Segurança da Informação e Cibersegurança
Compromisso, procedimentos, normas e canais permanentes do Grupo Borgstena em matéria de segurança da informação, cibersegurança e gestão de incidentes.
Demonstrando o compromisso da Borgstena com a segurança da informação, consultam-se nesta página os procedimentos, normas e canais permanentes em vigor na organização para a gestão de incidentes de segurança da informação e de cibersegurança.
1. Compromisso com a segurança da informação
A segurança da informação constitui um pilar essencial da conformidade do Grupo Borgstena. A confidencialidade, a integridade e a disponibilidade dos dados — pessoais ou não — são protegidas por um sistema integrado de medidas técnicas e organizativas, articulado com o Sistema de Proteção de Dados Pessoais e com a gestão da cadeia de aprovisionamento. O compromisso traduz-se na existência de um Ponto de Contacto Permanente, na implementação de normas internas e na adoção de procedimentos unificados de notificação e gestão de incidentes.
2. Enquadramento regulatório
A segurança da informação no Grupo Borgstena rege-se pelo conjunto articulado das seguintes referências regulatórias: o artigo 32.º do Regulamento (UE) 2016/679 (RGPD), quanto à segurança do tratamento de dados pessoais; os artigos 33.º e 34.º do RGPD, quanto à notificação de violações de dados pessoais à autoridade de controlo e à comunicação ao titular dos dados; a Diretiva (UE) 2022/2555 (NIS 2), quanto a um nível elevado comum de cibersegurança na União; e a Lei n.º 41/2004, de 18 de agosto, no que respeita à segurança das comunicações eletrónicas. A transposição nacional da Diretiva (UE) 2022/2555 consta de [diploma a confirmar e referir nesta página após verificação em Diário da República].
3. Ponto de Contacto Permanente de Segurança
O Grupo Borgstena disponibiliza um Ponto de Contacto Permanente para a comunicação e gestão de incidentes de segurança da informação e de cibersegurança. Este canal está acessível a todos os trabalhadores, fornecedores, parceiros e utilizadores que pretendam comunicar a ocorrência de um incidente.
4. Security Officer
O Grupo Borgstena designou um Security Officer, responsável pela coordenação do sistema de segurança da informação e pela articulação com o Encarregado da Proteção de Dados, com a gestão de fornecedores e com as áreas operacionais. O Security Officer opera em estreita articulação com o Ponto de Contacto Permanente e responde, no âmbito das suas atribuições, perante a administração do Grupo.
5. Normas e procedimentos aplicáveis
6. Comunicação de incidentes
Qualquer pessoa pode comunicar a ocorrência de um incidente de segurança da informação ou de cibersegurança ao Ponto de Contacto Permanente, designadamente:
- os trabalhadores do Grupo Borgstena, no cumprimento dos seus deveres laborais e da Política de Proteção de Dados em Contexto Laboral;
- os fornecedores e os respetivos colaboradores, no cumprimento do Procedimento Unificado de Notificação e Gestão de Incidentes;
- os utilizadores do sítio eletrónico e demais titulares de dados, no exercício do direito de comunicação de violação de dados pessoais.
A comunicação deve identificar, na medida do possível, a natureza do incidente, o momento da deteção, os sistemas e dados envolvidos e as medidas eventualmente já adotadas. A gestão subsequente do incidente — análise, contenção, notificações às autoridades competentes e, quando aplicável, comunicação aos titulares — é assegurada pelo Ponto de Contacto Permanente, em articulação com o Encarregado da Proteção de Dados.
7. Articulação com a Plataforma de Proteção de Dados
A presente página articula-se transversalmente com:
- a página do Encarregado da Proteção de Dados, para a articulação com as obrigações do RGPD;
- a página de Aprovisionamento, para a gestão da segurança na cadeia de aprovisionamento;
- a página de Formulários, para a comunicação de incidentes.
8. Vigência e revisão
A presente página é objeto de revisão periódica, sob a responsabilidade do Security Officer e em articulação com o Encarregado da Proteção de Dados, sempre que a evolução do quadro regulatório — designadamente em matéria de cibersegurança — ou das práticas do Grupo o justifique.
