Boas práticas

• Promover a formação permanente e contínua dos colaboradores, sobre proteção de dados, relativamente aos procedimentos de segurança da informação;

• Definir e sensibilizar os colaboradores para as suas responsabilidades pela segurança da informação, nomeadamente ao nível da proteção dos acessos e das credenciais que lhes são atribuídas;

• Definir a política de acessos de acordo com cada perfil funcional, incluindo a atribuição e revogação dos acessos, em articulação com o EPD-UC;

• Assegurar os meios para reagir adequada e atempadamente em caso de violação dos dados;

• Definir a política dos sistemas de videovigilância na UC e garantir ao EPD-UC o acesso aos sistemas de controlo e gravação das imagens.

- Sistemas informáticos e autenticação -

• Usar preferencialmente equipamentos que assegurem a encriptação dos discos rígidos e outros suportes de armazenamento de ficheiros;

• Fazer cópias de segurança (backups), contra o risco de perda acidental;

• Guardar as cópias de segurança em localização física distinta da localização dos sistemas;

• Definir e implementar políticas de disaster recovery;

• Proteger os sistemas contra software malicioso (vírus, malware, phishing, ransomeware, adware, etc.);

• Proteger os sistemas por firewall contra acessos indevidos;

• Restringir e controlar os acessos ao datacenter;

• Restringir e controlar o acesso físico aos equipamentos (utilização de cadeados, por exemplo);

• Definir as responsabilidades dos utilizadores ao nível da proteção dos acessos e das credenciais que lhes são atribuídas;

• Efetuar o acesso remoto aos Recursos de TIC da UC apenas através de ligações seguras por VPN ou equivalente;

• Colaborar na definição e implementar a política de acessos de acordo com cada perfil funcional, incluindo a atribuição e revogação dos acessos, em articulação com o EPD-UC;

• Garantir que as credenciais de autenticação (utilizador/palavra-passe) são únicas;

• Guardar as passwords em softwares encriptados – KeePass Safe;

• Garantir a seguinte composição das passwords (com padrão de autenticação do tipo 2FA):

  • mínimo 13 caracteres incluindo, pelo menos, 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas/maiúsculas, algarismos e caracteres especiais (~!@#$%^&*()_+|`-=\{}[]:“;‘<>?,./);
  • frases conhecidas pelo utilizador, sem caracter de “espaço”.

- Sistemas informáticos e autenticações -

• Utilizar palavras-passe com grau de complexidade elevado, designadamente com as seguintes características:

  • Mínimo de 9 caracteres, incluindo 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas/maiúsculas, algarismos e caracteres especiais (~!@#$%^&*()_+|`-=\{}[]:“;‘<>?,./);
  • Frases conhecidas pelo Utilizador, de modo a facilitar a memorização, adicionando, sem caracter de “espaço”, caracteres especiais em substituição de algumas letras, designadamente, entre outros exemplos, S por $, B por 3, A por 4, O por 0;

• Não partilhar e manter protegidas as credenciais e os códigos de acesso às instalações e aos Recursos de TIC da UC, procurando memorizar e evitando o seu registo em locais de acesso livre;

• Não gravar as credenciais de forma automática nos sistemas e nos browsers sem assegurar que as mesmas fiquem encriptadas com chave privada do Utilizador;

• Não utilizar as mesmas credenciais para os Recursos de TIC da UC e para outros sistemas externos à UC;

• Bloquear o computador sempre que se ausente do seu posto de trabalho;

• Desligar o computador, no final da prestação laboral diária, salvo quando o contrário seja solicitado pelos serviços competentes, por razões de ordem técnica;

• Não reutilizar um equipamento que anteriormente haja estado afeto a outro Utilizador ou função sem previamente articular a alteração com os serviços competentes encarregues da gestão do parque informático;

• Comunicar ao superior hierárquico, caso detete que tem acesso a dados pessoais não necessários ao exercício das suas funções;

• Não instalar software não autorizado em qualquer computador ou outro dispositivo que utilize no âmbito da atividade profissional;

• Não utilizar ferramentas ou aplicações não autorizadas pela UC, nem enviar informação da UC por meios não autorizados e que não sejam institucionais;

• Fazer cópias de segurança da informação armazenada localmente, como forma de proteção contra o risco de perda acidental de informação;

• Privilegiar o uso de sistemas de armazenamento e partilha de ficheiros disponibilizados pela UC;

• Tomar especial atenção na forma como se utilizam os serviços cloud;

• Utilizar o e-mail de forma prudente e ponderada;

• Não enviar ou gravar ficheiros que contenham dados pessoais para além do estritamente necessário para execução das suas funções e, neste último caso, protegê-los usando palavra-passe;

• Evitar guardar ficheiros que contenham categorias especiais de dados pessoais (“dados sensíveis”);

• Enviar informações críticas ou sensíveis, sempre que possível, em formato encriptado;

• Contactar os serviços técnicos de apoio informático o mais rapidamente possível, em caso de deteção de vírus no computador ou comportamento anómalo;

• Evitar a utilização de redes públicas;

• Não registar o endereço de correio eletrónico profissional em redes sociais para uso pessoal;

• Não fazer capturas de ecrã que contenham dados pessoais;

• Não recolher imagens ou som de pessoas nas instalações da UC, salvo com autorização dos titulares dos dados em causa e nas demais situações legalmente previstas;

• Não publicar imagens ou som de terceiros em sítios da Internet ou nas redes sociais, sem que tal esteja devida e previamente autorizado pelos titulares dos dados em causa;

• Não divulgar dados pessoais a terceiros, salvo a outros Utilizadores da UC e só dentro do estritamente necessário ao exercício das atividades que lhe estão cometidas;

• Recolher apenas os dados pessoais de estudantes, trabalhadores, fornecedores, clientes ou utentes que sejam estritamente necessários para o exercício da respetiva atividade profissional e observando sempre os procedimentos em vigor;

• Não executar anexos ou seguir ligações em mensagens de correio eletrónico com origem desconhecida;

• Verificar sempre os endereços dos destinatários;

• Reportar ao EPD-UC todas as situações que possam consubstanciar uma violação de dados pessoais, efetivas ou potenciais.

- Outros cuidados e boas práticas -

• Não guardar dados sensíveis localmente no computador;

• Não utilizar o verso de fotocópias com dados pessoais como folhas de rascunho;

• Guardar todas as pastas com dados pessoais em local seguro e de acesso condicionado (armários com portas fechadas à chave, por exemplo);

• Manter o posto de trabalho arrumado e cumprir o princípio de “clean desk”;

• Não deixar documentos soltos em cima das secretárias, arquivá-los numa pasta e colocar no armário ou numa gaveta com chave;

• Não fornecer qualquer informação com dados pessoais pelo telefone, a menos que seja possível certificar a identidade da pessoa que solicita a informação;

• Recolher as impressões para impressora de rede o mais rápido possível;

• Não recolher, tratar e/ou armazenar dados pessoais sem estar para isso autorizado;

• Não recolher, tratar e/ou armazenar dados pessoais sem as devidas medidas de segurança.