2 DE JULHO DE 2015 273

recursos, identificando os utilizadores, associando o perfil às respetivas permissões e restrições.

2 - Para o efeito, as entidades gestoras de plataformas devem garantir a identificação correta e fiável dos

utilizadores e do operador económico através de processo de verificação.

3 - O processo de verificação de identidade inicia-se após solicitação do operador económico, devendo a

entidade gestora disponibilizar um certificado de autenticação provisório e gratuito em 24 horas, garantindo a

sua conclusão com a entrega do certificado de autenticação definitivo no prazo máximo de 30 dias.

4 - O processo de verificação de identidade é dispensado para procedimentos de formação de contratos

celebrados ao abrigo de Acordo-quadro.

5 - As plataformas devem ter mecanismos para garantir o controlo de perfis e acesso restrito às peças

concursais para os procedimentos que exigem um nível de protecção elevado e verificação dos utilizadores que

podem ter acesso.

6 - As aplicações devem operar com o menor conjunto de privilégios de que necessitam para esse fim.

Artigo 49.º

Gestão das chaves criptográficas

1 - Para a cifragem dos dados devem ser utilizados algoritmos correntes fortes e chaves fortes.

2 - A integridade das senhas deve ser controlada com técnicas hash que utilizam um algoritmo corrente forte

e com técnicas salt adequadas.

3 - Todas as chaves e senhas devem estar protegidas contra qualquer acesso não autorizado.

4 - Quando as chaves assimétricas sejam emitidas pela plataforma eletrónica e para efeitos de

confidencialidade, devem as mesmas ser alvo de mecanismos e procedimentos de retenção da chave privada

(key escrow), com controlo multipessoal.

Artigo 50.º

Registos de acesso

1 - Os registos de acessos devem indicar os dados da máquina de origem, da máquina de destino, do

utilizador do sistema, da data e hora do evento e dos ficheiros acedidos, quando aplicável.

2 - A plataforma eletrónica deve:

a) Disponibilizar um interface amigável que permita analisar a informação constante dos registos de

auditoria, com capacidade para efetuar pesquisas, pelo menos, baseado na data e hora do evento, no tipo de

evento e na identidade do utilizador/processo;

b) Garantir a segurança dos dados de registo, bem como suficiente espaço para guardar esses dados;

c) Garantir que os dados de registo não podem ser automaticamente reescritos;

d) Garantir que é vedada a leitura no registo de acessos a todo e qualquer utilizador, com exceção dos que,

possuindo perfil de auditores de sistemas, estejam expressamente autorizados para o efeito;

e) Gerar alarmes, designadamente, por e-mail e por sms, sempre que se detete eventual violação de

segurança.

3 - No mínimo, sempre que um utilizador com perfil de administrador de segurança ou administrador de

sistemas exceda o número máximo de tentativas de autenticação deve ser gerado o referido alarme para os

utilizadores com o perfil de administrador de segurança.

4 - O período de retenção dos arquivos de auditoria e registo de acessos deve ser de cinco anos.

5 - As plataformas eletrónicas devem, obrigatoriamente, registar os seguintes eventos:

a) Ligar e desligar os servidores;

b) Tentativas com sucesso ou fracassadas de alteração dos parâmetros de segurança do SO;

c) Tentativas com sucesso ou fracassadas de criar, modificar, apagar contas do sistema;

d) Ligar e desligar as aplicações e sistemas utilizados pela plataforma eletrónica;

e) Tentativas com sucesso ou fracassadas de início e fim de sessão;

f) Tentativas com sucesso ou fracassadas de consulta de dados;

g) Tentativas com sucesso ou fracassadas de alteração de configurações;