23 DE ABRIL DE 2015 35

Artigo 47.º

Identificação e autenticação

1 - A plataforma eletrónica deve garantir a existência de uma conta individual por utilizador e que os dados

de autenticação são únicos.

2 - Sempre que o utilizador sai da sua conta (logout), para voltar a entrar a plataforma eletrónica deve

requerer novamente a apresentação dos dados de autenticação.

3 - A plataforma eletrónica deve garantir que o utilizador tem capacidade para definir as suas senhas ou

códigos de acesso, gerir os seus certificados de autenticação, gerir os seus selos de validação cronológica e

autenticar-se de forma segura, designadamente através do cartão do cidadão ou da chave móvel digital.

4 - Nos casos em que os dados de autenticação são criados pela plataforma eletrónica ou por um sistema

exterior, a plataforma eletrónica deve garantir que na primeira utilização o utilizador é obrigado a definir novos

dados de autenticação, exceto quando aquela seja feita através da interligação com os mecanismos referidos

na alínea f) do n.º 1 do artigo 35.º.

5 - Se for ultrapassado o número máximo de tentativas de autenticação, a plataforma eletrónica deve

bloquear a conta do utilizador, que é notificado, por meio fidedigno, do procedimento estabelecido para o

desbloqueio.

Artigo 48.º

Controlo de acessos

1 - As plataformas eletrónicas devem garantir a capacidade de controlar e limitar o acesso aos diversos

recursos, identificando os utilizadores, associando o perfil às respetivas permissões e restrições.

2 - As aplicações devem operar com o menor conjunto de privilégios de que necessitam para esse fim.

Artigo 49.º

Gestão das chaves criptográficas

1 - Para a cifragem dos dados devem ser utilizados algoritmos correntes fortes e chaves fortes.

2 - A integridade das senhas deve ser controlada com técnicas hash que utilizam um algoritmo corrente forte

e com técnicas salt adequadas.

3 - Todas as chaves e senhas devem estar protegidas contra qualquer acesso não autorizado.

4 - Quando as chaves assimétricas sejam emitidas pela plataforma eletrónica e para efeitos de

confidencialidade, devem as mesmas ser alvo de mecanismos e procedimentos de retenção da chave privada

(key escrow), com controlo multipessoal.

Artigo 50.º

Registos de acesso

1 - Os registos de acessos devem indicar os dados da máquina de origem, da máquina de destino, do

utilizador do sistema, da data e hora do evento e dos ficheiros acedidos, quando aplicável.

2 - A plataforma eletrónica deve:

a) Disponibilizar um interface amigável que permita analisar a informação constante dos registos de

auditoria, com capacidade para efetuar pesquisas, pelo menos, baseado na data e hora do evento, no tipo de

evento e na identidade do utilizador/processo;

b) Garantir a segurança dos dados de registo, bem como suficiente espaço para guardar esses dados;

c) Garantir que os dados de registo não podem ser automaticamente reescritos;

d) Garantir que é vedada a leitura no registo de acessos a todo e qualquer utilizador, com exceção dos que,

possuindo perfil de auditores de sistemas, estejam expressamente autorizados para o efeito;

e) Gerar alarmes, designadamente, por e-mail e por sms, sempre que se detete eventual violação de

segurança.

3 - No mínimo, sempre que um utilizador com perfil de administrador de segurança ou administrador de