1. Introdução e Objetivo
A WELLPARTNERS UNIPESSOAL LDA, detentora da marca DIOSCOPE, reconhece que a informação constitui um ativo crítico para o desenvolvimento da sua atividade, nomeadamente na prestação de serviços de formação online através da plataforma DIOSCOPE.
A presente Política de Segurança da Informação estabelece as diretrizes, princípios e responsabilidades para a proteção dos ativos de informação da organização, garantindo a confidencialidade, integridade e disponibilidade dos dados.
1.1 Objetivos
- Estabelecer um quadro de referência para a gestão da segurança da informação
- Proteger os ativos de informação contra ameaças internas e externas
- Garantir a conformidade com a legislação portuguesa e europeia
- Assegurar a continuidade das operações
- Preservar a confiança dos clientes e parceiros
2. Âmbito de Aplicação
Esta política aplica-se a:
Pessoas
Todos os colaboradores, prestadores de serviços, parceiros e terceiros que acedam ou tratem informação da WELLPARTNERS.
Sistemas
- LearnWorlds - Plataforma de gestão de cursos e utilizadores
- Supabase - Integração e armazenamento de ficheiros SCORM
- Sistemas de correio eletrónico
- Equipamentos informáticos e dispositivos móveis
Localizações
Todas as instalações e locais onde se processe informação da organização, incluindo trabalho remoto.
3. Enquadramento Legal
3.1 Legislação Europeia
- RGPD - Regulamento (UE) 2016/679 - Regulamento Geral sobre a Proteção de Dados
- Diretiva NIS 2 - Diretiva (UE) 2022/2555 - Cibersegurança
- Regulamento ePrivacy - Privacidade nas comunicações eletrónicas
3.2 Legislação Portuguesa
| Diploma | Descrição |
|---|---|
| Lei n.º 58/2019 | Execução do RGPD na ordem jurídica nacional |
| Lei n.º 46/2018 | Regime jurídico da segurança do ciberespaço |
| Lei n.º 109/2009 | Lei do Cibercrime |
| Lei n.º 34/2024 | Transposição da Diretiva NIS 2 |
3.3 Entidades Reguladoras
- CNPD - Comissão Nacional de Proteção de Dados
- CNCS - Centro Nacional de Cibersegurança
- ANACOM - Autoridade Nacional de Comunicações
4. Princípios de Segurança
A WELLPARTNERS compromete-se a aplicar os princípios de necessidade de conhecer, privilégio mínimo, segregação de funções, defesa em profundidade e melhoria contínua.
4.1 Princípios do RGPD
- Licitude, lealdade e transparência
- Limitação das finalidades
- Minimização dos dados
- Exatidão
- Limitação da conservação
- Integridade e confidencialidade
- Responsabilidade
5. Classificação da Informação
| Nível | Descrição | Exemplos |
|---|---|---|
| CONFIDENCIAL | Divulgação pode causar danos graves | Dados pessoais sensíveis, credenciais, dados financeiros |
| INTERNO | Uso exclusivo interno | Procedimentos internos, comunicações |
| PÚBLICO | Pode ser divulgado publicamente | Material de marketing, website, políticas |
6. Controlo de Acessos
6.1 Política de Acessos
- O acesso a sistemas e informação é concedido com base na necessidade de conhecer e no princípio do privilégio mínimo
- Todos os acessos são individuais e intransferíveis
- É proibida a partilha de credenciais
- Os acessos são revistos periodicamente
6.2 Cessação de Acessos
Os acessos são revogados imediatamente aquando de cessação de contrato, mudança de funções, ausência prolongada ou violação de políticas.
7. Segurança das Operações
7.1 Proteção contra Malware
- Software antivírus/antimalware atualizado em todos os equipamentos
- Análises completas periódicas
- Proibição de instalação de software não autorizado
7.2 Cópias de Segurança
As cópias de segurança dos dados são geridas pelos fornecedores de serviços cloud:
| Sistema | Frequência | Responsável |
|---|---|---|
| LearnWorlds | Diário (automático) | LearnWorlds |
| Supabase | Contínuo | Supabase |
7.3 Registo de Eventos
Devem ser registados: acessos a sistemas, alterações a dados sensíveis, ações administrativas e eventos de segurança. Os registos são mantidos de acordo com os requisitos legais e regulamentares aplicáveis.
8. Gestão de Fornecedores
Função: Plataforma de criação e gestão de cursos online para registo de utilizadores e disponibilização de formação.
Medidas de Segurança
| Categoria | Medida Implementada |
|---|---|
| Bases de Dados | Isoladas por escola - se uma for comprometida, as restantes permanecem seguras |
| Backups | Diários, espelhados em múltiplas instalações geográficas |
| Encriptação | Palavras-passe com salt e hash; HTTPS obrigatório; TLS 1.2 |
| Pagamentos | Não armazena dados de cartões - utiliza Stripe/PayPal (PCI DSS Level 1) |
| Infraestrutura | Google Cloud Platform com certificações SOC 2/3 e ISO 27001 |
| Data Center UE | Frankfurt, Alemanha |
Função: Plataforma backend-as-a-service para integração e armazenamento de ficheiros SCORM.
Medidas de Segurança
| Categoria | Medida Implementada |
|---|---|
| Controlos SOC 2 | Segurança, disponibilidade, integridade, confidencialidade e privacidade |
| Auditorias | SOC 2 Type 2 anual por entidade independente |
| Encriptação | Dados cifrados em trânsito e em repouso |
| Backups | Backups contínuos e redundância de dados |
| Residência | Dados permanecem na região selecionada (UE) |
A conformidade SOC 2 da Supabase cobre dados dentro da plataforma. A WELLPARTNERS é responsável por: selecionar a região correta, garantir utilização segura e implementar controlos para dados fora da plataforma.
9. Gestão de Incidentes
9.1 Definição de Incidente
Qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de informação, constitua violação das políticas ou indique tentativa de acesso não autorizado.
9.2 Procedimento de Resposta
| Fase | Ações |
|---|---|
| 1. Deteção | Identificar, registar, notificar responsável |
| 2. Contenção | Isolar sistemas, preservar evidências |
| 3. Erradicação | Identificar causa, remover ameaça |
| 4. Recuperação | Restaurar sistemas, verificar integridade |
| 5. Lições Aprendidas | Documentar, identificar melhorias |
Violações de dados pessoais devem ser notificadas à CNPD no prazo de 72 horas após conhecimento, exceto se improvável que resulte em risco para os direitos dos titulares.
9.3 Contactos de Emergência
| Entidade | Contacto | Situação |
|---|---|---|
| CNPD | +351 213 928 400 | Violações de dados pessoais |
| CNCS/CERT.PT | cert@cert.pt | Incidentes de cibersegurança |
| LearnWorlds | support@learnworlds.com | Incidentes na plataforma |
| Polícia Judiciária | +351 211 967 000 | Crimes informáticos |
10. Continuidade de Negócio
10.1 Medidas de Continuidade
A WELLPARTNERS assegura a continuidade das operações através das garantias de disponibilidade dos seus fornecedores cloud:
- LearnWorlds: Alta disponibilidade garantida com failover automático a todos os níveis da infraestrutura
- Supabase: Backups contínuos e redundância de dados com possibilidade de réplicas multi-região
10.2 Processos Críticos
Os processos críticos identificados são a plataforma de formação e os ficheiros SCORM, ambos suportados por infraestrutura cloud com elevada disponibilidade.
11. Conformidade e Direitos dos Titulares
11.1 Direitos dos Titulares (RGPD)
- Acesso (Art. 15º) - Obter confirmação e cópia dos dados
- Retificação (Art. 16º) - Corrigir dados inexatos
- Apagamento (Art. 17º) - "Direito a ser esquecido"
- Limitação (Art. 18º) - Restringir o tratamento
- Portabilidade (Art. 20º) - Receber dados em formato estruturado
- Oposição (Art. 21º) - Opor-se ao tratamento
Prazo de resposta: 1 mês (prorrogável por 2 meses em casos complexos)
11.2 Conservação de Dados
Os dados pessoais são conservados pelo período estritamente necessário para as finalidades para que foram recolhidos, ou pelo período exigido por obrigações legais, fiscais ou contratuais aplicáveis.
12. Contactos
Informação da Empresa
WELLPARTNERS UNIPESSOAL LDA
NIF: 513333657
Marca: DIOSCOPE
Contacto Geral e Reporte de Incidentes
Email: suporte@dioscope.com