Política de Segurança da Informação

Por este motivo, o Grupo assume a responsabilidade de proteger e valorizar este património, comprometendo-se a garantir que a informação possa ser utilizada com as devidas garantias de precisão e integralidade, e que esteja adequadamente protegida contra uso indevido, divulgação não autorizada, danos ou perdas.

A presente Política de Segurança da Informação expressa, assim, o compromisso de garantir a segurança da informação e dos instrumentos físicos, lógicos e organizacionais utilizados no seu tratamento em todas as atividades, assegurando os requisitos de confidencialidade, integridade e disponibilidade da informação crítica ou sensível que lhe é confiada, e implementando controlos adequados para evitar violações desses requisitos.

Os objetivos da política de segurança da informação são:

• Consolidar a imagem da empresa como gestora de dados fiável e competente;
• Proteger o seu património informativo ligado à plataforma de gestão de sites e aplicações de internet para terceiros e aos serviços associados;
• Obter uma vantagem competitiva relativamente a outros operadores que prestam serviços semelhantes, evidenciando o valor da informação para a Empresa;
• Evitar, tanto quanto possível, interrupções de serviço para os utilizadores;
• Adotar medidas que garantam a fidelização e o profissionalismo do pessoal;
• Cumprir integralmente a legislação vigente e aplicável;
• Aumentar o nível de sensibilização e competência do pessoal em matéria de segurança;
• Prosseguir a melhoria contínua dos procedimentos e processos integrantes do SGSI.
  
  

Para os serviços em cloud utilizados pelo Grupo Lynx, os objetivos de segurança da informação são:

• Segurança by design e by default: integrar requisitos de segurança desde as primeiras fases de conceção e desenvolvimento da aplicação, seguindo princípios como o privilégio mínimo e a separação de funções.
• Proteção do código-fonte e dos repositórios: garantir o acesso controlado aos repositórios (p. ex., Git), com autenticação forte, trilhos de auditoria e proteção contra alterações não autorizadas.
• Gestão segura de dependências e bibliotecas de terceiros: monitorizar e atualizar constantemente componentes externos para prevenir vulnerabilidades conhecidas (p. ex., CVE), utilizando ferramentas de software composition analysis.
• Controlo dos ambientes de desenvolvimento, teste e produção: separar logicamente os ambientes, aplicar políticas de acesso diferenciadas e automatizar a implementação segura (DevSecOps).
• Proteção das APIs e dos microsserviços: implementar autenticação, autorização, rate limiting e logging para prevenir abusos e garantir a rastreabilidade das chamadas.
• Gestão segura de segredos e credenciais: utilizar cofres seguros (vaults) para gerir chaves, tokens e palavras-passe, evitando a sua inclusão no código ou em ficheiros de configuração.