Política de segurança da informação
Escritório de Advogados: M&C Abogados (Apna Advocats SLP)
Versão: 1.0
Data de aprovação: 26/06/2025
Aprovado por: Diana Caballero Aguirre, CEO e Diretora de Segurança da Informação
Nível de confidencialidade: interno
1. introdução
A informação e os sistemas que a gerem são activos críticos para a M&C Abogados. A crescente dependência das tecnologias digitais, o tratamento de dados sensíveis e a necessidade de manter a confiança dos clientes exigem o estabelecimento de uma política de segurança formal. Esta política define os princípios, funções, responsabilidades e controlos necessários para proteger a informação contra ameaças internas e externas.
2. missão e objectivos
A missão desta política consiste em garantir a confidencialidade, a integridade, a disponibilidade, a autenticidade e a rastreabilidade das informações tratadas pela empresa. Os seus principais objectivos são:
- Respeita a regulamentação em vigor (RGPD, LOPDGDD, LSSI).
- Minimiza os riscos de violação ou perda de dados.
- Assegura a continuidade operacional.
- Sensibiliza a equipa para o seu papel na proteção da informação.
3. Alcance
Aplica-se a todos os sistemas, pessoas, dispositivos e processos envolvidos no tratamento da informação na M&C Abogados. Inclui tanto a informação digital como a informação em papel, independentemente do seu formato ou suporte.
4. Quadro regulamentar
Esta política baseia-se em:
- Regulamento (UE) 2016/679 (RGPD).
- Lei Orgânica 3/2018, relativa à proteção de dados e à garantia dos direitos digitais.
- Lei 34/2002 (LSSI).
- Princípios da norma ISO/IEC 27001.
5. Classificação da informação
As informações de expedição devem ser classificadas em três níveis:
- Confidencial: ficheiros, dados de saúde, menores, processos penais.
- Utilização interna: comunicações internas, recursos humanos, documentos de trabalho.
- Público: conteúdo publicado na Web e nas redes sociais.
6. Organização da segurança
- Chefe de Segurança: Diana Caballero Aguirre (CEO).
- Delegado para a proteção de dados: Equal Data Protection (externo).
- Diretor de canais digitais: Diretor de marketing digital.
- Apoio informático: fornecedor externo, a pedido.
Todo o pessoal é responsável pelo cumprimento desta política e pela comunicação de incidentes ou deficiências.
7. Gestão dos riscos
Embora não tenha sido efectuada uma auditoria formal, a empresa está empenhada em
- Analisa os riscos pelo menos uma vez por ano.
- Reage a incidentes de segurança.
- Avalia as alterações tecnológicas ou regulamentares.
8. Controlos técnicos e acesso
- Palavras-passe fortes e autenticação em dois passos.
- Armazenamento encriptado no Google Drive e no OneDrive.
- Proteção do sítio Web com Wordfence e Limitar tentativas de início de sessão.
- Acesso remoto controlado e utilização responsável de dispositivos pessoais.
9. Gestão de incidentes
Os incidentes devem ser imediatamente comunicados ao responsável pela segurança. O seu impacto deve ser avaliado e a AEPD deve ser notificada, se necessário. Todos os casos devem ser documentados para evitar que se repitam no futuro.
10. Relações com terceiros
Os terceiros que acedem aos dados da sociedade devem assinar acordos de confidencialidade e respeitar esta política. No final da relação, devem apagar toda a informação sob garantias auditáveis.
11. Formação e sensibilização
Todo o pessoal receberá anualmente formação básica em cibersegurança, melhores práticas e proteção de dados. Será promovida uma cultura de segurança ativa.
12. Atualização e melhoria contínua
Esta política deve ser revista anualmente ou sempre que ocorram alterações relevantes. Todas as alterações devem ser aprovadas pela direção e comunicadas ao pessoal.
13. Documentação de apoio
Esta política será desenvolvida através de:
- Normas de segurança interna.
- Procedimentos de trabalho seguros.
- Guias de boas práticas para os trabalhadores.
Aprovado por:
Diana Caballero Aguirre
Diretor Executivo e Diretor de Segurança da Informação