II SÉRIE-A — NÚMERO 161 270

2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número

anterior.

3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de

acordo com o seguinte critério:

a) Um utilizador com o perfil de «Administrador de segurança» não é autorizado a assumir o perfil de «Auditor

de sistemas»;

b) Um utilizador com o perfil de «Administrador de sistemas» não é autorizado a assumir o perfil de

«Administrador de segurança» ou de «Auditor de sistemas».

Artigo 41.º

Sistemas e operações

1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente:

a) Os procedimentos de operação e segurança estão definidos;

b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja

mínimo;

c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades

dos sistemas e da informação nestes incluídos.

2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os utilizadores

das mesmas, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º

3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de

ataques distribuídos de negação de serviços.

4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens

fisicamente independentes.

5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos

(patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.

6 - Todos os serviços das plataformas eletrónicas devem estar sincronizados com o NTP definido a partir do

UTC, devendo ser utilizadas duas fontes de tempo diferentes, em que uma delas é obrigatoriamente a Hora

Legal Portuguesa.

7 - Em caso de desastre, as plataformas eletrónicas devem disponibilizar meios capazes de continuar as

operações usando sistemas alternativos e assegurar o backup para garantir a integridade e a possibilidade de

recuperação da informação.

8 - A empresa gestora deve especificar na sua política qual o tempo máximo aceitável, na reposição dos

serviços.

Artigo 42.º

Segurança aplicacional

1 - A empresa gestora deve garantir que o sistema se encontra devidamente protegido contra

vulnerabilidades e ataques, impedindo, designadamente:

a) Falhas de injeção, nomeadamente, interrogações SQL (Structured Query Language), LDAP (Lightweight

Directory Access Protocol) ou XPath (XML Path Language), comandos do sistema operativo (SO) e alteração

de argumentos de programa;

b) XSS (Cross-Site Scripting).

2 - O sistema deve assegurar a autenticação forte e a gestão das sessões, o que exige, no mínimo, que:

a) As credenciais sejam sempre protegidas quando armazenadas com recurso a técnicas de controlo da

integridade dos dados (hashing) ou de cifragem dos dados;

b) As credenciais não possam ser adivinhadas nem alteradas através de funções de gestão da conta pouco

sólidas, nomeadamente, através da criação de conta, alteração da senha, recuperação da senha ou