O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.
Não foi possivel carregar a página pretendida. Reportar Erro

2 DE JULHO DE 2015 257

reconhecida idoneidade, experiência e qualificações comprovadas na área de sistemas de informação e de

segurança de informação, devidamente credenciado pelo GNS, nos termos da alínea a) do n.º 2 do artigo 8.º.

2 - O auditor de segurança deve garantir que os membros da sua equipa não atuam de forma parcial ou

discriminatória e está sujeito aos seguintes impedimentos:

a) Não realizar auditorias à mesma plataforma eletrónica em mais do que três anos consecutivos;

b) Não realizar auditorias, sempre que se verifique qualquer situação que possa comprometer a sua

independência;

c) Não prestar serviços de consultoria à empresa gestora nos últimos três anos, nem mantêm com esta

qualquer outro acordo ou vínculo contratual.

3 - O auditor de segurança, antes de celebrar qualquer contrato com a empresa gestora, deve solicitar

previamente ao GNS, a respetiva autorização, tendo este 30 dias para se pronunciar.

4 - A autorização a que se refere o número anterior depende, designadamente, da inexistência de qualquer

situação de impedimento ou incompatibilidade para o exercício da atividade por parte do auditor.

5 - Se, da aplicação do n.º 2 resultar que não existem auditores de segurança credenciados pelo GNS

disponíveis, o GNS garante a realização da auditoria.

SECÇÃO III

Relatórios de segurança

Artigo 11.º

Relatório inicial de segurança

1 - O auditor de segurança, indicado pela empresa gestora, é responsável pela elaboração do relatório inicial

de segurança, para efeitos de obtenção da credenciação da plataforma eletrónica.

2 - O relatório inicial de segurança deve ser elaborado de acordo com as Normas ISO/IEC 20000 e 27001 e

englobar obrigatoriamente:

a) A identificação dos perfis dos técnicos que operam as plataformas eletrónicas, com descrição das

respetivas funções;

b) Uma descrição técnica detalhada da arquitetura e dos sistemas da plataforma eletrónica, contendo uma

análise e verificação:

i) Da conformidade dos certificados digitais utilizados e disponibilizados pelas plataformas eletrónicas;

ii) Do desempenho dos processos de autenticação e validação de utilizadores;

iii) Da conformidade dos requisitos de assinatura eletrónica utilizados;

iv) Dos processos de validação cronológica;

v) Dos níveis de segurança verificados nos processos de encriptação e desencriptação;

vi) Dos processos de recuperação de chaves privadas de encriptação;

vii) Dos processos de custódia de chaves privadas;

viii) Dos mecanismos de controlo de acessos às plataformas eletrónicas e do funcionamento dos registos

de acesso;

ix) Da operabilidade da plataforma eletrónica em múltiplos sistemas operativos e múltiplos navegadores

(browsers);

x) Do formato standard utilizado para os ficheiros carregados nas plataformas eletrónicas;

xi) Dos processos de carregamento de documentos;

xii) Do funcionamento dos mecanismos e meios de segurança, garantia da confidencialidade e integridade

das propostas, candidaturas e soluções apresentadas em procedimentos concorrenciais;

xiii) Da sincronização dos serviços das plataformas eletrónicas com o serviço de tempo de rede (NTP)

definido a partir do tempo universal coordenado (UTC);

xiv) Das funcionalidades utilizadas para o arquivo e preservação digital, bem como para a

interoperabilidade das plataformas eletrónicas, nos termos decorrentes do n.º 3 do artigo 36.º.