Garantir a proteção de um sítio Web

A criação e a manutenção do seu sítio Web desempenham um papel importante na sua presença em linha. Os incidentes de cibersegurança, como o roubo de dados dos seus clientes, podem ter um grande impacto na sua empresa ou marca a vários níveis:

• perda da reputação da marca
• perturbação dos seus serviços
• perda da confiança dos seus clientes
• sanções regulamentares e ações judiciais

Os incidentes de cibersegurança que afetam as lojas em linha podem consistir em:

• roubo dos dados dos clientes
• alterações das informações sobre a plataforma de comércio eletrónico
• encerramento do sítio
• fuga de informações comerciais confidenciais

É igualmente muito importante elencar as informações sensíveis que constam do seu sítio Web, antes de qualquer violação da segurança. Deve ter em conta o seguinte:

• Que informações são essenciais para a sua empresa?
• Onde se encontram?
• Com que rapidez podem essas informações ser restabelecidas se forem roubadas ou se o sítio Web for alvo de um ataque?

Deve também realizar uma auditoria completa dos seus sistemas, tomar nota dos componentes mais importantes e efetuar um seguimento exaustivo de tudo. Certifique-se de que não é a única pessoa da sua organização que tem conhecimento desta auditoria, mas tenha também presente que o acesso a todos os sistemas de dados só deve ser concedido com base no princípio da necessidade de tomar conhecimento.

Proteger as informações no seu sítio Web

É importante refletir sobre a forma como os aspetos fundamentais da segurança da informação — confidencialidade, integridade e disponibilidade — se aplicam ao seu sítio Web e aos seus serviços e determinar quais são os requisitos necessários em matéria de nível de serviço. Note que estes requisitos podem variar consoante os outros elementos que tiver decidido integrar.

Se pretende que o seu sistema seja seguro, deve certificar-se de que os seguintes componentes estão protegidos:

• Confidencialidade: isto significa impedir que certas informações, como os números de cartões de crédito/débito e outros dados pessoais, sejam divulgadas a partes não autorizadas. Este objetivo pode ser realizado mediante:
  • a criação de um mecanismo de autenticação adequado (como soluções de autenticação multifatores, que exigem que o utilizador forneça duas ou mais formas de verificar a sua identidade)
  • a utilização de conexões cifradas (HTTPS; protocolo de segurança SSL) para garantir que apenas as pessoas certas têm acesso a informações sensíveis
• Integridade: isto significa garantir que as informações continuam a ser exatas e fiáveis, pois estão protegidas contra alterações introduzidas por partes não autorizadas. Este objetivo pode ser realizado mediante:
  • a realização de um controlo diário que permita detetar ficheiros alterados
  • o planeamento de testes de segurança para o seu sítio Web e os seus serviços, a fim de evitar ataques
  • a implementação de um sistema de prevenção de intrusões
• Disponibilidade: isto significa certificar-se de que o seu sítio Web está disponível e funciona sem interrupções, se aloja o seu próprio sítio. Este objetivo pode ser realizado mediante:
  • a implementação de um sistema energético de emergência
  • a manutenção rigorosa de todo o «hardware»

Como reagir a incidentes de segurança

É importante que, em caso de violação da segurança, exista um plano de ação que preveja medidas e procedimentos específicos e concretos para reagir a um incidente de segurança. Os procedimentos devem definir:

• quem é o principal responsável
• como contactar o pessoal crítico
• quais os dados, redes e serviços considerados prioritários para a recuperação
• quem precisa de ser notificado (proprietários de dados, clientes ou empresas parceiras) se os dados dessas entidades, ou os dados que afetam as suas redes, tiverem ficado expostos

Se detetar uma violação, siga estas etapas:

• informe os seus clientes sobre o que aconteceu, o que pode garantir a continuidade da confiança
• certifique-se de que todas as partes envolvidas na sua loja em linha também estão a par do sucedido. Se for detetado um problema de segurança, deve designar um responsável permanente pela informática
• determine a causa da violação, com provas documentais que possam eventualmente ser utilizadas em tribunal
• se forem afetadas informações financeiras, como por exemplo os dados de cartões de crédito, tem de informar o prestador que trata das suas transações financeiras

Deve também implementar uma política de notificação das violações de dados, que poderá ser incluída na sua declaração de privacidade; esta deverá indicar como e quando serão notificados os seus clientes em caso de violação dos seus dados pessoais. Tenha igualmente em conta que, nos termos das regras do RGPD, é obrigado a notificar a autoridade de proteção de dados responsável assim que tenha conhecimento de qualquer violação de dados.

A nível nacional, as equipas de resposta a emergências informáticas (CERT) são equipas compostas por peritos em segurança responsáveis pela gestão de incidentes de segurança (como a notificação e resposta a ameaças à segurança), que podem informá-lo sobre o que fazer e a quem pedir ajuda se for alvo de qualquer tipo de ciberataque. Essas equipas também publicam alertas sobre as vulnerabilidades e ameaças no seu país.

Cumprimento das disposições em matéria de proteção de dados

O Regulamento Geral sobre a Proteção de Dados estabelece obrigações para as empresas que recolhem, armazenam e gerem dados pessoais. Os dois principais objetivos do RGPD são a transparência e informar o público sobre a forma como os seus dados são utilizados.

Para mais informações sobre as disposições gerais do RGPD e a forma como se aplicam à sua empresa, consulte a subsecção relativa à proteção de dados.

A parte da sua loja em linha a que o RGPD mais diz respeito é a declaração (ou política) de confidencialidade. Essa declaração é um documento público emitido pela sua empresa, no qual esta explica de que forma processa dados pessoais e aplica os princípios da proteção de dados. Se o seu sítio Web recolhe diretamente os dados pessoais dos utilizadores, a declaração de confidencialidade deve ser mostrada no momento em que tal acontece.

A declaração de confidencialidade deve

• ser redigida numa linguagem concisa, transparente e inteligível
• ser facilmente acessível
• ser fornecida gratuitamente e em tempo útil

Saiba o que a sua declaração de confidencialidade deve conter

• A sua empresa recolhe dados pessoais diretamente de utilizadores individuais
• A sua empresa recebe dados pessoais de terceiros 

A declaração de confidencialidade apresentada na sua loja em linha deve incluir as seguintes informações:

• a identidade e os dados de contacto da sua empresa, do seu representante nomeado e do seu responsável pela proteção de dados en
• as finalidades para as quais a sua empresa trata os dados pessoais dos utilizadores e os fundamentos jurídicos para tal
• os interesses legítimos da sua empresa no tratamento de dados pessoais
• todos os destinatários dos dados dos utilizadores
• se os dados pessoais são transferidos para um país fora da UE
• o período de conservação dos dados
• os direitos dos utilizadores em relação ao tratamento dos respetivos dados, nomeadamente os seus direitos a:
  • retirar o consentimento a qualquer momento
  • apresentar queixa a uma autoridade de supervisão
• se os dados pessoais dos utilizadores são fornecidos com base em obrigações legais ou contratuais
• se existe ou não um sistema de tomada de decisões automatizada, que inclua a definição de perfis de dados (o processo através do qual os dados já recolhidos são analisados por razões estatísticas)

A declaração de confidencialidade que consta da sua loja em linha deve incluir as seguintes informações:

• a identidade e os dados de contacto da sua empresa, do seu representante nomeado e do seu responsável pela proteção de dados
• os motivos pelos quais a sua empresa trata os dados pessoais dos utilizadores e os fundamentos jurídicos para tal
• os interesses legítimos da sua empresa no tratamento de dados pessoais
• todos os destinatários dos dados dos utilizadores
• se os dados pessoais são transferidos para um país fora da UE
• o período de conservação dos dados
• os direitos dos utilizadores em relação aos respetivos dados tratados, especificamente:
  • o direito a retirar o consentimento em qualquer altura
  • o direito de apresentar queixa a uma autoridade de supervisão
• as categorias de dados pessoais obtidos pela sua empresa
• se existe ou não um sistema de tomada de decisões automatizada, que inclua a definição de perfis de dados

As declarações de privacidade têm de ser fornecidas por escrito e por via eletrónica (se for caso disso), publicadas numa secção específica do seu sítio Web (por exemplo, na secção   Política de privacidade en ) e ser diretamente acessíveis a partir de qualquer página ou subpágina do sítio.

Para mais informações e conselhos úteis sobre a elaboração da sua política de privacidade, consulte estas orientações en práticas.