modelo operacional da Segurança de Informação na UNITEL Money. 

  2. Conceitos e definições
    1. Informação e Activos de Informação 

      Informação: Refere-se a qualquer fluxo de comunicação ou qualquer representação de conhecimento, independentemente do meio ou formato. 

      Activos de Informação: Referem-se aos suportes onde guardamos ou através dos quais usamos a informação. Os activos de informação podem ser digitais (computador, email, base de dados, servidor, etc.) ou físicos (documentos em papel, cadernos de anotações, whiteboards, etc.) 

    2. Confidencialidade, Integridade e Disponibilidade de Informação   

      A Segurança de Informação baseia-se em 3 conceitos principais, habitualmente denominados como Triângulo da Segurança de Informação ou os Três pilares da Segurança de Informação:

    3. Conceitos relacionados com Confidencialidade, Integridade e Disponibilidade 

      Para além dos 3 conceitos principais, a Segurança de Informação suporta-se num conjunto de propriedades adicionais: 

      Privacidade: Propriedade relacionada com a protecção dos dados pessoais de clientes, colaboradores ou terceiros, tendo em conta os regulamentos e legislação em vigor e o direito fundamental do indivíduo em decidir e saber quem tem acesso aos seus dados. 

      Autenticidade: Propriedade que assegura que um indivíduo, entidade ou processo é que alega ser. 

      Não-repúdio: Propriedade da informação que permite identificar inequivocamente a origem ou o autor de uma comunicação ou da realização de uma operação sobre a informação (criação, acesso, alteração, eliminação). 

      Retenção: Propriedade que assegura que a informação só deve ser conservada pelo tempo necessário e permitido pelos regulamentos ou legislação em vigor. 

  3. Responsabilidades

    O modelo de governança da Segurança de Informação na UNITEL Money prevê as seguintes responsabilidades: 

    1. Conselho de Administração (CA) 

      1. Aprovar a presente política, bem como apoiar a sua implementação; 

      2. Garantir o cumprimento das obrigações normativas relacionadas com a Segurança de Informação; 

      3. Delegar à Comissão de Auditoria e Controlo Interno o acompanhamento das actividades relacionadas com a Segurança de Informação, já que se trata de um tema de gestão de risco. 

    2. Comissão de Auditoria e Controlo Interno (CACI) 

      1. Acompanhar e supervisionar o cumprimento das obrigações normativas relacionadas com a Segurança de Informação; 

      2. Acompanhar a definição, execução e monitorização de actividades e iniciativas relacionadas com a Segurança de Informação; 

      3. Acompanhar a evolução dos riscos relacionados com a Segurança de Informação. 

    3. Direcção de Risco, Controlo Interno e Compliance (DRCIC) 

      A Direcção de Risco, Controlo Interno e Compliance é responsável pelo tema da Segurança de Informação na UNITEL Money, na vertente de gestão de risco, nomeadamente: 

      1. Desenvolver e manter a política e normas de Segurança de Informação; 

      2. Identificar, avaliar e monitorar os riscos de Confidencialidade, Integridade, Disponibilidade e riscos relacionados; 

      3. Articular com a Direcção de Risco, Fraude e Segurança (DRFS) da UNITEL, S.A. os temas de Segurança de Informação, na vertente de gestão e risco, nomeadamente: 

        1. Monitorização dos riscos de Segurança de Informação; 

        2. Desenvolvimento de normas e procedimentos aplicáveis à UNITEL Money; 

        3. Desenvolvimento de acções de sensibilização a colaboradores e parceiros. 

      4. Coordernar os temas de Segurança de Informação com as restantes Direcções da UNITEL Money, na vertente de gestão de risco. 

      No âmbito da gestão do Controlo Interno, a DRCIC é igualmente reponsável por: 

      1. Garantir a adequada transposição dos requisitos e controlos (ver 4.2 e 4.3) de Segurança de Informação para o Manual de Controlo Interno. 

    4. Direcção de Operações e Tecnologia (DOT) 

      A Direcção de Operações e Tecnologia é responsável pelo tema da Segurança de Informação na UNITEL Money, na vertente tecnológica, nomeadamente: 

      1. Elaborar análises, avaliações, ajustes ou dimensionamentos técnicos necessários ao cumprimento dos requisitos de Segurança de Informação; 

      2. Articular com a DRFS da UNITEL, S.A. os temas de Segurança de Informação, na vertente tecnológica, nomeadamente: 

      3. Acompanhamento técnico dos incidentes de segurança de informação com impacto na UNITEL Money e sua resolução; 

      4. Coordenar os temas de Segurança de Informação com as restantes Direcções da UNITEL Money e Direcções Técnicas da UNITEL, S.A., na vertente tecnológica. 

    5. Direcção Jurídica (DJU) 

      A Direcção Jurídica é responsável por zelar por: 

      1. Compilar e manter um registo actualizado da legislação relacionada com Segurança de Informação e Privacidade à qual a UNITEL Money está sujeita; 

      2. Dinamizar e garantir o cumprimento da referida legislação, incluindo as obrigações de registo junto da Agência de Protecção de Dados (APD). 

      O Director da Direcção Jurídica foi nomeado como pessoa de contacto, de acordo com o previsto na Lei 22/11 (“Lei da Protecção de Dados Pessoais”) e, como tal, executa as funções de interface único da UNITEL Money com a APD. 

    6. Papéis específicos relativas para o tratamento de informação 

      1. Proprietário da Informação 

        O proprietário da informação é a pessoa ou grupo (e.g., Direcção) responsável pela criação da informação. As responsabilidades incluem: 

        1. Atribuição e marcação do nível de confidencialidade adequado à informação, de acordo com a Norma de Classificação de Confidencialidade de Informação; 

        2. Atribuição e remoção de permissões de acesso à informação da qual é proprietário. 

      2. Proprietário do Activo de Informação 

        Os activos de informação são os suportes físicos ou digitais onde a informação é processada ou guardada. Aos Proprietários dos Activos de Informação, compete: 

        1. Gerir os activos de informação de acordo com as normas de segurança e utilização aceitável; 

        2. Contribuir para a identificação e avaliação de activos de informação, ameaças e vulnerabilidades; 

        3. Contribuir para a identificação, avaliação e implementação das medidas de mitigação de risco. 

      3. Responsável Técnico pela Informação 

        O Responsável Técnico pela Informação é o responsável por gerir as plataformas, bases de dados e outras ferramentas digitais/informáticas que suportam a informação. 

        Ao Responsável Técnico pela Informação cabem as mesmas responsabilidades que o Proprietário do Activo de Informação. 

      4. Responsável pelo Risco 

        O responsável pelo Risco deve: 

        1. Promover a inclusão dos requisitos de segurança de informação no ciclo de vida de activos de informação e processos críticos; 

        2. Decidir sobre o tratamento dos riscos relacionados com os activos sob a sua responsabilidade e garantir que estes são geridos de forma apropriada; 

        3. Disponibilizar informação à DRFS para a execução das suas responsabilidades de monitorização e reporte. 

        Nota: o Proprietário do Risco pode, em alguns casos, ser o Proprietário do Activo de Informação ou o Responsável Técnico pela Informação. 

  4. Modelo operacional

    O modelo operacional da Segurança de Informação tem como origem a presente Política, que é declinada em Normas e Procedimentos, Requisitos e Controlos: 

    1. Normas e Procedimentos de Segurança de Informação 

      As Normas de Segurança de Informação são documentos subordinados à presente Política e, como tal, herdam os seus conceitos, responsabilidades e regras. 

      Cada Norma define requisitos de Segurança de Informaçao específicos para o seu âmbito, por exemplo, requisitos sobre salvaguarda de informação ou gestão de credenciais de utilizadores. 

      Por questões de sinergias operacionais, a UNITEL Money não define normas de Segurança de Informação próprias, mas suporta-se nas normas definidas pela UNITEL, S.A., sendo realizadas adaptações sempre que necessário. 

      Os Procedimentos de Segurança de Informação são documentos subordinadas à Política ou a uma Norma específica. Diferem da Norma por descreverem actividades operacionais com maior detalhe. 

      As regras descritas nas Normas ou Procedimentos são de cumprimento obrigatório. Caso não possam ser aplicáveis, devem ser registadas as devidas excepções. 

    2. Requisitos de Segurança de Informação 

      Para facilitar a sua implementação e acompanhamento, as regras descritas nas Normas ou Procedimentos são transformadas em requisitos individuais. 

      A compilação de todos os requisitos extraídos das Normas e Procedimentos passam a ser, assim, a lista de regras que têm de ser cumpridas pela UNITEL Money, no âmbito da Segurança de Informação. 

      Em casos pontuais, podem ser criados novos requisitos sem o devido enquadramento numa Norma ou Procedimento. 

    3. Controlos 

      Os controlos correspondem à forma como a empresa responde aos requisitos de Segurança de Informação. Os controlos podem ser documentais, processuais, técnicos, organizacionais, etc. 

      Os controlos são verificados periodicamente quanto à sua efectividade, permitindo assim avaliar o nível de cumprimento dos requisitos de Segurança de Informação e, consequentemente, das respectivas Normas. 

  5. Omissões e excepções e não cumprimento

    Os casos em que a presente Política seja omissa ou em que não seja possível aplicar as regras supracitadas, devem ser comunicados à Direcção do Risco, Controlo Interno e Compliance da UNITEL Money através do endereço DL_UNITELMONEY-DRCIC-GESTAO-RISCO@unitel.co.ao. 

    A violação do estabelecido na presente Política ou Normas subordinadas será objecto de análise, podendo resultar sanção disciplinar ou outra medida legal. 

  6. Aprovação e revisão da política

    A presente Política é aprovada pelo Conselho de Administração da UNITEL Money e revista, pela Direcção de Risco, Controlo Interno e Compliance, periodicamente ou sempre que se verifiquem alterações internas e/ou externas com impactos importantes sobre a mesma, sem prejuízo da iniciativa própria dos membros do Conselho de Administração.