2 DE JULHO DE 2015 271

identificadores de sessão frágeis;

c) Os identificadores de sessão e os dados da sessão não se encontrem expostos no localizador uniforme

de recursos (URL);

d) Os identificadores de sessão não sejam vulneráveis a ataques de fixação de sessão;

e) Os identificadores de sessão tenham um tempo-limite de operação, o que assegura que o utilizador sai

do sistema;

f) As senhas, os identificadores de sessão e outras credenciais sejam enviados apenas através do

protocolo TLS (Transport Layer Security).

3 - O sistema deve possuir uma configuração de segurança adequada, o que exige, no mínimo, que:

a) Todos os elementos de software sejam atualizados, na medida do necessário para mitigar eventuais

vulnerabilidades, nomeadamente o SO, o servidor web e o servidor de aplicações, o sistema de gestão de bases

de dados (DBMS), as aplicações, e todas as bibliotecas de códigos;

b) Os serviços e processos desnecessários do SO, servidor web e servidor de aplicações, sejam

desativados, retirados ou não sejam instalados;

c) As senhas da conta por defeito sejam alteradas ou desativadas.

4 - O sistema deve limitar o acesso ao URL com base nos níveis e autorizações de acesso do utilizador,

exigindo-se, no mínimo, que:

a) Se forem utilizados mecanismos de segurança externos, para fins de autenticação e verificação das

autorizações de acesso às páginas, os mesmos devem estar devidamente configurados para cada página;

b) Se for utilizada proteção ao nível dos códigos, a mesma deve existir para cada página pretendida.

5 - O sistema deve utilizar o protocolo TLS (Transport Layer Security) de modo a garantir uma proteção

suficiente, devendo estar criadas todas as medidas que se seguem ou outras de eficácia equivalente:

a) O sistema deve exigir a versão mais atualizada do protocolo HTTPS (Hypertext Transfer Protocol Secure)

para aceder a quaisquer recursos sensíveis utilizando certificados que sejam válidos, não caducados, não

revogados e compatíveis com todos os domínios utilizados pelo sítio;

b) O sistema deve apor a indicação «seguro» em todos os cookies sensíveis;

c) O servidor deve configurar o fornecedor do TLS de modo a que este apenas aceite algoritmos de cifragem

de dados conformes com as melhores práticas;

d) Os utilizadores devem ser informados de que devem ativar a funcionalidade TLS no seu navegador.

6 - O sistema deve impedir reencaminhamentos e reenvios não validados.

Artigo 43.º

Integridade dos dados

1 - As plataformas eletrónicas não devem partilhar hardware e recursos do SO, nem quaisquer dados,

nomeadamente, credenciais de acesso e de cifragem, com qualquer outra aplicação ou sistema.

2 - Cada transação com sucesso que envolva modificação do conteúdo da informação da plataforma

eletrónica deve fazer passar a BD de um estado de integridade para outro estado de integridade.

3 - Deve ser garantido que todos os dados críticos da plataforma eletrónica são seguros e autênticos,

devendo para o efeito ser utilizados algoritmos e chaves fortes, de acordo com as normas internacionais.

4 - Devem ser considerados como dados críticos, no mínimo, todas as configurações de segurança, perfis

de utilizador, dados relativos às peças do procedimento e propostas, bem como os respetivos backups.

Artigo 44.º

Segurança de rede

1 - A ligação da plataforma eletrónica à Internet deve ser protegida por um sistema de proteção de fronteira.