II SÉRIE-A — NÚMERO 161 272

2 - Todo o tráfego destinado à plataforma eletrónica deve ser inspecionado e registado.

3 - As regras do sistema de proteção de fronteira devem rejeitar o tráfego que não é necessário à utilização

e à administração segura do sistema.

4 - A plataforma eletrónica deve estar alojada num segmento da rede de produção devidamente protegido,

separado de eventuais segmentos utilizados para alojar sistemas que não são de produção, como ambientes

de desenvolvimento ou de testes.

5 - A rede local (LAN) deve cumprir, no mínimo, as seguintes medidas de segurança:

a) Lista de acesso Layer 2/ segurança dos portos (port switch);

b) Os portos não utilizados/necessários devem ser desativados;

c) A DMZ deve encontrar-se numa rede local virtual (VLAN) ou LAN própria;

d) Não devem estar ativas interligações (trunking) L2 em portas desnecessárias.

Artigo 45.º

Tratamento dos dados pessoais e livre circulação

O tratamento de informação, pelas plataformas eletrónicas, que contenha dados pessoais, implica a

notificação prévia da Comissão Nacional de Proteção de Dados, nos termos previstos na Lei de Proteção de

Dados Pessoais.

Artigo 46.º

Segurança física

Sem prejuízo dos controlos de segurança identificados e implementados, com base nos requisitos da ISO/IEC

27001, os sistemas que compõem a plataforma eletrónica devem estar devidamente protegidos em zona segura,

com acesso restrito e controlado por sistemas de controlo de acessos e dentro dessa zona, no mínimo, instalado

num bastidor seguro.

Artigo 47.º

Identificação e autenticação

1 - A plataforma eletrónica deve garantir a existência de uma conta individual por utilizador e que os dados

de autenticação são únicos.

2 - Sempre que o utilizador sai da sua conta (logout), para voltar a entrar a plataforma eletrónica deve

requerer novamente a apresentação dos dados de autenticação.

3 - A plataforma eletrónica deve garantir que o utilizador tem capacidade para definir as suas senhas ou

códigos de acesso, gerir os seus certificados de autenticação, gerir os seus selos de validação cronológica e

autenticar-se de forma segura, designadamente através do cartão do cidadão ou da chave móvel digital.

4 - Nos casos em que os dados de autenticação são criados pela plataforma eletrónica ou por um sistema

exterior, a plataforma eletrónica deve garantir que na primeira utilização o utilizador é obrigado a definir novos

dados de autenticação, exceto quando aquela seja feita através da interligação com os mecanismos referidos

na alínea f) do n.º 1 do artigo 35.º

5 - Se for ultrapassado o número máximo de tentativas de autenticação, a plataforma eletrónica deve

bloquear a conta do utilizador, que é notificado, por meio fidedigno, do procedimento estabelecido para o

desbloqueio.

6 - A plataforma pode permitir o acesso dos utilizadores por método de autenticação através do nome de

utilizador e senha, de acordo com o n.º 3, e deve alertar os utilizadores para o nível de segurança associado a

esse método de autenticação.

Artigo 48.º

Controlo de acessos

1 - As plataformas eletrónicas devem garantir a capacidade de controlar e limitar o acesso aos diversos