Este site utiliza cookies para lhe proporcionar uma melhor experiência de utilização. Ao navegar aceita a política de cookies.
OK, ACEITO

Boas Práticas


Atualmente, os dados pessoais são o alvo de todas as atenções. Considerados o petróleo e também o ouro que muitos procuram, por vezes de forma criminosa, de que são exemplos os ciberataques de que vamos tendo notícia diariamente, nunca fez tanto sentido preocuparmo-nos com a proteção de dados.

É, hoje, consensual que investir na proteção de dados é fator decisivo de confiança.

Neste contexto, o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Lei que assegura a sua execução na ordem jurídica nacional (Lei n.º 58/2019, de 8 de agosto), vieram reivindicar a atenção de todos aqueles que em Portugal tratam dados pessoais, o que tem exigido às organizações, nomeadamente à Universidade de Coimbra (UC), o reforço de procedimentos de segurança que salvaguardem a confidencialidade, a integridade, a disponibilidade e a autenticidade da informação.

Importa, pois, que cada colaborador desta instituição esteja ciente dos seus direitos e deveres, da importância dos seus comportamentos do dia-a-dia, especialmente no que se refere à utilização das ferramentas informáticas, mas também no manuseamento de documentos físicos que contenham dados pessoais.

Como tal, de seguida listam-se algumas das boas práticas que ajudam a mitigar o risco associado à violação da privacidade.

Responsáveis de Unidade/Serviço 
  • Promover a formação permanente e contínua dos colaboradores, sobre proteção de dados, relativamente aos procedimentos de segurança da informação;

  • Definir e sensibilizar os colaboradores para as suas responsabilidades pela segurança da informação, nomeadamente ao nível da proteção dos acessos e das credenciais que lhes são atribuídas;

  • Definir a política de eliminação de perfis de utilizadores que cessem a necessidade de acesso aos dados pessoais;

  • Definir a política de perfis de acesso para cada colaborador, de acordo com as suas funções;

  • Dotar a UC de meios para reagir imediata e adequadamente à situação em caso de violação dos dados;

  • Submeter a política de acessos a parecer do EPD-UC;

  • Garantir que a política de acesso ao software e aos mecanismos informáticos de controlo e gravação das imagens dos sistemas de videovigilância instalados na UC, é assegurada ao EPD.


Técnicos de sistemas   

Sistemas informáticos e autenticação -

  • Encriptar os dados (backup, leitura e escrita);

  • Fazer cópias de segurança (backups), contra o risco de perda acidental

  • Guardar as cópias de segurança em localização física distinta da localização dos sistemas;

  • Definir e implementar políticas de disaster recovery;

  • Proteger os sistemas contra software malicioso (vírus, malware, phishing, ransomeware, adware, etc.);

  • Proteger os sistemas por firewall contra acessos indevidos;

  • Definir perfis de acesso para cada colaborador, de acordo com as suas funções;

  • Restringir e controlar os acessos ao datacenter;

  • Restringir e controlar o acesso físico aos equipamentos (utilização de cadeados, por exemplo);

  • Definir as responsabilidades dos utilizadores ao nível da proteção dos acessos e das credenciais que lhes são atribuídas;

  • Garantir que o acesso remoto aos servidores e aos sistemas é realizado através de ligações seguras por VPN;

  • Definir e implementar a política de eliminação de perfis de utilizadores que cessem a necessidade de acesso aos dados pessoais;

  • Garantir que as credenciais de autenticação (utilizador/palavra-passe) são únicas;

  • Guardar as passwords em softwares encriptados – KeePass Safe;

  • Garantir a seguinte composição das passwords (com padrão de autenticação do tipo 2FA):

    • mínimo 13 caracteres incluindo, pelo menos, 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas/maiúsculas, algarismos e caracteres especiais (~!@#$%^&*()_+|`-=\{}[]:“;‘<>?,./);
    • frases conhecidas pelo utilizador, sem caracter de “espaço”.

Colaboradores em geral 

- Sistemas informáticos e autenticações - 

  • Fazer cópias de segurança (backups), contra o risco de perda acidental;

  • Utilizar ligações seguras por VPN e não utilizar redes abertas, quando acede remotamente aos servidores e aos sistemas da UC;

  • Tomar especial atenção na forma como se utilizam os serviços cloud;

  • Garantir uma das seguintes composições das passwords:

    • mínimo 9 caracteres incluindo 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas/maiúsculas, algarismos e caracteres especiais (~!@#$%^&*()_+|`-=\{}[]:“;‘<>?,./);
    • frases conhecidas pelo utilizador (para facilitar a memorização), adicionando caracteres especiais em substituição de algumas letras (exemplo: S por $, B por 3, A por 4, O por 0, etc...), sem caracter de “espaço”;
  • Não partilhar e manter protegidas as passwords e os códigos de acesso às instalações e aos sistemas da UC; 

  • Não partilhar e não conceder acesso a terceiros ao correio eletrónico para fins profissionais;

  • Não gravar as passwords de forma automática nos sistemas e nos browsers;

  • Não utilizar as mesmas passwords para os sistemas da UC e sistemas pessoais;

  • Utilizar passwords seguras, mas fáceis de memorizar;

  • Manter passwords confidenciais;

  • Memorizar as passwords, não devendo ser escritas em papéis ou locais visíveis;

  • Guardar as passwords em softwares encriptados – KeePass Safe;

  • Proteger todos os ficheiros de trabalho que contenham dados pessoais, usando password para abertura e edição; 

  • Não instalar software não autorizado em qualquer computador ou outro dispositivo que utilize no âmbito da atividade profissional; 

  • Utilizar o e-mail de forma prudente e ponderada (não reenviar emails com brincadeiras ou correntes de sorte);

  • Não abrir mensagens de e-mail com origem desconhecida ou com anexos que incluam ficheiros executáveis, salvo se tiverem origem fidedigna e se não indiciarem ser phishing ou malware

  • Verificar sempre os endereços dos destinatários;

  • Não seguir as ligações a links de emails suspeitos;

  • Enviar informações críticas ou sensíveis, sempre que possível,  em formato encriptado;

  • Caso se detete um vírus no computador ou comportamento anormal desligar a internet e desligar o cabo de rede se existir, não desligar o computador, contactar alguém da área de informática;

  • Sempre que aceder à internet certificar-se que o site é seguro (duplo clique sobre o cadeado ou aceder pelo endereço começado por https://);

  • Não utilizar serviços públicos de email, de transferência de ficheiros e ou serviços cloud para troca de dados da organização;

  • Não utilizar ferramentas ou redes sociais (WhatsApp, ou outras) para comunicar assuntos contendo dados pessoais, nem enviar informação da organização por emails que não sejam institucionais;

  • Não registar o endereço de email profissional em redes sociais;

  • Não criar cópias ou arquivos contendo dados pessoais, a menos que seja prévia e expressamente autorizado;

  • Não recolher imagens ou som de pessoas dentro da UC, salvo situações previstas em regulamento interno, por decisão do responsável ou previamente autorizadas pelos titulares;

  • Não publicar imagens ou som de terceiros em sites ou nas redes sociais, sem que tal esteja devida e previamente autorizado pelos respetivos titulares;

  • Comunicar superiormente, caso detete que tem acesso a dados pessoais fora da sua função;

  • Reportar eventual violação de dados pessoais, efetiva ou potencial, ao EPD-UC.

- Outros cuidados e boas práticas -

  • Bloquear o computador sempre que se ausente;

  • Não tirar screenshots ou fotografias ou a dados pessoais;

  • Não guardar dados sensíveis localmente no computador;

  • Não utilizar o verso de fotocópias com dados pessoais como folhas de rascunho;

  • Guardar todas as pastas com dados pessoais em local seguro e de acesso condicionado (armários com portas fechadas à chave, por exemplo);

  • Manter o posto de trabalho arrumado e cumprir o princípio de “clean desk”;

  • Não deixar documentos soltos em cima das secretárias, arquivá-los numa pasta e colocar no armário ou numa gaveta com chave;

  • Não fornecer qualquer informação com dados pessoais pelo telefone, a menos que seja possível certificar a identidade da pessoa que solicita a informação;

  • Recolher as impressões para impressora de rede o mais rápido possível;

  • Não recolher, tratar e/ou armazenar dados pessoais sem estar para isso autorizado; 

  • Não recolher, tratar e/ou armazenar dados pessoais sem as devidas medidas de segurança;

  • Não divulgar dados pessoais a terceiros, salvo outros colegas da UC e só dentro do estritamente necessário ao exercício das atividades que lhe estão acometidas;

  • Recolher apenas os dados pessoais dos estudantes, trabalhadores, fornecedores, clientes ou utentes, que sejam estritamente necessários para o exercício da atividade e seguindo os procedimentos instituídos. 

Última revisão a 30/09/2020