Política de Segurança

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

The Garrigues Group has taken the decision to manage its information systems (ISMS) using international best practices, in line with ISO/IEC standard 27001 and the Spanish National Security System (ENS).

O Grupo Garrigues decidiu gerir os Sistemas da Informação (doravante, SGSI) utilizando as melhores práticas internacionais, segundo a norma ISO/IEC 27001 e o Esquema Nacional de Segurança (ENS).

Atendendo ao que antecede, a Política de Segurança da Informação é elaborada no cumprimento das exigências legais previstas nas seguintes disposições normativas:

  • Real Decreto 311/2022, de 3 de maio, que regula o Esquema Nacional de Segurança (ENS).
     
  • Norma ISO27001: 2022.
     
  • Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento geral de proteção de dados), e Lei Orgânica 3/2018, de 5 de dezembro, relativa à Proteção de Dados Pessoais e garantia dos direitos digitais (LOPD-gdd).
     

A Política de Segurança dos Sistemas de Informação tem um duplo Objetivo:

  • Por um lado, consiste em definir o quadro de referência que permita proteger as características de segurança dos ativos que suportam os processos do Grupo Garrigues. O que se faz, considerando os resultados da análise de riscos realizada, segundo os requisitos estratégicos do negócio alinhados com os requisitos de segurança, assim como os requisitos legais e contratuais. Como exige o já mencionado quadro de referência, esta Política de Segurança serve para estabelecer os princípios fundamentais de segurança dos Sistemas de Informação que são desenvolvidos nas normas, procedimentos, instruções técnicas, registos ou outros documentos necessários para especificar a utilização da informação, dos sistemas e dos ativos que os suportam.
     
  • Por outro, a Política de Segurança da Informação da Garrigues tem como objetivo estabelecer as medidas de segurança de natureza organizativa, física e lógica que se consideram adequadas para proteger as características de segurança dos referidos ativos, partindo do pressuposto de que a segurança deve ser concebida como um processo integral transversal (que compreende todos os elementos técnicos, humanos, materiais e organizativos relacionados com os sistemas de informação e comunicações), e não deve ser considerada um custo na gestão, mas antes um investimento para evitar impactos negativos sobre o negócio.
     

Esta Política aplica-se aos Sistemas de Informação relativos ao processo de clientes utilizado pelo Grupo Garrigues no desenvolvimento das suas atividades. Qualquer norma, procedimento ou documento interno que trate algum aspeto particular da segurança relacionado com os Sistemas de Informação deve respeitar e cumprir o estabelecido nesta Política.

A Política estabelecida aplica-se a todos os funcionários, sócios e outros membros de sociedades do Grupo Garrigues integradas nos sistemas da Garrigues, assim como a colaboradores e terceiros relacionados com as atividades e processos de negócio definidos no âmbito do SGSI, que suportam os processos relacionados com clientes do Grupo Garrigues (doravante, “utilizadores da informação” ou, simplesmente, “utilizadores”).

Os princípios fundamentais da Política de Segurança dos Sistemas de Informação são:
 

  1. Princípio da conformidade normativa: todos os sistemas de informação respeitarão as normas legais, regulamentares e setoriais aplicáveis que afetem a segurança da informação, em especial as relacionadas com a proteção de dados pessoais, segurança dos sistemas, dados, comunicações e serviços eletrónicos.
     
  2. Princípio da gestão do risco: os riscos devem ser minimizados até níveis aceitáveis e deve ser procurado o equilíbrio entre os controlos de segurança e a natureza da informação. Os objetivos de segurança devem ser estabelecidos, ser revistos e coerentes com os aspetos de segurança da informação.
     
  3. Princípio da consciencialização e formação: serão articulados programas de formação, sensibilização e campanhas de consciencialização para todos os utilizadores com acesso à informação, em matéria de segurança da informação.
     
  4. Princípios da confidencialidade, integridade, disponibilidade, rastreabilidade e autenticidade:
     
    • Deve ser garantida a confidencialidade da informação, de modo que apenas tenham acesso à mesma as pessoas autorizadas.
       
    • Deverá ser garantida a integridade da informação com que se trabalha, de modo que seja concisa e precisa, acautelando-se o rigor, tanto do seu conteúdo como dos processos envolvidos.
       
    • Deve ser garantida a disponibilidade da informação, assegurando-se a continuidade do negócio apoiado pelos serviços da informação através de planos de contingência.
       
    • Deve ser garantida a rastreabilidade da informação, para assegurar que as ações de uma entidade (pessoa ou processo) possam ser rastreadas de forma inequívoca até essa entidade.
       
    • Deve-se garantir a autenticidade da informação, para assegurar a identidade da entidade (pessoa ou processo) que trata essa informação.
       
  5. Princípio da proporcionalidade: a implementação de controlos que mitiguem os riscos de segurança dos ativos deve ser feita procurando o equilíbrio entre as medidas de segurança, a natureza da informação e o risco.
     
  6. Princípio da responsabilidade: todos os membros do Grupo GARRIGUES devem ser responsáveis na sua conduta quanto à segurança da informação, cumprindo as normas e controlos estabelecidos.
     
  7. Princípio da melhoria continua: será revisto de forma recorrente o nível de eficácia dos controlos de segurança implementados no escritório para aumentar a capacidade de adaptação à permanente evolução do risco e do ambiente tecnológico.
     

Esta política é o quadro de referência para a definição de objetivos em matéria de segurança.

A Garrigues possui um plano de continuidade do negócio para garantir a disponibilidade dos sistemas e serviços críticos. Mais concretamente, a Garrigues elaborou:

  • Um plano de continuidade do negócio.
     
  • Uma análise de impacto do negócio.
     
  • Um plano de recuperação perante catástrofes.
     

O Plano de Continuidade da Garrigues foi concebido para apoiar a operação contínua das atividades de suporte essenciais da Garrigues, reduzir os danos e o impacto de incidentes inesperados nos serviços, melhorar a capacidade de recuperar rapidamente o negócio.

De acordo com o disposto no artigo 33.º do RD 311/2022, de 3 de maio, a Garrigues notificará aos seus clientes as ocorrências que tenham um impacto significativo na segurança da informação tratada e dos serviços prestados em relação à categorização do sistema ENS.

Qualquer terceiro que aceda à informação da Garrigues, no âmbito de uma prestação de serviços, deverá conhecer esta Política de Segurança e as normas associadas, e comprometer-se a cumprir devidamente as obrigações que dela decorrem, podendo desenvolver, se for o caso, os seus próprios procedimentos operacionais para esse efeito. Serão estabelecidos procedimentos específicos de reporte e resolução de incidentes. Exigir-se-á que o pessoal desses terceiros possua uma consciencialização adequada em matéria de segurança, pelo menos com um nível equivalente ao estabelecido nesta Política de Segurança.

Se necessitar de alguma informação adicional sobre a nossa política de segurança ou tiver alguma sugestão relativa à mesma, pode enviar uma mensagem de correio eletrónico para o seguinte endereço: [email protected]