Política de Proteção de Dados

Medidas técnicas e organizacionais de segurança da informação

O grupo Radius adopta uma abordagem de boas práticas em matéria de proteção de dados, seguindo as orientações do ICO e alinhando-se com os princípios da legislação e do regulamento actuais em matéria de proteção de dados. Desde 2014, investimos fortemente em novas infra-estruturas de TI e em pessoal-chave para cumprir a norma ISO 27001 relativa à gestão da segurança da informação, com o apoio de uma importante empresa de consultoria em segurança da informação (SI). Em 2018, obtivemos a certificação ISO 27001 e fomos reacreditados no primeiro trimestre de 2021. Desde 2016, também obtivemos a certificação Cyber Essentials Plus, no quarto trimestre de cada ano subsequente.
Segue-se uma sinopse estruturada das nossas Medidas Técnicas e Organizacionais de Segurança da Informação que adoptámos, enquadradas na Norma ISO 27001 para um Sistema de Gestão da Segurança da Informação (SGSI):
Gestão - A gestão da Radius reconhece que a informação que gere deve ser tratada com o devido cuidado (quer essa informação seja propriedade da organização, dos clientes da organização ou dos utilizadores dos serviços prestados pela organização) e está empenhada em preservar a sua Confidencialidade, Integridade e Disponibilidade.

Política de segurança da informação - Existe um conjunto completo de políticas de SI composto por uma política global de SI com uma declaração executiva e objectivos definidos, subpolíticas primárias de SI com impacto em todos os trabalhadores, subpolíticas secundárias de SI com impacto em alguns trabalhadores e documentos de referência de subpolíticas de SI para orientação geral.

Organização da segurança da informação - São definidas funções e responsabilidades para o SGSI, sendo este gerido por uma equipa composta pelo chefe de SI, por auditores de SI e por um analista de cibersegurança, que responde perante o Conselho de Administração.
Segurança dos recursos humanos - Todo o pessoal é rastreado de acordo com as normas BPSS, sendo o pessoal-chave também submetido a um controlo DBS - Existe um processo formal de arranque/transição/aposentação e um processo disciplinar formal - A formação e sensibilização em matéria de SI é um requisito obrigatório para todos os trabalhadores, que é ministrado através de um sistema virtual de gestão da aprendizagem.

Gestão de activos - Existem 3 tipos de classificação de dados definidos com orientações de manuseamento adequadas - Os activos de informação são registados e geridos num registo principal de activos, indicando os proprietários e as localizações atribuídas - Todos os activos que já não são necessários são eliminados de forma segura através de processadores registados na WEEE.

Controlo de acesso - Todos os utilizadores recebem contas de utilizador padrão, incluindo um ID e uma palavra-passe - Os administradores recebem uma conta de utilizador adicional com privilégios elevados - O Single Sign On e a autenticação multifactor são cada vez mais adoptados em toda a propriedade - A recertificação das contas de utilizador é frequente, sendo algumas revisões de contas realizadas mensalmente.

Segurança das operações - As equipas de TI seguem os princípios ITIL - A gestão das alterações é controlada por um processo de Comité Consultivo para as Alterações - Os ambientes de produção estão separados dos ambientes de desenvolvimento e de teste - Todos os pontos terminais dos utilizadores estão encriptados e têm proteção anti-malware - Todos os sistemas estão sincronizados com NTP - Os registos são conservados durante 12 meses - O software é implementado, corrigido e gerido centralmente - As avaliações de vulnerabilidade são efectuadas com uma frequência variável.

Segurança das comunicações - Segregação de redes com algumas DMZ - Processos de transferência de informações em vigor - Gestão de correio eletrónico duplamente filtrado na nuvem - Acordos de não divulgação (NDA) em vigor, conforme necessário.
Aquisição, desenvolvimento e manutenção de sistemas - A segurança da informação é uma parte integrante dos princípios de segurança desde a conceção adoptados, com avaliações do impacto da proteção de dados (DPIA) realizadas pelos gestores de projectos, para todas as alterações obrigatórias - São utilizados vários ambientes de desenvolvimento - Testes realizados em todas as alterações por uma equipa de testes interna - Testes de penetração independentes e avaliações de vulnerabilidade realizadas em aplicações expostas externamente.
Relações com fornecedores - Os fornecedores são avaliados quanto ao risco da sua interação com os dados e sistemas da Radius - Monitorização contínua da conformidade - Contratos/Acordos/NDAs implementados em conformidade com os requisitos do RGPD.
Gestão de incidentes de segurança da informação - Comunicação de incidentes gerida através de um registo com um repositório seguro de provas - Várias ferramentas de monitorização automatizadas em vigor - Processo de comunicação de violações de dados complementado com um serviço de retenção de resposta a violações de dados de terceiros de uma importante empresa de consultoria em segurança da informação do Reino Unido. Aspectos de segurança da informação da gestão da continuidade das actividades - Planos de continuidade das actividades em vigor e invocados com êxito várias vezes até à data - Planos de recuperação de desastres definidos para todos os sistemas principais - Calendário de testes em vigor.
Conformidade - Toda a legislação e regulamentação relevantes foram identificadas e aplicadas - DPIA's efectuadas em conformidade com o RGPD - Testes de penetração independentes - SGSI avaliado de forma independente - O Fórum de Gestão de SI efectua uma análise interna do SGSI.
Esta declaração de proteção de dados foi revista e actualizada pela última vez em 30 de março de 2022 - Versão 1.4.