II SÉRIE-A — NÚMERO 117 36

sistemas exceda o número máximo de tentativas de autenticação deve ser gerado o referido alarme para os

utilizadores com o perfil de administrador de segurança.

4 - O período de retenção dos arquivos de auditoria e registo de acessos deve ser de cinco anos.

5 - As plataformas eletrónicas devem, obrigatoriamente, registar os seguintes eventos:

a) Ligar e desligar os servidores;

b) Tentativas com sucesso ou fracassadas de alteração dos parâmetros de segurança do SO;

c) Tentativas com sucesso ou fracassadas de criar, modificar, apagar contas do sistema;

d) Ligar e desligar as aplicações e sistemas utilizados pela plataforma eletrónica;

e) Tentativas com sucesso ou fracassadas de início e fim de sessão;

f) Tentativas com sucesso ou fracassadas de consulta de dados;

g) Tentativas com sucesso ou fracassadas de alteração de configurações;

h) Tentativas com sucesso ou fracassadas de modificação de dados;

i) Tentativas com sucesso ou fracassadas de criar, modificar ou apagar informação relativa às permissões;

j) Tentativas com sucesso ou fracassadas de acesso às instalações onde estão alojados os sistemas das

plataformas eletrónicas;

k) Cópias de segurança, recuperação ou arquivo dos dados;

l) Alterações ou atualizações de software e hardware;

m) Manutenção do sistema.

Artigo 51.º

Arquivo

1 - As plataformas eletrónicas devem garantir que conseguem gerar arquivos em suporte lógico adequado.

2 - As plataformas eletrónicas devem garantir a guarda e o processamento dos arquivos de modo a poderem

vir a constituir-se como meio de prova.

3 - Os registos de acesso e toda a documentação relativa aos procedimentos de formação de contratos

públicos devem ser arquivados.

4 - As plataformas eletrónicas devem garantir a manutenção e o arquivo dos registos de utilização e acesso

dos documentos nela carregados.

5 - O registo dos arquivos de auditoria deve ser realizado de preferência em texto com codificação UTF-8 e

exportável.

6 - Os arquivos devem ser armazenados e organizados de forma sequencial, diariamente, sendo assinados

eletronicamente e com aposição de selo temporal emitido por uma entidade certificadora que preste serviços de

validação cronológica.

7 - A plataforma eletrónica deve garantir, do ponto de vista tecnológico, que a destruição de um arquivo só

pode ser levado a cabo com a autorização expressa por escrito do administrador de sistema, do administrador

de segurança e do auditor de sistemas.

Artigo 52.º

Cópias de segurança e recuperação

1 - A plataforma eletrónica deve incluir uma função para efetuar cópia de segurança da informação associada

aos procedimentos de contratação eletrónica.

2 - Os dados guardados na cópia de segurança devem ser suficientes para recriar o estado do sistema.

3 - Um utilizador que pertença a um perfil com suficientes privilégios deve ser capaz de invocar a função de

cópia de segurança.

4 - As cópias de segurança devem estar protegidas contra modificação com recursos a mecanismos de

assinatura digital.

5 - As plataformas eletrónicas devem assegurar que a informação relativa a parâmetros críticos de segurança

da plataforma eletrónica não está armazenada em claro, devendo ser cifrada com recurso a algoritmos correntes

fortes e chaves fortes, conformes às normas internacionais, sendo a gestão de chaves parte integrante do

sistema.

6 - A plataforma eletrónica deve incluir uma função para recuperação com capacidade para repor o sistema

através da cópia de segurança.