|
Lei n.º 96/2015, de 17 de Agosto REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho _____________________ |
|
Artigo 33.º
Informação aos interessados |
As plataformas eletrónicas devem disponibilizar, em local de acesso livre a todos os potenciais interessados, as especificações necessárias exigidas para a realização dos procedimentos de formação dos contratos, designadamente as respeitantes:
a) A anúncios publicados no Diário da República ou no Jornal Oficial da União Europeia, quando existam;
b) Às peças do procedimento;
c) Ao modo de apresentação das candidaturas, soluções e propostas, tal como definido pela entidade adjudicante;
d) Ao modo e requisitos a que a encriptação de dados deve obedecer;
e) A assinaturas eletrónicas exigidas e ao modo de as obter, designadamente através da utilização dos certificados do cartão de cidadão;
f) Aos selos temporais exigidos e ao modo de os obter;
g) Aos requisitos a que os ficheiros que contêm os documentos das propostas, das candidaturas e das soluções devem obedecer. |
| |
|
|
|
|
SECÇÃO II
Requisitos técnicos das plataformas electrónicas
| Artigo 34.º
Interoperabilidade e compatibilidade |
1 - As plataformas eletrónicas devem cumprir os requisitos de interoperabilidade e compatibilidade previstos no RNID.
2 - As plataformas eletrónicas devem ter a capacidade para permitir o intercâmbio generalizado de dados, nomeadamente entre diferentes formatos e aplicações ou entre níveis diferentes de desempenho, respeitando os requisitos fixados e atualizados, sempre que razões de ordem tecnológica tal justifique, mediante portaria dos membros do Governo que tutelam o IMPIC, I. P., a ESPAP, I. P., e a Agência para a Modernização Administrativa, I. P. (AMA, I. P.), e de que depende o GNS, designadamente:
a) A linguagem de ing para página web;
b) O nível de acessibilidade para as páginas públicas;
c) O acesso remoto a sistemas de ficheiros (se aplicável);
d) O envio seguro de correio eletrónico;
e) A representação gráfica para a especificação de processos de negócio;
f) O protocolo para a garantia de entrega de mensagens na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
g) A segurança de integridade e confidencialidade da comunicação na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
h) A segurança de autenticação da comunicação na integração entre dois ou mais sistemas de informação interorganismos da Administração Pública;
i) A possibilidade de utilização de WS-Addressing na troca de informação entre sistemas de informação;
j) A definição do standard universal utilizado para todos os ficheiros carregados nas plataformas eletrónicas;
k) O tipo de assinatura eletrónica que todos os documentos assinados eletronicamente devem utilizar. |
| |
|
|
|
|
Artigo 35.º
Interligação com plataformas públicas |
1 - Sem prejuízo do disposto no artigo anterior, as plataformas eletrónicas devem garantir, sempre que necessário e tecnicamente possível através da plataforma de interoperabilidade da Administração Pública, a sua interligação:
a) Com o Portal dos Contratos Públicos, quer em termos técnicos quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e o referido Portal;
b) Com o portal do Diário da República Eletrónico, nomeadamente para efeitos de envio dos anúncios previstos no CCP;
c) Com o Catálogo Nacional de Compras Públicas da ESPAP, I. P., quer em termos técnicos quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e o referido Catálogo;
d) Com a solução de Gestão de Recursos Financeiros e Orçamentais em modo partilhado (GeRFiP, da ESPAP, I. P.), quer em termos técnicos, quer no que respeita ao cumprimento das regras de sincronismo necessárias à transferência dos dados requeridos entre a plataforma eletrónica e a referida solução;
e) Com a solução que venha a ser implementada pelo Tribunal de Contas ou pelas entidades do Sistema Nacional de Controlo Interno da Administração Financeira do Estado, no âmbito das suas competências na área da auditoria e controlo dos contratos públicos;
f) Com a solução de autenticação do cartão de cidadão e com o mecanismo central de autenticação «Autenticação.Gov.pt», disponibilizadas pela AMA, I. P.;
g) Com o Protocolo para a Normalização da Informação Técnica na Construção (ProNIC), gerido pelo IMPIC, I. P.;
h) Com a plataforma a desenvolver pela Autoridade da Concorrência.
2 - As interligações previstas no número anterior devem ser estabelecidas através de protocolo a celebrar entre as respetivas entidades envolvidas.
3 - Não pode ser cobrado pelas entidades gestoras qualquer montante pelo estabelecimento das interligações previstas nos números anteriores. |
| |
|
|
|
|
Artigo 36.º
Interligação entre plataformas electrónicas |
1 - As empresas gestoras devem cumprir as condições de interligação e interoperabilidade entre si, necessárias para que os operadores económicos possam escolher livremente a plataforma eletrónica, independentemente da que for utilizada pela entidade pública com que pretendem interagir.
2 - A ESPAP, I. P., é responsável pelo sistema de interligação entre as plataformas eletrónicas, cujo desenvolvimento e manutenção são assegurados pela Imprensa Nacional-Casa da Moeda, S. A. (INCM), e que funciona através da plataforma de interoperabilidade da Administração Pública.
3 - As condições de interligação, interoperabilidade e financiamento são fixadas por portaria dos membros do Governo que tutelam a AMA, I. P., a ESPAP, I. P., e o IMPIC, I. P., de que depende o GNS e responsáveis pela INCM, a publicar no prazo de 90 dias após a publicação da presente lei.
4 - Quando as fases mais avançadas de interoperabilidade forem alcançadas, cessa a obrigação de prestação dos serviços base definidos no artigo 24.º |
| |
|
|
|
|
Artigo 37.º
Troca de dados entre as plataformas eletrónicas e o Portal dos Contratos Públicos |
1 - A informação transmitida pelas plataformas eletrónicas ao Portal dos Contratos Públicos destina-se, designadamente, a arquivo, ao tratamento estatístico e a monitorização da informação, devendo os dados transmitidos estar devidamente codificados e serem suscetíveis de tratamento automático.
2 - A codificação a que se refere o número anterior deve estar perfeitamente sincronizada com o Portal dos Contratos Públicos, com vista a que não se verifique qualquer perturbação na correta identificação das entidades e dos processos a que respeita a informação transmitida.
3 - As condições de interligação das plataformas eletrónicas com o Portal dos Contratos Públicos são fixadas por portaria do membro do Governo que tutela o IMPIC, I. P.
4 - Sem prejuízo do disposto no número anterior, as plataformas eletrónicas devem prever a realização de procedimentos por agrupamento de entidades adjudicantes, disponibilizando para esse efeito campos para indicação dos dados de cada uma das entidades adjudicantes, nomeadamente designação e número de identificação de pessoa coletiva (NIPC), e demais dados necessários à exportação automática das fichas, a definir nos termos do artigo seguinte. |
| |
|
|
|
|
Artigo 38.º
Dados a transmitir ao Portal dos Contratos Públicos |
| As plataformas eletrónicas devem transmitir ao Portal dos Contratos Públicos dados relativos à formação e à execução dos contratos públicos, nos termos a definir por portaria do membro do Governo que tutela o IMPIC, I. P. |
| |
|
|
|
|
SECÇÃO III
Requisitos de segurança das plataformas electrónicas
| Artigo 39.º
Implementação e gestão da segurança |
1 - No desenvolvimento da sua atividade, as empresas gestoras implementam um sistema de gestão de segurança da informação baseado na Norma ISO/IEC 27001.
2 - Para efeitos do disposto no número anterior, as empresas gestoras fornecem ao GNS documentação comprovativa, nomeadamente:
a) Da realização de uma avaliação exaustiva dos riscos que identifique o âmbito de aplicação do sistema e assinale o impacto na atividade em caso de violação da garantia da informação;
b) Da identificação das ameaças e vulnerabilidades da plataforma eletrónica, e a produção de um documento de análise de riscos onde se enumerem igualmente contramedidas para evitar tais ameaças, e as medidas corretivas a tomar caso a ameaça se concretize, bem como a apresentação de uma lista hierarquizada de melhorias a introduzir;
c) Da identificação dos riscos residuais por escrito.
3 - As empresas gestoras selecionam os controlos de segurança adequados com base na análise de riscos prevista na alínea a) do número anterior, e na norma ISO/IEC 27002, nas seguintes áreas da segurança:
a) Avaliação de risco, adotando-se para o efeito a norma ISO/IEC 27005 ou outra metodologia de avaliação de riscos equivalente;
b) Segurança física e ambiental;
c) Segurança dos recursos humanos;
d) Gestão de comunicações e operações;
e) Medidas normalizadas de controlo do acesso;
f) Aquisição, desenvolvimento e manutenção dos sistemas de informação;
g) Gestão de incidentes no domínio da segurança das informações;
h) Medidas para corrigir e mitigar violações dos sistemas de informação suscetíveis de causar a destruição, a perda acidental, a alteração, ou a divulgação ou acesso não autorizados dos dados pessoais a tratar;
i) Conformidade;
j) Segurança de redes informáticas, recomendando-se para o efeito a norma ISO/IEC 27033.
4 - A aplicação destas normas pode cingir-se apenas às partes da organização que são relevantes para a atividade das plataformas eletrónicas. |
| |
|
|
|
|
Artigo 40.º
Gestão de utilizadores, perfil de acesso e privilégios |
1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes:
a) Administrador de segurança;
b) Administrador de sistemas;
c) Operador de sistemas;
d) Auditor de sistemas.
2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número anterior.
3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de acordo com o seguinte critério:
a) Um utilizador com o perfil de «administrador de segurança» não é autorizado a assumir o perfil de «auditor de sistemas»;
b) Um utilizador com o perfil de «administrador de sistemas» não é autorizado a assumir o perfil de «administrador de segurança» ou de «auditor de sistemas». |
| |
|
|
|
|
Artigo 41.º
Sistemas e operações |
1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente:
a) Os procedimentos de operação e segurança estão definidos;
b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja mínimo;
c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades dos sistemas e da informação nestes incluídos.
2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os seus utilizadores, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º
3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de ataques distribuídos de negação de serviços.
4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens fisicamente independentes.
5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos (patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.
6 - Todos os serviços das plataformas eletrónicas devem estar sincronizados com o NTP (Network Time Protocol) definido a partir do UTC (Universal Time Coordinated), devendo ser utilizadas duas fontes de tempo diferentes, em que uma delas é obrigatoriamente a hora legal portuguesa.
7 - Em caso de desastre, as plataformas eletrónicas devem disponibilizar meios capazes de continuar as operações usando sistemas alternativos e assegurar o backup para garantir a integridade e a possibilidade de recuperação da informação.
8 - A empresa gestora deve especificar na sua política qual o tempo máximo aceitável, na reposição dos serviços. |
| |
|
|
|
|
Artigo 42.º
Segurança aplicacional |
1 - A empresa gestora deve garantir que o sistema se encontra devidamente protegido contra vulnerabilidades e ataques, impedindo, designadamente:
a) Falhas de injeção, nomeadamente, interrogações SQL (Structured Query Language), LDAP (Lightweight Directory Access Protocol) ou XPath (XML Path Language), comandos do sistema operativo (SO) e alteração de argumentos de programa;
b) XSS (Cross-Site ing).
2 - O sistema deve assegurar a autenticação forte e a gestão das sessões, o que exige, no mínimo, que:
a) As credenciais sejam sempre protegidas quando armazenadas com recurso a técnicas de controlo da integridade dos dados (hashing) ou de cifragem dos dados;
b) As credenciais não possam ser adivinhadas nem alteradas através de funções de gestão da conta pouco sólidas, nomeadamente, através da criação de conta, alteração da senha, recuperação da senha ou identificadores de sessão frágeis;
c) Os identificadores de sessão e os dados da sessão não se encontrem expostos no localizador uniforme de recursos (URL);
d) Os identificadores de sessão não sejam vulneráveis a ataques de fixação de sessão;
e) Os identificadores de sessão tenham um tempo limite de operação, o que assegura que o utilizador sai do sistema;
f) As senhas, os identificadores de sessão e outras credenciais sejam enviados apenas através do protocolo TLS (Transport Layer Security).
3 - O sistema deve possuir uma configuração de segurança adequada, o que exige, no mínimo, que:
a) Todos os elementos de software sejam atualizados, na medida do necessário para mitigar eventuais vulnerabilidades, nomeadamente o SO, o servidor web e o servidor de aplicações, o sistema de gestão de bases de dados (DBMS), as aplicações, e todas as bibliotecas de códigos;
b) Os serviços e processos desnecessários do SO, servidor web e servidor de aplicações, sejam desativados, retirados ou não sejam instalados;
c) As senhas da conta por defeito sejam alteradas ou desativadas.
4 - O sistema deve limitar o acesso ao URL com base nos níveis e autorizações de acesso do utilizador, exigindo-se, no mínimo, que:
a) Se forem utilizados mecanismos de segurança externos, para fins de autenticação e verificação das autorizações de acesso às páginas, os mesmos devem estar devidamente configurados para cada página;
b) Se for utilizada proteção ao nível dos códigos, a mesma deve existir para cada página pretendida.
5 - O sistema deve utilizar o protocolo TLS de modo a garantir uma proteção suficiente, devendo estar criadas todas as medidas que se seguem ou outras de eficácia equivalente:
a) O sistema deve exigir a versão mais atualizada do protocolo HTTPS (Hypertext Transfer Protocol Secure) para aceder a quaisquer recursos sensíveis utilizando certificados que sejam válidos, não caducados, não revogados e compatíveis com todos os domínios utilizados pelo sítio;
b) O sistema deve apor a indicação «seguro» em todos os s sensíveis;
c) O servidor deve configurar o fornecedor do TLS de modo a que este apenas aceite algoritmos de cifragem de dados conformes com as melhores práticas;
d) Os utilizadores devem ser informados de que devem ativar a funcionalidade TLS no seu navegador.
6 - O sistema deve impedir reencaminhamentos e reenvios não validados. |
| |
|
|
|
|
Artigo 43.º
Integridade dos dados |
1 - As plataformas eletrónicas não devem partilhar hardware e recursos do SO, nem quaisquer dados, nomeadamente, credenciais de acesso e de cifragem, com qualquer outra aplicação ou sistema.
2 - Cada transação com sucesso que envolva modificação do conteúdo da informação da plataforma eletrónica deve fazer passar a base de dados (BD) de um estado de integridade para outro estado de integridade.
3 - Deve ser garantido que todos os dados críticos da plataforma eletrónica são seguros e autênticos, devendo para o efeito ser utilizados algoritmos e chaves fortes, de acordo com as normas internacionais.
4 - Devem ser considerados como dados críticos, no mínimo, todas as configurações de segurança, perfis de utilizador, dados relativos às peças do procedimento e propostas, bem como os respetivos backups. |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos