Direcção de Risco, Controlo Interno e Compliance
Maio 2023
Título do Documento | Política de Segurança de Informação |
Proprietário | Direcção de Risco, Controlo Interno e Compliance |
Aprovador | Conselho de Administração Unitel Money |
Classificação de Confidencialidade | Público |
Lista de Distribuição | Não Aplicável |
Em vigor desde | 5-Jun-2023 |
Próxima revisão | 5-Jun-2024 |
Este documento deve ser alvo de uma monitorização contínua e sujeito a uma revisão regular que deve ocorrer pelo menos anualmente, ou sempre que existir uma alteração significativa ao contexto.
Versão | Data | Acção | Área | Notas |
v1.0 | Mai-2023 | Criação | DRCIC | – |
v1.0 | Mai-2023 | Validação | DOT | – |
v1.0 | Mai-2023 | Validação | CACI | – |
v1.0 | 25-Mai-2023 | Aprovação | CA UNITEL Money | – |
A Segurança de Informação diz respeito à protecção da Confidencialidade, Integridade e Disponibilidade da informação e, consequentemente, dos seus activos de suporte, de forma preservar o valor que possuem para um indivíduo ou uma organização.
O presente documento estabelece a abordagem, responsabilidades, conceitos e modelo operacional do Programa de Segurança de Informação na UNITEL Money, enquadrados pelo Aviso 08/2020, de 2 Abril (“Política de Segurança Cibernética e Adopção de Computação na Nuvem”).
A presente política pretende:
A presente política aplica-se:
A presente política tem como objectivos:
Informação: Refere-se a qualquer fluxo de comunicação ou qualquer representação de conhecimento, independentemente do meio ou formato.
Activos de Informação: Referem-se aos suportes onde guardamos ou através dos quais usamos a informação. Os activos de informação podem ser digitais (computador, email, base de dados, servidor, etc.) ou físicos (documentos em papel, cadernos de anotações, whiteboards, etc.)
A Segurança de Informação baseia-se em 3 conceitos principais, habitualmente denominados como Triângulo da Segurança de Informação ou os Três pilares da Segurança de Informação:
Para além dos 3 conceitos principais, a Segurança de Informação suporta-se num conjunto de propriedades adicionais:
Privacidade: Propriedade relacionada com a protecção dos dados pessoais de clientes, colaboradores ou terceiros, tendo em conta os regulamentos e legislação em vigor e o direito fundamental do indivíduo em decidir e saber quem tem acesso aos seus dados.
Autenticidade: Propriedade que assegura que um indivíduo, entidade ou processo é que alega ser.
Não-repúdio: Propriedade da informação que permite identificar inequivocamente a origem ou o autor de uma comunicação ou da realização de uma operação sobre a informação (criação, acesso, alteração, eliminação).
Retenção: Propriedade que assegura que a informação só deve ser conservada pelo tempo necessário e permitido pelos regulamentos ou legislação em vigor.
O modelo de governança da Segurança de Informação na UNITEL Money prevê as seguintes responsabilidades:
A Direcção de Risco, Controlo Interno e Compliance é responsável pelo tema da Segurança de Informação na UNITEL Money, na vertente de gestão de risco, nomeadamente:
No âmbito da gestão do Controlo Interno, a DRCIC é igualmente reponsável por:
A Direcção de Operações e Tecnologia é responsável pelo tema da Segurança de Informação na UNITEL Money, na vertente tecnológica, nomeadamente:
A Direcção Jurídica é responsável por zelar por:
O Director da Direcção Jurídica foi nomeado como pessoa de contacto, de acordo com o previsto na Lei 22/11 (“Lei da Protecção de Dados Pessoais”) e, como tal, executa as funções de interface único da UNITEL Money com a APD.
O proprietário da informação é a pessoa ou grupo (e.g., Direcção) responsável pela criação da informação. As responsabilidades incluem:
Os activos de informação são os suportes físicos ou digitais onde a informação é processada ou guardada. Aos Proprietários dos Activos de Informação, compete:
O Responsável Técnico pela Informação é o responsável por gerir as plataformas, bases de dados e outras ferramentas digitais/informáticas que suportam a informação.
Ao Responsável Técnico pela Informação cabem as mesmas responsabilidades que o Proprietário do Activo de Informação.
O responsável pelo Risco deve:
Nota: o Proprietário do Risco pode, em alguns casos, ser o Proprietário do Activo de Informação ou o Responsável Técnico pela Informação.
O modelo operacional da Segurança de Informação tem como origem a presente Política, que é declinada em Normas e Procedimentos, Requisitos e Controlos:
As Normas de Segurança de Informação são documentos subordinados à presente Política e, como tal, herdam os seus conceitos, responsabilidades e regras.
Cada Norma define requisitos de Segurança de Informaçao específicos para o seu âmbito, por exemplo, requisitos sobre salvaguarda de informação ou gestão de credenciais de utilizadores.
Por questões de sinergias operacionais, a UNITEL Money não define normas de Segurança de Informação próprias, mas suporta-se nas normas definidas pela UNITEL, S.A., sendo realizadas adaptações sempre que necessário.
Os Procedimentos de Segurança de Informação são documentos subordinadas à Política ou a uma Norma específica. Diferem da Norma por descreverem actividades operacionais com maior detalhe.
As regras descritas nas Normas ou Procedimentos são de cumprimento obrigatório. Caso não possam ser aplicáveis, devem ser registadas as devidas excepções.
Para facilitar a sua implementação e acompanhamento, as regras descritas nas Normas ou Procedimentos são transformadas em requisitos individuais.
A compilação de todos os requisitos extraídos das Normas e Procedimentos passam a ser, assim, a lista de regras que têm de ser cumpridas pela UNITEL Money, no âmbito da Segurança de Informação.
Em casos pontuais, podem ser criados novos requisitos sem o devido enquadramento numa Norma ou Procedimento.
Os controlos correspondem à forma como a empresa responde aos requisitos de Segurança de Informação. Os controlos podem ser documentais, processuais, técnicos, organizacionais, etc.
Os controlos são verificados periodicamente quanto à sua efectividade, permitindo assim avaliar o nível de cumprimento dos requisitos de Segurança de Informação e, consequentemente, das respectivas Normas.
Os casos em que a presente Política seja omissa ou em que não seja possível aplicar as regras supracitadas, devem ser comunicados à Direcção do Risco, Controlo Interno e Compliance da UNITEL Money através do endereço DL_UNITELMONEY-DRCIC-GESTAO-RISCO@unitel.co.ao.
A violação do estabelecido na presente Política ou Normas subordinadas será objecto de análise, podendo resultar sanção disciplinar ou outra medida legal.
A presente Política é aprovada pelo Conselho de Administração da UNITEL Money e revista, pela Direcção de Risco, Controlo Interno e Compliance, periodicamente ou sempre que se verifiquem alterações internas e/ou externas com impactos importantes sobre a mesma, sem prejuízo da iniciativa própria dos membros do Conselho de Administração.