Medidas técnicas e organizacionais

21 Dec 2023

Medidas técnicas e organizacionais

Estas Medidas Técnicas e de Organização abrangem todos os escritórios da CitNOW Group Corporate, além das unidades de investigação e desenvolvimento.

Sobre o CitNOW Group

Criado para promover a inovação e ajudar os retalhistas e fabricantes a proporcionar uma experiência excecional aos clientes, o CitNOW Group é movido pela visão de transformar a comunicação no sector automóvel.

O CitNOW Group oferece múltiplos serviços para as várias fases do percurso dos clientes. Saiba mais sobre cada serviço na nossa página «Marcas e Soluções»

O CitNOW Group é composto pela CitNOW, CitNOW Imaging, CitNOW Triage and Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) e Web1on1 (a exercer atividade com o nome CitNOW Conversations). A nossa dimensão é global, com uma presença em 82 países, mais de 19.500 instalações e inúmeras parcerias com fornecedores complementares do sector automóvel.

Finalidade e alcance

No CitNOW Group, tratamos os dados de clientes e consumidores em nome dos nossos clientes no sector automóvel. Como tal, no CitNOW Group respeitamos a privacidade e o valor destes dados, bem como a confiança que os nossos clientes depositam em nós.

Seguem-se as medidas técnicas e de organização para garantir a proteção e a segurança de dados. O objetivo é garantir a confidencialidade, a integridade e a disponibilidade dos dados tratados. Para obter informação mais pormenorizada sobre as instalações do centro de dados, clique nos links no final do documento.

Abordagem

Iremos:

Utilizar todas as medidas de segurança razoáveis, adequadas, práticas e eficazes para proteger os nossos bens e processos importantes e alcançar as nossas metas de segurança.
Cumprir todos os requisitos da ISO 27001:2022 no âmbito do nosso Sistema de Gestão da Segurança da Informação.
Utilizar a ISO 27002 como um enquadramento para orientar a nossa abordagem à gestão da segurança.
Rever continuamente como utilizamos as medidas de segurança , de modo a podermos melhorar a forma como protegemos a nossa atividade.
Proteger e gerir os nossos ativos de informação para que possamos cumprir as nossas responsabilidades contratuais, legislativas e de privacidade.
Utilizar todas as medidas razoáveis, adequadas, práticas e eficazes para transferir informação para Terceiros que necessitem de aceder a essa informação.
Assegurar a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD), o Regulamento Geral sobre a Proteção de Dados do Reino Unido (RGPD do Reino Unido) e o Regulamento Geral sobre a Proteção de Dados da UE (RGPD da UE) através dos nossos representantes RGPD no seio da empresa, bem como do nosso Responsável pela Proteção de Dados (RPD) independente subcontratado.
Utilizar o enquadramento e as diretrizes TISAX para cumprir os requisitos de segurança da informação dos consumidores e regulamentares no âmbito das políticas do CitNOW Group.

Políticas para segurança da informação
1. O CitNOW Group definiu um conjunto de Políticas de Segurança da Informação que foram aprovadas pelo Conselho de Administração e que estabelecem a abordagem da empresa à gestão dos seus objetivos de segurança da informação.
2. Foram implementadas políticas de segurança da Informação para responder aos requisitos criados pela estratégia empresarial, regulamentos, legislação, contratos e pelo ambiente atual e previsto de ameaças à segurança da informação. Estas políticas constituem ainda um requisito das nossas acreditações ISO 27001, Cyber Essentials Plus e TISAX (quando aplicável, por entidade). Estão em vigor as seguintes políticas para todo o pessoal:
  - Política de Controlo de Acessos
  - Política de Utilização Aceitável
  - Política de Gestão de Alterações
  - Política de Classificação da Informação
  - Política de Gestão de Incidentes de Segurança da Informação
  - Política de Transferência de Informação
  - Política de Dispositivos Móveis e Teletrabalho
  - Política de Segurança Física
  - Política de secretária e ecrã limpos
  - Sistema de gestão de palavras-passe
  - Política de Criptografia
  - Políticas de Recursos Humanos, incluindo a integração, a verificação e o afastamento de funcionários
  - Política de Utilização do Browser da Internet
3. Além das políticas acima referidas, podem existir outras políticas obrigatórias, com base na função do funcionário.
4. Todas as políticas de segurança da informação do CitNOW Group são revistas, pelo menos, uma vez por ano ou sempre que forem introduzidas alterações significativas que possam ter impacto numa política, independentemente da natureza da alteração (por exemplo, alterações comerciais, legislativas ou tecnológicas).
Gestão de Riscos
1. No CitNOW Group, temos uma abordagem abrangente, mas pragmática, à identificação, análise e tratamento de riscos, bem como à monitorização e revisão contínuas. Tal encontra-se definido no nosso documento «Avaliação de Riscos e Metodologia de Tratamento». Aborda os riscos decorrentes de questões internas e externas, quer se baseiem em ameaças ou oportunidades, e descreve a abordagem aos riscos decorrentes da legislação aplicável.
2. Implementámos igualmente um Registo de Riscos, utilizado para localizar e tratar os riscos identificados a partir da identificação e análise. É ainda utilizado para provar a atividade e demonstrar as ligações com os controlos e políticas selecionados pela empresa para responder às ameaças e oportunidades de risco.
Organização
1. Funções e responsabilidades: O CitNOW Group identificou as principais funções e responsabilidades no âmbito da Segurança da Informação e da Proteção de Dados. Estas funções específicas são atribuídas e comunicadas não só para uma gestão eficaz da segurança da informação, como também para que a comunicação do desempenho do sistema de gestão da segurança à direção.
  1. Chefe de Operações de Segurança e Risco: Liderar e gerir o comité da ISO para garantir a manutenção do SGSI e a acreditação ISO. Também é responsável pela Segurança da Informação dentro da empresa, bem como pela gestão de riscos.
  2. Gestor de Conformidade e Proteção de Dados do Grupo: Lidera a Equipa de Conformidade do Grupo e é responsável pelas áreas do SGSI relacionadas com a Proteção Jurídica, Contratual e de Dados. É responsável pelas práticas do RGPD nos nossos escritórios do Reino Unido e da UE.
  3. Comité da ISO: Funcionamento diário e manutenção do SGSI. Implementação de Políticas e Procedimentos e garantia da conformidade do pessoal. Gestão de Medidas Corretivas e Melhorias e Riscos e Tratamentos.
  4. Auditores internos: Todos os que frequentaram o curso recomendado de Auditor Interno ISO 27001 e, como tal, são responsáveis pela realização de todas as auditorias internas, em conformidade com o Programa de Auditoria.
  5. Conselho de Administração responsável pelo SGSI e pelo RGPD: Ponto de contacto para o comité da ISO e o Conselho de Administração do CitNOW Group. Responsável pela assinatura de novas políticas e procedimentos no âmbito da ISO e por garantir que estamos a trabalhar para atingir os nossos KPI. É igualmente responsável por subscrever a Aceitação de Riscos de acordo com a nossa Metodologia de Riscos.
  6. Responsável pela Proteção de Dados: Responsável por assegurar que o CitNOW Group aja em conformidade com todos os aspetos das Leis do RGPD, tanto do Reino Unido como da UE.
  7. Representante da UE: O nosso Representante da UE nomeado no âmbito do RGPD da UE. Responsável pela articulação com as autoridades de supervisão da UE em relação ao RGPD da UE e pela articulação com os Titulares de Dados com sede na UE.
  8. Defesa do RGPD: Contacto diário para o RGPD na empresa. Assegura a manutenção de Políticas em vigor, como o documento de Registos de Processamento do Artigo 30º, o registo de violações, etc. É igualmente responsável pela manutenção do Aviso de Privacidade e por assegurar o cumprimento diário das nossas responsabilidades para com os Titulares dos Dados e os clientes.
2. Separação de funções: Recorremos à separação de funções para garantir que não são atribuídas responsabilidades contraditórias à mesma pessoa e para impedir que uma única pessoa possa aceder, modificar ou utilizar ativos sem autorização ou deteção.
3. Informação sobre ameaças: Para compreender potenciais ameaças e vulnerabilidades que possam afetar a segurança da informação, recolhemos e analisamos informação sobre ameaças de fontes bem conhecidas. Isto garante que estamos cientes das ameaças que nos podem afetar e que podemos tomar as medidas adequadas quando necessário. Qualquer informação sobre ameaças que possa afetar a organização é registada no Registo de Riscos e segue o nosso método de tratamento de riscos.
4. Segurança da informação na gestão de projetos: Os Departamentos de Produto do grupo seguem um fluxo de trabalho de produto que inclui a necessidade de envolver a Conformidade nas fases iniciais do projeto, juntamente com a realização de avaliações de risco. Caso um projeto tenha impacto na Privacidade dos nossos clientes, funcionários ou consumidores, devem ser seguidos os nossos procedimentos de Avaliação do Impacto da Proteção de Dados. Se um projeto envolver terceiros, aplicar-se-á ainda o Procedimento de Segurança do Fornecedor.
5. Inventário de dados e outros ativos: Utilizamos um Rastreador de Inventário de Ativos de Informação e um Rastreador de Ativos Físicos, que acompanham os nossos ativos ao longo do seu ciclo de vida. O proprietário do ativo é responsável pela gestão adequada de um ativo durante todo o seu ciclo de vida e pela proteção do ativo de acordo com a Classificação da informação. Todos os ativos de informação do CitNOW Group devem ser devolvidos ao CitNOW Group após a rescisão do contrato de trabalho ou do contrato com terceiros.
6. Utilização aceitável da informação e de outros ativos associados: No CitNOW Group, temos uma Política de Utilização Aceitável que define as regras de utilização dos sistemas e ativos de informação da empresa. Realça a utilização responsável para fins comerciais, proíbe atividades não autorizadas e garante a segurança dos dados. Os funcionários devem seguir as diretrizes relativas a atualizações de software, utilização da Internet, comunicação por e-mail e comunicação de incidentes.
7. Manuseamento de ativos: Sempre que possível, o CitNOW Group evita a criação de ativos de informação em papel e tenta produzir apenas informação digital. A informação digital está protegida contra o acesso não autorizado, através de medidas que incluem Controlos de Acesso.
8. Classificação e rotulagem da informação: O CitNOW Group possui três níveis de confidencialidade definidos na «Matriz de Classificação da Informação»: Confidencial, Público e Interno. Toda a documentação deve ser claramente identificada com o rótulo de confidencialidade adequado e a informação classificada como «Confidencial» deve ser acompanhada de uma Lista de Pessoas Autorizadas.
9. Transferência de informação: O CitNOW Group possui uma política de transferência de informação que garante que todas as transferências de informação/dados no CitNOW Group, quer internas, externas ou para terceiros, cumprem os requisitos mínimos de segurança. Define funções e responsabilidades, métodos de transferência segura e orientações para o tratamento de vários formatos de informação, incluindo correio eletrónico, mensagens instantâneas e dispositivos de memória externa. A política aplica-se a todos os funcionários e terceiros, o que realça a importância da conformidade e da classificação correta da informação.
10. Controlo de acesso: O CitNOW Group dispõe de uma política de Controlo de Acesso que define as regras de acesso aos sistemas, equipamento, instalações e informação com base nas necessidades comerciais e de segurança. O acesso segue os princípios «negar por defeito» e «necessidade de saber». O Controlo de Acesso com Base em Funções (CABF) segue o princípio do «privilégio mínimo» e os direitos de acesso são revistos anualmente. O departamento de TI controla o acesso à rede e apenas o cede quando for necessário.
11. Responsabilidades dos utilizadores e gestão de palavras-passe: Todos os utilizadores de quaisquer sistemas do CitNOW Group devem ter uma ID de utilizador única e realizar uma autenticação por uma palavra-passe. As palavras-passe devem ser mantidas confidenciais e não devem ser distribuídas através de qualquer canal (por distribuição oral, escrita ou eletrónica, etc.) ou guardadas no sistema de informação, salvo num cofre de palavras-passe aprovado (ou Vault). Os utilizadores devem adotar boas práticas de segurança na seleção e utilização de palavras-passe e cumprir as obrigações descritas na política de palavras-passe.
12. Gestão do acesso dos utilizadores: A implementação técnica da atribuição ou remoção dos Direitos de Acesso Básicos dos Funcionários do CitNOW Group é realizada pelo Departamento de TI e pelo Departamento de RH. A implementação técnica da atribuição ou supressão dos direitos de acesso é levada a cabo pelos Proprietários do Sistema. A separação de funções e a separação de contas privilegiadas de contas não privilegiadas são implementadas sempre que possível e viável. Os direitos de acesso são monitorizados e revistos regularmente, pelo menos, uma vez por ano.
13. Segurança da informação nas relações com fornecedores: O CitNOW Group tem uma Política de Segurança do Fornecedor. O objetivo desta política é garantir que a troca de informação com terceiros ocorra de forma a que se possa tirar o máximo partido destas relações, protegendo simultaneamente os ativos de informação do CitNOW Group contra abusos. Todos os terceiros com acesso a dados ou informação têm em vigor um Acordo de Confidencialidade e Não Divulgação atualizado. Este acordo ou está incluído no contrato ou no acordo de serviço, consoante o tipo de fornecedor. Está igualmente implementado um procedimento interno para terceiros que garante que todos os funcionários seguem os passos corretos quando consideram um novo fornecedor e que a equipa de Conformidade está envolvida no processo, que garantirá que todas as verificações tenham sido realizadas.
14. Fornecedor que lida com a segurança com os fornecedores: Sempre que possível, trabalhamos com fornecedores que já satisfazem a maioria das nossas necessidades em matéria de Segurança da Informação para os serviços que nos prestam e que têm um bom historial de resposta às questões de segurança da informação de forma responsável. Selecionamos serviços líderes e de confiança que são conhecidos pela sua solidez, fiabilidade e segurança e, sempre que possível, procuramos fornecedores que já tenham obtido a ISO 27001 ou equivalente.
15. Monitorização, revisão e gestão da mudança de fornecedor: Todos os fornecedores do CitNOW Group são sujeitos a uma análise de segurança exaustiva antes de contratarem os seus serviços. Este processo de revisão é contínuo, com os fornecedores essenciais a serem avaliados anualmente e os fornecedores não essenciais a serem revistos no final do seu contrato ou antes da renovação do contrato. Na gestão das alterações aos serviços dos fornecedores, consideramos vários fatores para garantir os melhores resultados. Como melhor prática, tentamos pesquisar e avaliar três potenciais fornecedores antes da seleção final. As principais considerações incluem:
  - A natureza da mudança;
  - O tipo de fornecedor afetado e a importância crítica da informação, sistemas e processos comerciais e a reavaliação dos riscos;
  - A intimidade da relação; e
  - A nossa capacidade de influenciar ou controlar a mudança no fornecedor
16. Gestão de Incidentes de Segurança da Informação: Os procedimentos de resposta a incidentes são estabelecidos com antecedência para garantir uma abordagem estruturada durante os incidentes. Definem as funções e responsabilidades do pessoal na comunicação e resposta a incidentes de segurança, criando um quadro de gestão coerente. A tarefa inicial consiste em avaliar o evento e decidir sobre as medidas a tomar para minimizar as consequências para a Disponibilidade, Integridade ou Confidencialidade (DIC) da informação, prevenir novos incidentes, minimizar as perturbações e identificar quem tem de ser informado, incluindo o pessoal interno, clientes, fornecedores e entidades reguladoras, tendo em conta os requisitos do RGPD e da Lei de Proteção de Dados de 2018. Uma vez avaliada a situação, é nomeada uma pessoa para comunicar com as partes relevantes para resolver o evento. O tempo de resposta varia consoante a classificação e a gravidade do incidente. Se um incidente afetar os clientes, notificá-los-emos de acordo com as obrigações regulamentares e contratuais, dentro dos limites legalmente aplicáveis, após uma investigação exaustiva.
17. Segurança da informação durante a perturbação: O CitNOW Group identificou vários cenários que poderão afetar a atividade e documentou os passos para mitigar tais eventos como parte do Plano de Continuidade da Atividade. Este plano foi concebido para ajudar a retomar as operações em tempo útil caso ocorra um incidente que provoque perturbações. Os testes e a manutenção do plano de continuidade das atividades (PCA) do CitNOW Group são realizados para garantir a sua coerência com os nossos objetivos de segurança da informação, com base no seguinte:
  - Os testes de partes específicas do plano e do seu impacto na segurança da informação são levados a cabo com uma frequência que está relacionada com a probabilidade e o impacto do risco segundo a avaliação do risco.
  - As Auditorias ao PCA são planeadas regularmente em conformidade com o programa de auditoria.
  - As equipas de Conformidade e de TI revêm o próprio plano para garantir a sua relevância, sendo as alterações benéficas identificadas apresentadas ao Conselho de Administração.
  - Exercício completo de Continuidade da Atividade Empresarial realizado, pelo menos, uma vez por ano para garantir que continua a fazer parte de uma abordagem integrada da atividade e da sua capacidade de atingir as suas metas.
18. Legislação aplicável: A legislação, a regulamentação e os requisitos contratuais aplicáveis que afetam o CitNOW Group são identificados, documentados, monitorizados e revistos no decurso normal da atividade e no âmbito das análises de gestão.
19. Direitos de propriedade intelectual: O CitNOW Group delineia a sua abordagem à proteção dos próprios Direitos de Propriedade Intelectual (DPI) através das seguintes medidas, derivadas de políticas e acordos estabelecidos, incluindo
  - Termos e condições de emprego
  - Eliminação de dados
  - Acordos de confidencialidade ou de não divulgação
20. Proteção de registos: Os registos do CitNOW Group são protegidos contra perda, destruição, falsificação, acesso não autorizado e divulgação não autorizada, em conformidade com os requisitos legislativos, regulamentares, contratuais e comerciais. Os registos específicos são conservados em conformidade com o calendário de Retenção de Dados. São geridos pelo titular dos dados/do ativo relevante
21. Análise da segurança da informação: As políticas e os procedimentos de segurança da informação do CitNOW Group estão sujeitos a uma revisão independente em intervalos regulares e sempre que forem feitas alterações, como parte do nosso empenho na melhoria contínua do serviço. As Auditorias Internas são igualmente planeadas através do Programa de Auditoria, numa base anual, sendo atribuído pessoal adequado para a realização da auditoria.
22. Revisão técnica: Os testes de vulnerabilidade e de penetração são realizados anualmente em cada produto por uma empresa especializada em testes de penetração, os resultados são analisados e as vulnerabilidades corrigidas.
23. Procedimentos operacionais: O CitNOW Group tem implementados procedimentos operacionais que permitem que os Diretores e Chefes de Departamento decidam onde armazenar os procedimentos operacionais que melhor se adequam a eles e ao seu pessoal, bem como a criação dessa documentação.
Pessoal
1. Seleção: A Política Global de Recrutamento e Seleção do CitNOW Group inclui as atividades de triagem que devem ser empreendidas para todas as novas contratações. Estas incluem, mas não se limitam a, provas da sua elegibilidade para trabalhar e duas referências de emprego satisfatórias.
2. Termos e condições dos funcionários: Todos os novos funcionários do CitNOW Group recebem um Contrato específico para a entidade com a qual pretendem trabalhar aquando da Oferta de Emprego. Estes contratos impõem obrigações estritas de não divulgação e confidencialidade aos funcionários e descrevem as obrigações de cumprimento das políticas de segurança da informação.
3. Sensibilização, educação e formação em matéria de segurança da informação: Ao ingressar na empresa, o pessoal deve participar nas nossas sessões de formação «ADN», que o integram totalmente na empresa, incluindo sessões com membros da nossa Equipa de Segurança Organizacional. A formação e sensibilização contínuas são fornecidas e seguidas por todo o atual pessoal sob a forma de e-learning e campanhas de phishing. O pessoal é igualmente encorajado a procurar e a candidatar-se a formação que considere benéfica, com base nas suas competências.
4. Política disciplinar: A segurança da informação é importante e, por sua vez, o incumprimento reiterado das políticas do CitNOW Group ou a causa deliberada de uma violação grave dos dados pode resultar na adoção de medidas disciplinares. Sempre que necessário e aplicável, o departamento de RH do CitNOW Group agirá em conformidade com a política disciplinar para os funcionários do mercado do Reino Unido. A política disciplinar é específica para todos os funcionários no mercado do Reino Unido. Devido às diferentes legislações noutros mercados, a equipa de RH lidará com as questões disciplinares noutros mercados em conjunto com as leis do mercado local.
5. Rescisão ou mudança de emprego: Em caso de rescisão do contrato de trabalho, questões como a não divulgação e o comportamento em torno de dados confidenciais após deixar a empresa são abordadas em conformidade com os Termos e Condições de Trabalho e são recordadas aos funcionários aquando da entrevista de saída com a equipa de RH. A recuperação dos bens dos funcionários que deixam a empresa é feita de acordo com a Devolução de Bens e a remoção de todos os sistemas é feita segundo a Política de Controlo de Acesso.
6. Acordos de confidencialidade e de não divulgação: Acordos de confidencialidade e de não divulgação: Os acordos de confidencialidade e de não divulgação abordam os requisitos para a proteção de dados confidenciais mediante termos juridicamente vinculativos. Os acordos de confidencialidade ou de não divulgação são aplicáveis e necessários para todas as partes externas ou funcionários do CitNOW Group, seja com um acordo de não divulgação assinado em vigor seja com uma cláusula de não divulgação completa que integre um acordo.
7. Comunicação de eventos e falhas na segurança da informação: Cada funcionário, fornecedor ou outro terceiro que esteja em contacto com dados e/ou sistemas do CitNOW Group, ou dos seus clientes, deve comunicar qualquer falha do sistema, incidente ou evento que possa conduzir a um possível incidente de segurança. A informação sobre como comunicar tais eventos ou falhas faz parte da nossa formação contínua em segurança da informação para todos os funcionários do CitNOW Group, bem como do processo de integração de fornecedores e outros terceiros.
Física
1. Acesso físico: Entre as medidas de segurança física adotadas em todos os escritórios do CitNOW Group incluem-se:
  - Todos os funcionários têm de ter um cartão de acesso ou chave FOB para entrar nos escritórios, exceto se o escritório tiver uma receção com atendimento.
  - Todos os visitantes terão de se registar na receção e apresentar sempre um crachá de visitante.
  - Os funcionários devem estar atentos à presença de pessoas que se aproximam e interpelar pessoas desconhecidas dentro do escritório.
  - As portas do escritório principal devem estar sempre fechadas.
  - Todas as janelas e portas de acesso principal são trancadas no final de cada dia.
  - Os pontos de acesso a todos os escritórios são monitorizados por CCTV, que é fornecido pelos senhorios.
2. Áreas seguras: Todos os escritórios do CitNOW Group estão protegidos pelos seguintes controlos:
  - O equipamento de telecomunicações, servidores e redes é armazenado em segurança em salas de comunicações fechadas, tendo apenas alguns funcionários acesso a estas áreas.
  - O correio é entregue numa única caixa de correio trancada, apenas acessível ao nosso pessoal, sempre que possível.
  - Todos os funcionários têm à sua disposição armários para arquivos, cacifos ou gavetas de secretária com fechadura.
  - Se for necessário partilhar uma sala de reuniões durante vários dias, os materiais podem ser deixados durante a noite, desde que a sala esteja fechada à chave e que os materiais confidenciais não estejam à vista de quem passa.
  - Todas as reuniões de natureza «Confidencial» são realizadas em salas de reuniões específicas para evitar o risco de fuga de informação para o escritório open plan principal, onde não é necessário partilhá-la.
  - Os funcionários e outras pessoas que utilizam os gabinetes e as salas de reunião são alertados para a necessidade de evitar deixar materiais «confidenciais» onde possam estar à vista de outras pessoas, incluindo deixar quadros brancos com informação escrita, etc.
3. Política de limpeza de secretária e ecrã: A informação confidencial ou sensível, quer mantida eletronicamente ou em registos em papel, deve ser protegida de forma adequada e de acordo com a Política de Classificação da Informação sempre que os funcionários se ausentem do local de trabalho por um período prolongado e no final de cada dia de trabalho. Para facilitar este processo, foram criados princípios orientadores que abrangem tanto as formas não eletrónicas (por exemplo, ficheiros manuscritos/em papel) como as formas de informação eletrónica. Quando ausentes dos postos de trabalho, os funcionários devem bloquear o ecrã com uma palavra-passe.
4. Equipamento: Todo o CitNOW Group dispõe dos seguintes controlos para garantir a segurança do equipamento.
  - O CitNOW Group utiliza predominantemente serviços em nuvem de fornecedores consagrados e de grande dimensão, que são responsáveis pelo fornecimento de serviços públicos garantidos nos respetivos centros de dados.
  - Os cabos de energia e telecomunicações que transmitem dados ou suportam serviços de informação em todos os escritórios do CitNOW Group estão protegidos contra interceção, interferência ou danos.
  - Os cabos para servidores e equipamento de rede são armazenados de forma segura em salas de comunicações fechadas, às quais apenas alguns funcionários têm acesso e onde todos os cabos são bem guardados.
  - O equipamento especializado, como o equipamento de Proteção contra Incêndios, é conservado de acordo com os intervalos de manutenção e as especificações.
5. Suportes de armazenamento: Os funcionários do CitNOW Group apenas estão autorizados a utilizar nos seus computadores de trabalho suportes amovíveis fornecidos pela empresa e emitidos pelo departamento de TI. Estes suportes não devem ser ligados ou utilizados em computadores que não pertençam ao CitNOW Group ou não sejam alugados pelo mesmo, salvo autorização explícita do departamento de TI. Todos os dados pessoais ou da empresa armazenados nos ativos devem ser eliminados de forma segura através de tecnologias aprovadas, em função da sensibilidade dos dados. O CitNOW Group garante que todos os ativos são eliminados recorrendo a empresas de tratamento autorizadas e aprovadas pela WEEE. Os funcionários estão autorizados a levar equipamento da empresa, como, por exemplo, computadores portáteis, para fora do local sem autorização prévia ou necessidade de registo do evento, desde que sejam sempre seguidas todas as políticas de segurança para a proteção de ativos.
Tecnológica
1. Software malicioso: A utilização de software antivírus nos dispositivos dos funcionários deteta e elimina a grande maioria do malware (software malicioso) mais comum em circulação. Utilizamos produtos reconhecidos e altamente fiáveis para minimizar o risco de um utilizador encontrar malware. Sempre que for instalado software antimalware:
  - O software deve ser atualizado regularmente através da funcionalidade de atualização automática do software;
  - A verificação de malware deve ocorrer quando os ficheiros são acedidos.
2. Gestão de vulnerabilidades: O CitNOW Group executa periodicamente análises de vulnerabilidades, bem como testes de penetração anuais para detetar quaisquer vulnerabilidades não identificadas anteriormente. Sempre que surge uma vulnerabilidade, qualquer que seja a fonte, esta é analisada pela equipa de Conformidade, CIO, CTO e por quaisquer outras partes interessadas importantes. Quando é necessário tomar medidas para corrigir uma vulnerabilidade, dependendo da sua natureza, as medidas são tomadas imediatamente ou são agendadas para uma data específica.
3. Eliminação de informação: A utilização de armazéns de dados líderes mundiais permite ao CitNOW Group garantir um conceito de alta disponibilidade e segurança. As nossas Bases de Dados contêm IIP (informação de identificação pessoal) de Clientes e Clientes (definidas no artigo 6.º, em conformidade com a Lei de Proteção de Dados de 2018). Para a eliminação das IIP das nossas bases de dados, utilizamos conceitos de anonimização e, em seguida, a eliminação total após um período definido. Remoção da IIP das nossas bases de dados:
  
  Para cada eliminação, serão mantidos registos que indicam o seguinte:
  - Quem
  - Apagou o quê
  - Onde
  - Autorizado por quem
4. Prevenção de fuga de dados O CitNOW Group implementou técnicas de Prevenção de Perda de Dados que nos ajudam a garantir que os nossos dados sensíveis estão a ser acedidos e utilizados corretamente e não estão acessíveis a utilizadores desconhecidos ou anónimos:
  - Identificar os dados que requerem proteção, por exemplo, através de classificação;
  - Especificar quem tem acesso a qual informação e quando pode aceder à mesma;
  - Assegurar que o prestador de serviços dispõe de um mecanismo para controlar e monitorizar como, quando e quais os dados a que se acede, protegendo a informação contra a utilização, cópia e distribuição não autorizadas;
  - Controlar a informação partilhada com pessoas externas ou terceiros;
  - Salientar ao pessoal a necessidade de verificar os destinatários, classificar a informação, através da sensibilização, educação e formação em matéria de segurança da informação;
  - Tomar medidas para implementar o mascaramento de dados, quando adequado.
5. Cópias de segurança: As cópias de segurança de todos os sistemas essenciais para a atividade do CitNOW Group são efetuadas regularmente, sendo utilizadas cópias de segurança locais e na nuvem. Foram estabelecidas políticas de cópia de segurança para definir os requisitos e os períodos de retenção para a cópia de segurança de informação, software e sistemas em cada entidade.
6. Disponibilidade de instalações de tratamento de informação: No CitNOW Group, recorremos predominantemente a serviços de nuvem para desenvolvermos o nosso trabalho. Estes sistemas integram uma redundância inerente nas suas arquiteturas robustas e de elevada disponibilidade.
7. Registo e monitorização: O CitNOW Group realiza o registo de eventos para produtos de todas as entidades através de vários softwares de monitorização. Os registos são acedidos como e quando necessário e contêm informação como, por exemplo, tentativas de registo de utilizadores e erros nas aplicações. A informação de registo apenas é acessível a utilizadores com os privilégios adequados: os utilizadores têm de ter uma conta no sistema especificado com as devidas autorizações.
8. Controlos de software: O CitNOW Group tem implementadas várias medidas para o controlo das alterações de software nos sistemas operativos. Todas as alterações ao software operativo são geridas de acordo com a gestão de Alterações e têm em conta os requisitos empresariais para a alteração e o aspeto de segurança da alteração.
9. Segurança de rede: As redes internas são geridas pelo departamento de TI. O departamento de TI é responsável pela manutenção e atualização de todas as atividades de rede. Como utilizamos principalmente serviços de nuvem, a segurança dos serviços de rede é principalmente da responsabilidade dos fornecedores de serviços de nuvem. Todos os serviços de Internet e nuvem possuem um rigoroso acordo SLA entre o CitNOW Group e o fornecedor. Todos os acessos aos servidores ou sistemas do CitNOW Group são geridos por autenticação. As redes de visitantes sem acesso aos sistemas principais estão disponíveis para os visitantes.
10. Utilização de criptografia: O CitNOW Group tem uma política criptográfica em vigor que descreve a nossa abordagem à utilização de controlos criptográficos. Isto assegura que a organização mantenha os mais elevados padrões de encriptação possíveis. Todas as pessoas do CitNOW Group são responsáveis pela garantia de que os dados internos/confidenciais são encriptados antes de saírem das instalações da empresa. Considerações sobre a gestão de chaves, descreve os requisitos para a gestão de chaves criptográficas ao longo de todo o seu ciclo de vida, incluindo a geração, armazenamento, arquivo, recuperação, distribuição, desativação e destruição de chaves. Os algoritmos criptográficos, os comprimentos das chaves e as práticas de utilização devem ser selecionados segundo as melhores práticas.
11. Política de desenvolvimento seguro: A política reflete a nossa abordagem ao desenvolvimento seguro dos nossos serviços, produtos e websites e aplica-se a todas as equipas de desenvolvimento. São consideradas e seguidas normas de codificação segura.
12. Testes de aceitação: São realizados testes em todas as alterações para garantir a segurança, robustez, correção e desempenho da aplicação. Os testes de aceitação são uma prática normal para os nossos programadores e fazem parte do nosso ciclo de implementação: todas as novas funcionalidades são testadas individualmente antes da implementação. Temos uma segregação de funções, com técnicos de teste nomeados em cada entidade para integrar cada equipa de desenvolvimento.
13. Programadores subcontratados: Todos os programadores subcontratados são avaliados para garantir a sua qualidade e competência. Os Contratantes individuais são tratados da mesma forma que os programadores do CitNOW Group, aplicando-se a todos as mesmas políticas e controlos de programação, tanto para programações subcontratadas como para programações internas.
14. Separação de ambientes: Para reduzir o risco de atividades maliciosas, alterações não autorizadas ou acidentais de utilizações internas, todos os produtos do CitNOW Group têm ambientes de teste/desenvolvimento e produção separados, seguindo as melhores práticas do sector, utilizamos predominantemente os seguintes ambientes em cada entidade:
  - Programação - para programação
  - Preparação/Teste - para testes internos
  - Ambiente de produção - ambiente operacional em direto
15. Gestão de alterações: As alterações significativas na empresa, processos de negócio, instalações e sistemas de processamento de informação no CitNOW Group estão sujeitas a uma análise formal e ao acordo do Conselho de Administração.
16. Controlo de alterações: Os nossos procedimentos de controlo de alterações na programação enquadram-se na gestão de alterações da nossa política de controlo de alterações. Todas as alterações ao sistema são realizadas através de um processo de revisão e teste de código por pares, em conformidade com os nossos procedimentos documentados.
17. Proteção dos dados de teste: Não são utilizados dados pessoais para programação ou teste em circunstâncias normais em qualquer produto do CitNOW Group.
Políticas adicionais de apoio
1. O CitNOW Group possui ainda uma série de outras políticas no seio da empresa que ajudam a apoiar as nossas práticas de segurança da informação, incluindo, mas não se limitando a:
  - Política Global Antissuborno do Grupo
  - Política Disciplinar
  - Política Global de Denúncias do Grupo
  - Política Global de Saúde e Segurança
  - Política sobre Escravatura Moderna
  - Procedimento de Notificação de Violações
Certificações
1. ISO 27001: A CitNOW Group Limited possui a certificação ISO 27001 do BSI (número de certificado - IS 785456).
2. Cyber Essentials Plus: A CitNOW Group Limited possui certificação Cyber Essentials Plus da CyberSmart (número de certificado - b5aea281-ec18-4306-9374-beba1ef3fe98)
3. TISAX: A Associação ENX apoia a aceitação comum das avaliações de segurança da informação no sector automóvel mediante o TISAX (Trusted Information Security Assessment Exchange), em nome da VDA. As Avaliações TISAX são realizadas por prestadores de serviços de auditoria que demonstram a sua qualificação em intervalos regulares. O TISAX e os resultados do TISAX não se destinam ao público em geral.
4. Para a Zype TV Ltd (a exercer atividade com o nome CitNOW) e a CitNOW Video GMBH, a confidencialidade, a disponibilidade e a integridade dos dados são de grande importância. Adotámos extensas medidas de proteção de dados sensíveis e confidenciais. Por isso, seguimos o catálogo de perguntas sobre segurança da informação da Associação Alemã do Sector Automóvel (VDA ISA). A avaliação foi feita por um fornecedor de auditoria, neste caso o fornecedor de auditoria TISAX, TUV SUD GmbH. O resultado pode ser consultado exclusivamente no portal ENX.
Subcontratantes ulteriores
Todos os subcontratantes ulteriores utilizados por cada entidade no CitNOW Group encontram-se enunciados na página do subcontratante ulterior do website do CitNOW Group.

Estes subcontratantes estão sujeitos a alterações ao longo do tempo, à medida que vão sendo lançadas novas funcionalidades e atualizações do sistema. Na seleção de novos subcontratantes, são tomadas medidas para garantir a aplicação das devidas diligências em matéria de segurança e privacidade.

Em conformidade com o nosso Procedimento para Fornecedores Terceiros, o CitNOW Group garante a segurança com fornecedores terceiros, avaliando meticulosamente as respetivas medidas de segurança e normas de conformidade. Para reforçar este compromisso, estabelecemos Acordos de Tratamento de Dados sólidos com todos os subcontratantes. Além disso, implementamos mecanismos de transferência adicionais, quando necessário, para cumprir os regulamentos de proteção de dados, incluindo a conclusão de Cláusulas Contratuais-Tipo, Acordos Internacionais de Transferência de Dados e/ou Avaliações de Risco de Transferência.
Sede do CitNOW Group
Todas as sedes CitNOW Group podem ser encontradas no website do CitNOW Group.

Última atualização: 27 Aug 2025

« Voltar à página legal