II SÉRIE-A — NÚMERO 117 20

independência;

c) Não prestar serviços de consultoria à empresa gestora nos últimos três anos, nem mantêm com esta

qualquer outro acordo ou vínculo contratual.

3 - O auditor de segurança, antes de celebrar qualquer contrato com a empresa gestora, deve solicitar

previamente ao GNS, a respetiva autorização, tendo este 30 dias para se pronunciar.

4 - A autorização a que se refere o número anterior depende, designadamente, da inexistência de qualquer

situação de impedimento ou incompatibilidade para o exercício da atividade por parte do auditor.

SECÇÃO III

Relatórios de segurança

Artigo 11.º

Relatório inicial de segurança

1 - O auditor de segurança, indicado pela empresa gestora, é responsável pela elaboração do relatório inicial

de segurança, para efeitos de obtenção da credenciação da plataforma eletrónica.

2 - O relatório inicial de segurança deve ser elaborado de acordo com as Normas ISO/IEC 20000 e 27001 e

englobar obrigatoriamente:

a) A identificação dos perfis dos técnicos que operam as plataformas eletrónicas, com descrição das

respetivas funções;

b) Uma descrição técnica detalhada da arquitetura e dos sistemas da plataforma eletrónica, contendo uma

análise e verificação:

i) Da conformidade dos certificados digitais utilizados e disponibilizados pelas plataformas eletrónicas;

ii) Do desempenho dos processos de autenticação e validação de utilizadores;

iii) Da conformidade dos requisitos de assinatura eletrónica utilizados;

iv) Dos processos de validação cronológica;

v) Dos níveis de segurança verificados nos processos de encriptação e desencriptação;

vi) Dos processos de recuperação de chaves privadas de encriptação;

vii) Dos processos de custódia de chaves privadas;

viii) Dos mecanismos de controlo de acessos às plataformas eletrónicas e do funcionamento dos registos

de acesso;

ix) Da operabilidade da plataforma eletrónica em múltiplos sistemas operativos e múltiplos navegadores

(browsers);

x) Do formato standard utilizado para os ficheiros carregados nas plataformas eletrónicas;

xi) Dos processos de carregamento de documentos;

xii) Do funcionamento dos mecanismos e meios de segurança, garantia da confidencialidade e integridade

das propostas, candidaturas e soluções apresentadas em procedimentos concorrenciais;

xiii) Da sincronização dos serviços das plataformas eletrónicas com o serviço de tempo de rede (NTP)

definido a partir do tempo universal coordenado (UTC);

xiv) Das funcionalidades utilizadas para o arquivo e preservação digital, bem como para a

interoperabilidade das plataformas eletrónicas.

Artigo 12.º

Relatório anual de segurança

1 - Para efeitos de manutenção da credenciação da plataforma eletrónica e da sua própria credenciação, o

respetivo auditor de segurança deve realizar uma auditoria anual à plataforma eletrónica, de acordo com as

Normas ISO/IEC 20000 e 27001, e elaborar o respetivo relatório anual de segurança, que deve ser enviado ao

GNS até ao fim do mês de fevereiro de cada ano civil.

2 - O relatório anual de segurança, para além de conter os elementos referidos no n.º 2 do artigo anterior,

deve reportar-se a uma análise de procedimentos de formação dos contratos já concluídos e em curso, através